OPM攻击事件后:我们从中学到了什么?

在本文中,网络安全专家Michele Chubirka谈到了她对6月份OPM攻击事件的看法以及企业IT团队应该采取哪些步骤来抵御未来的攻击。

在今年夏季早些时候,当美国人事管理局(OPM)局长Katherine Archuleta在美国国会的听证会尴尬发表证词时,对于完全不了解IT的Katherine来说,这感觉就像一场噩梦。这一系列尴尬亮相表明,她似乎不知道OPM攻击事件的基本细节或者不了解让OPM在一年内两次受到攻击的问题。她的辞职似乎是一个必然的结论,对她来说也许是一种解放。那么问题出在哪里呢?

如果将这个攻击事故简单归结于OPM安全战略的失败,这将是一个错误,因为该机构的整个信息技术项目是一个管理灾难—可以算得上是“不该做的事情”指南。在观看证词以及阅读监察长办公室(OIG)的报告后,我们可以了解到,这不仅仅是因为安全故障,还因为疏于基本策略和风险管理的无能领导力。对于IT领域的人来说,这种疏忽太熟悉不过了。阅读这些OIG报告会让我们感觉似曾相识,因为这可能是任何企业的情况。

在对OPM攻击事故进行检测之前,OIG IT安全审计自2009年以来反复指出OPM安全方案中的问题。根据《华盛顿邮报》有关该攻击事故的报道称,OPM助理监察长Michael Esser表示,该机构“长期因系统性问题而未能妥善管理其IT基础设施,这可能最终导致了这个攻击事故以及敏感个人数据的泄露。”

从OPM攻击学到的经验教训

第一个教训:你需要进行资产管理。该机构对资产监管不到位的关键问题之一是,对其基本网络基础设施缺乏可视性。根据该审计指出,“OPM没有全面清查服务器、数据库和网络设备”。此外,虽然OPM有配置管理政策,但没有建立标准,也没有试图验证合规性。其漏洞扫描程序也是无效的,因为OPM的网络管理小组没有检查是否对所有服务器进行了每月扫描。如果没有资源管理,企业如何知道该保护什么?良好的资产管理是所有安全控制的基石,这可以为解决与已确定威胁相关的漏洞提供背景信息。然而,这种问题在企业中太常见。

第二个教训:数据管理是“必须做的事情”,而不是“应该做的事情”。在听证会揭露的另一个关键点是:关键政府雇员数据(例如社会安全号码和财务信息)没有在数据库中加密。该机构还保存着大量Standard Form 86数据—从以前国家安全有关的背景调查中收集而来。如果没有数据保存政策,OPM很难肯定地说出实际多少记录遭到泄露。虽然加密不能总是能够阻止攻击者使用窃取的凭证来访问数据,但这是一个有效的控制,让攻击者难以通过低特权账户来渗出数据或泄露数据。OPM的信息安全方案中缺少最重要的组件之一:数据管理,而数据分类和数据处理标准是访问控制的构建基础。

作为最佳做法,访问控制应该结合数据分类与用户分类。数据具有其价值,数据应该根据泄露、丢失可能性和不可用性来进行分类。然后,企业应该根据处理“静态”、“传输中”数据的规则以及根据使用数据的用户类型来分隔数据。好的做法是:如果你不需要它,就删除它,否则它可能受到感染、滥用或者更糟糕的是,法律要求你提供这些数据。这适用于电子邮件、日志、支付卡信息和HR数据等信息。总而言之,加密并不总是有效,简单的做法是你可以通过减少数据来控制数据泄露事故的影响范围。

第三个教训:文档记录和监控你的基础设施。根据报告显示,当数据泄露事故最终被发现时,OPM正在对其老化的基础设施进行全面的现代化工作。但根据OIG报告称,该机构并没有正确了解该项目的范围,也没有充分考虑迁移数据到新基础设施所需要的时间。

OPM现代化项目的推动力是因为OPM的传统架构有很多不支持的平台(包括JRun),还有具有COBOL代码的大型机尚未被更新。但这个项目没有专门的经费;资金来自于现有的项目办公室运营预算,这让完成这次升级面临风险。毕竟,成功的安全监控需要稳定的良好记录的架构,并有tap、汇聚交换机和日志数据提供的可视点,但OPM的基础设施是移动目标,这无疑在安全监控中制造了盲点。

第四个教训:密码仍然是致命的弱点。根据FBI调查显示,从OPM承包商KeyPoint窃取的登录凭证被确定为攻击者的切入点。我们一次又一次地看到,泄露的密码被认定为数据泄露事故的罪魁祸首,但企业仍然拒绝放弃这个常被利用的弱点。也许这是因为部署多隐私身份验证需要太多工作量,特别是当涉及传统系统时。无论如何,现在是时候放弃这个备受利用的身份验证方法,因为它只会给安全团队带来痛苦。

第五个教训:管理你的第三方关系。正如前文所述,承包商的登录凭证被认定为OPM攻击的关键点。此外,据称,阿根廷和中国的安全顾问对OPM数据库具有管理员访问权。这就引出了关于谁实际负责保护这些数据的问题。在过去几年发生的几乎每次重大泄露事故都被归因于第三方,但企业仍然挣扎着管理外包关系。当你允许第三方进入你的环境时,你还要承担他们的风险。你需要确定每个这些关系,以及评估这对企业风险状况的影响。实现这个目标的最佳方法之一是利用具有良好记录登录流程的专门的第三方安全程序。

何时才能不让类似事故发生?

犹他州众议员Jason Chaffetz指责OPM在应对这个攻击事故时,只是简单地“用木板封死窗户”,不知道“前往Best Buy”是否能更好地解决该机构的问题,他其实也在暗指所有企业。企业是否会思考OPM资金情况,尽管他们自2008年来花了5.77亿美元,其中80%花在传统系统?安全行业很多企业会专注于外来因素,但这往往会让我们无法解决真正的问题。严酷的事实是,大多数安全问题可以通过常用的控制来解决,包括资产管理、数据管理、配置标准和文档记录等。此外,如果IT部门更注重风险管理和战略,而不只是追逐最新的技术发展趋势,企业将得到更好地保护。

作者:Michele Chubirka

来源:51CTO

时间: 2024-09-06 02:28:41

OPM攻击事件后:我们从中学到了什么?的相关文章

解读美国国会关于OPM数据泄露事件的调查报告

2015年7月,美国联邦人事管理局(OPM)公开承认曾遭到两次黑客入侵攻击,攻击造成现任和退休联邦雇员超过2210万相关个人信息和560万指纹数据遭到泄露.泄露内容包括详细个人信息,如社会安全码.姓名.出生年月.居住地址.教育工作经历.家庭成员和个人财务信息等.美官员声称,这是美国政府历史上最大的数据泄露案件之一.美国前高级反间谍官员布伦纳(Joel Brenner)表示,对外国情报机关来说,这些信息简直就是金矿或者皇冠上的明珠. OPM攻击最早由美国计算机应急响应中心(US-CERT)通过爱因

评估OPM攻击后指纹识别技术

OPM漏洞对于指纹识别技术的安全性产生的质疑.从这之中,CIO可以学习到什么? 我人指纹就只是我们自己的--但如果不是了怎么办? 最近有消息称,因为人事管理局(OPM)在规模漏洞导致560万个指纹被盗,这意味着我们的唯一识别符,即我们的指纹,将终结于他人之手.更严重的是,我们的指纹有可能出现在他们的手上.这对于企业来说意味着什么? 正如安全专家指出的那样,生物特征识别技术是其它最好的财产,但也将是最大的威胁.指纹.视网膜和声纹作为密码是无可替代的,这也意味着,它们一旦被盗用将难以恢复. 不断加剧

2015年最具创新性和破坏性的黑客攻击事件

在过去的2015年中,几乎没有哪一个礼拜没有发生过重大的数据泄露事件.重大的网络攻击活动或严重的漏洞报告.而在这其中,许多安全事件均是由于企业糟糕的安全控制.执行错误或其他基本安全失误所导致的,由此也凸显了企业在确保IT安全的诸多基本层面的工作仍然任重而道远. 而现在,不妨让我们超越林林总总的各种网络攻击和漏洞,借此来分析这些攻击事件所揭示出的网络恶意活动的相关洞察,以及如何在未来采取有效的措施以抵御.在2015年中,有相当一部分可以说是耐人寻味的网络入侵事件,其中每个事件都突显了黑客技术的改进

CNNVD关于WannaCry勒索软件攻击事件的分析报告

本文讲的是CNNVD关于WannaCry勒索软件攻击事件的分析报告,北京时间2017年5月12日,一款名为"WannaCry"(也称WannaCrpt.WannaCrpt0r.Wcrypt.WCRY)的勒索软件在全球范围内爆发,造成极大影响. 针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下: 一.网络攻击事件背景 此次爆发的"WannaCry"勒索软件来自"永恒之蓝"(EternalBlue),主要利用微软Window

CNNVD:关于WannaCry勒索软件攻击事件的分析报告

北京时间2017年5月12日,一款名为"Wanna Cry"(也称WannaCrpt.WannaCrpt0r.Wcrypt.WCRY)的勒索软件在全球范围内爆发,造成极大影响.针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下: CNNVD:关于WannaCry勒索软件攻击事件的分析报告-E安全 一.网络攻击事件背景 此次爆发的"WannaCry"勒索软件来自"永恒之蓝"(EternalBlue),主要利用微软Window

浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)

本文主要涉及内容: 什么是XSS XSS攻击手段和目的 XSS的防范 新浪微博攻击事件 什么是XSS 跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种.它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响.这类攻击通常包含了HTML以及用户端脚本语言. XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序.这些恶

APT案例分析:一个基于Meterpreter和Windows代理的攻击事件

本文讲的是APT案例分析:一个基于Meterpreter和Windows代理的攻击事件, 前言 几个月前,在只可以通过代理进行访问的公司windows网络中,我对其进行了我开发的模拟定制的APT攻击.在测试过程中,我意外的发现我可以上传https返回类型的meterpreter后门.一开始,我并不确定这个地方存在漏洞,或者这个地方对APT攻击是否起作用.为了验证这个地方是否存在漏洞,我现在需要处理好代理环境. 在对环境做了深入分析之后,我们使用的meterpreter模块(windows/met

大潘聊WannaCry勒索攻击事件,看看你可能忽视了些什么

[51CTO.com原创稿件]近日,网络安全概念股集体高开,启明星辰等多个安全厂商股涨停.这一切都源于WannaCry勒索蠕虫的爆发.自WannaCry出现至今,其攻击范围遍布全世界超过100多个国家及地区,影响的企业或行业包括了电信运营商.加油站.医疗机构.高校甚至公安网,给生产.生活带来了巨大的威胁和恐慌. 记者了解到,事发后,社会各界都在积极响应,一场应对勒索蠕虫的大战就此展开.安全企业通宵达旦研究分析该勒索蠕虫,主动及时给出响应策略,媒体广泛传播呼吁大家及时应对,公安.教育.银行等有关部

盘点2016年最严重的7起DDoS攻击事件

本文讲的是 : 盘点2016年最严重的7起DDoS攻击事件   ,  [IT168 评论]随着黑客技术的不断发展,人们越来越难以区分真实世界和恐怖电影之间的区别, 2016年的DDoS攻击事件更是加深了人们的这种感觉. 你相信么?事实上,我们的真实生活可能比好莱坞的恐怖电影更加可怕!当你家的物联网设备被黑客用来发动DDoS攻击时,你会不会觉得脊背一阵发凉,而显然目前的DDoS攻击现状不仅于此. 今年的BASHLITE或是Mirai僵尸网络已经让人们体验了利用物联网设备发起DDoS攻击的可怕性,但