https://forms.gle/bmeurFX91jaGPgWM8
https://forms.gle/bmeurFX91jaGPgWM8

觀點

劫後重生之(一)LexisNexis案例

2010 / 05 / 10
文/MICHAEL S. MIMOSO 翻譯/夏克
劫後重生之(一)LexisNexis案例

如果這些人無法找到一條可突破企業邊界的路,那麼,他們就極有可能打著不知情且頗受信任的客戶名號,或者佯裝成企業夥伴的樣子,大搖大擺的從前門走進來。

 

LexisNexis為例,它可是花了不少時間和精力在解決惡意程式的問題,也撐起入侵防禦網,接著還將資安導入到自身的網路當中。但是顯然地,LexisNexis在某件事上著墨甚少:那就是未能確保存取LexisNexis資料庫的客戶和企業夥伴的網路環境,是安全無慮的!

 

所以,此點也造就去年駭客從LexisNexis盜走超過30萬筆的資料,裡頭涵蓋姓名、住址、社會安全號碼,以及駕照號碼等。一般認為,應該是那些惡徒在LexisNexis門前放火,於是讓數以千萬筆的資料洞口大開,最後,也就導致LexisNexis的聲譽一落千丈。

 

「我們不是沒有安全意識和認知,但是只會站在本身立場來看待此事:要怎麼做才能確保不會將惡意軟體帶入公司?」,資安的高階主管Leo Cronin說,「我們準備了二套劇本應付來自於自動程式的攻擊(autoscript attacks)和阻斷服務式攻擊(DoS),但是,攻擊者只消將焦點放在這四道牆上,而我們則要憂慮廣大的客戶群。不過,這也提醒了我們-實際上,這個環節是更需要去關心的!」當覬覦LexisNexis的惡徒,開始把焦點轉離這四道牆之後,接著,就充份利用搭載著鍵盤側錄程式的木馬,四處散佈數以千計的色情圖片。華盛頓郵報報導說,在佛羅里達和德州的幾個法律執行處,發現了利用這種社交工程所散佈出去的蠕蟲,於是乎,法律執行機關和政府單位,就這麼地假造出450萬個LexisNexis人頭帳戶。

 

不久後,LexisNexis的帳戶和密碼,就在二個毫不相干的辦公室中被取得,入侵者透過一個合法帳戶,成功的得到一大堆個人身分資料;即以此種手法侵入2004年由LexisNexis所併購的Seisint公司所管理的資料庫多達59次,最末,總計共30萬個帳戶受害。直到受害者當中有人發現帳單裡有不正常交易時,LexisNexis才注意到此事。

 

事情發生這個時間點上,實在是糟到不行!因為此時,距離2005ChoicePoint公司所發生的身分竊賊的資料洩密案,還不到二個月時間,之後,LexisNexis依加州SB1386法案呈報了此事。而LexisNexis管理高層未等立法規範,也等不及這些傷害所造成的影響浮現,於事發當天就作成了一連串的決議.;緊接著,身兼總裁和執行長身分的Kurt Sanford也在司法部的議會上發表聲明,並向委員們陳述資料外洩情事。

 

當務之急,就是要針對LexisNexis的防護,重新進行一連串綿密的檢視,特別是針對Seisint子公司方面,然後用戶存取服務的不正常行為,也要作一番搜索。Cronin和其小組很快的了解到,要拯救這種外硬內軟的用戶存取服務,還有相當多的事情等待著他們去處理,而階層式的用戶端環境也顯然不再受到LexisNexis的信任。

 

「無論我們在企業邊界防範的有多麼緊密,然而,駭客們早已經想到何不直接朝用戶們下手?」,Cronin接著說,「系統的密碼存取和稽核方式是要改變一下了!所以,我們將一連串的需求納入籌措小組,擬定要在2005年底之前加入新功能。這還真是趟艱鉅的任務,但管理高層都同意此事要優先處理。」

 

所有用戶都要使用新的密碼協定,包括那些沒有資料被盜取用戶也是一樣,並且提醒用戶所設密碼的強度,另外,超過90天未使用的用戶也將被列為可疑份子,而Cronin則說在2005LexisNexis就強化了超過一百萬個使用者帳戶。

 

之後,Cronin還想讓用戶採用雙認證的方式。如果要單一簽入(single sign on)銀行窗口或LexisNexis的話,當然更免不了利用某些邦聯式token(federated token)來進行身分確認,甚至是使用硬體式token (hard token)也無妨。對於要存取敏感性資料的部份用戶須限制IP位置,並限制只能從這些位置登入存取。如果在這些位置之外登入的話,像是利用家中的電腦上網,那就要利用硬體式token

 

Cronin還說,LexisNexis也安裝了即時偵測用戶不正常活動的系統,它會針對用戶行為給定評分,而分數等級如果到達了假造的程度,系統便會限制用戶端進行資料存取;帳戶屆時會遭到停用,使用者也將接獲通知。不僅如此,若用戶是使用LexisNexis的程式介面登入的時候,會與採行Web介面登入的權限有所不同!

 

再者,LexisNexis對於安全教育與認知的訓練政策,也會為員工作改進。例如:以播放影片方式教育新進員工,把LexisNexis所存放的客戶資料及員工職責,再進行補充。

 

2005年裡,共發生超過140起的資料洩密事件,並且有高於5千萬筆美國人的資料遭身分竊賊給盜走,Cronin說了,「企業們是不能在資料保護的政策上有任何馬虎的!」

 

「資安專家應該在大眾所期待的產品和服務的安全環節上,作的更好才是!而且要成為企業主們在資料安全上面的發聲者。」,Cronin接著,「最好就是先將企業所擔負的風險講清楚,並且使大家了解到,這就是企業風險!」