Equifax：最大的数据泄漏发生一年后

哈Ha！ 我们所有人都记得Equifax数据库（1.455亿客户）中泄露的个人数据。 一年后，即2018年8月，GAO （政府问责办公室，简称GAO）是美国国会的审计，评估以及分析和调查机构，其发布了报告“ Equifax和联邦机构为响应2017年违约”，您可以在此处阅读 。 我只会摘录一些对我来说很有趣的片段，并且希望对读者来说很有趣。

Equifax-征信局。 它与益百利（Experian）和TransUnion（统称为“三巨头”）一起是美国三大信贷机构之一。 该局拥有超过2.802亿个人的信用记录和74.9万个法人实体的信用记录。

时间表

总体上，所有信息都是一年前已知的，但我仍然想再次经历攻击的主要阶段。 在这里，我要注意信息安全事件的处理。

2017年3月10日，攻击者扫描了可从Internet访问的服务以查找特定漏洞，US-CERT于2天前报告了此漏洞。 Apache Struts Web框架（CVE-2017-5638， https: //investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832）中的漏洞 该漏洞是在门户网站上发现的，该漏洞使公民可以上载挑战Equifax信用报告的准确性/正确性的文档。 使用专门的软件，攻击者可以利用此漏洞并获得对门户的未经授权的访问。 当时数据没有被盗。

2017年5月13日，数据失窃开始。 门户遭到破坏后，攻击者向其他数据库发送了请求，以寻找有价值的信息。 因此，他们找到了一个存储库，其中包含个人数据以及未加密的登录名和密码，从而可以访问其他数据库。 总共，恶意用户发送了大约9,000个请求，对这些请求的部分响应包含个人数据。 攻击者使用现有的加密通信通道来掩盖请求和命令。 使用现有的加密通信通道可使攻击者迷失在正常的网络流中，而不会引起注意。 从Equifax数据库成功提取信息后，信息被少量传输到外部，而不是一般加密流量中的佼佼者。 攻击持续了76天，直到被发现。

2017年7月29日，信息安全专家对IT基础架构状态进行了例行检查，发现该门户网站受到入侵。 当开始检查加密流量时，检测到渗透。 发现了不属于系统标准操作的命令。 在此之前，入侵检测系统尚未检查加密的流量，因为证书已过期且未安装新证书。 此外，该证书在10个月前过期，事实证明，加密流量没有在10个月内得到检查。 检测到渗透后，专家阻止了发送请求的IP地址。

2017年7月30日，信息安全部门发现了其他可疑活动，因此决定阻止从Internet到门户的访问。
2017年7月31日，CISO将此事件通知了首席执行官。

2017年8月2日至10月2日，Equifax展开了一项调查，试图确定有多少数据被盗以及此泄漏将影响多少人。 我们研究了未被入侵者破坏或删除的系统的日志。 根据日志，专家试图重现攻击者的行动序列，以确定哪些数据受到了破坏。 8月2日，该公司将该泄漏通知联邦调查局。

影响攻击成功的因素

以下是报告中的这些因素：

• 身份证明 尚未发现Apache Struts的漏洞。 US-CERT发送了有关Apache Struts中一个新漏洞的通知，该通知已重定向到系统管理员。 邮件列表已过时，涉及更新/补丁的人员未收到此信。 Equifax还声称在意识到漏洞后一周扫描了资源，并且扫描程序未在门户上找到此漏洞。
• 侦测 过期的证书使攻击者不被注意。 Equifax具有入侵检测系统，但是过期的证书不允许检查加密的流量。
• 细分 数据库不是孤立的\相互分割的，攻击者能够访问与门户（渗透点）无关的数据库。
• 数据治理 数据管理意味着限制对受保护信息的访问，包括帐户（登录名\密码）。
  
  另外还指出，缺乏用于设置数据库查询频率限制的机制。 这使攻击者可以完成大约9000个请求，远远超出了正常操作的要求。

采取的行动

不幸的是，什么都没有发现，并指出了以下措施：

• 采用新的过程来识别和应用软件的补丁程序/更新，以及控制这些补丁程序的安装；
• 应用了新的数据和应用程序保护策略；
• 新工具用于不断监控网络流量；
• 添加了用于限制内部服务器之间以及外部服务器与内部服务器之间的访问的其他规则；
• 使用了针对终端设备的附加保护工具，该工具可检测到配置违规，评估潜在的危害指标（IoC），并自动将检测到的漏洞通知系统管理员。

Equifax主要政府客户采取的行动

Equifax的主要政府客户：

• 美国国税局（IRS）；
• 美国社会保障局-社会保障局（SSA）；
• 美国邮政局（USPS）是美国邮政局。

Equifax主要政府客户采取的措施：

• 识别并通知受此泄漏影响的客户端。
• 已经对Equifax保护措施进行了独立评估（为了最有可能遵守此NIST文件https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf ）；
• 与Equifax修订了有关泄漏通知的协议；
• 改变了公民识别程序；
• 取消了与Equifax签订的有关新服务的短期合同。

该局的影响和费用

以下是找到的结果：

• CIO和CSO用美语“立即生效” 链接开枪。
• 解雇了自2005年以来一直担任这一职位的CEO。
• Equifax目前在法律问题上花费了约2.43亿美元，免费为客户提供了新的安全监控服务，并且有8个州对链接局提出了额外要求。