Equifax遭黑客入侵事件再次敲響網絡安全警鍾

發布日期:2017-09-15首頁 > 安全資(zī)訊

美國三大(dà)信用評級機構之一(yī)的Equifax公司宣布其遭遇黑客入侵,大(dà)約1.43億名美國用戶數據洩露。此次數據洩漏事件還對一(yī)些英國及加拿大(dà)公民的個人信息造成了影響。Equifax公司曾發聲明稱,犯罪分(fēn)子利用服務器的漏洞來獲取某些文件。每當發生(shēng)此類事件的時候,人們自然會問漏洞是什麽?如何預防?我(wǒ)們能從中(zhōng)學到什麽?作爲軟件安全專家,新思科技對此次黑客事件做了分(fēn)析。
 
 

  漏洞是哪種類型?

  我(wǒ)們目前沒有确切的信息證明黑客是利用了哪些軟件漏洞竊取資(zī)料。但是,基于Equifax公司的聲明可以判斷該漏洞可能是目錄遍曆漏洞、命令注入漏洞,或者不安全的直接物(wù)件索取漏洞。這些都是常見且可被利用來獲取非授權文件的網絡軟件漏洞。
 
 

  這些危險是否可以預防?此類信息洩露事件通常都是由于企業或機構沒有嚴格遵循安全軟件開(kāi)發規則。安全問題可以在以下(xià)幾個階段采取預防措施:

  規劃、架構及設計: 應用程序架構師可以施行更強的管控。這樣可以保護客戶數據不會因爲一(yī)個簡單的網絡軟件漏洞就造成大(dà)規模的洩露。他們可以添加強大(dà)的集中(zhōng)授權檢查、使用輸入驗證框架等。

  實施:開(kāi)發人員(yuán)可以實施應用程序,以便在所有正确的地方執行正确的檢查。如果沒有一(yī)個完善的架構和設計,這個實施起來雖困難,但可行。

  驗證(代碼審查和靜态分(fēn)析):靜态分(fēn)析工(gōng)具非常适用于查找網絡軟件漏洞。另外(wài),手動代碼審查可以找到工(gōng)具不易查出的問題。雙管齊下(xià)的措施可用來查找開(kāi)發人員(yuán)造成的實施錯誤。

  驗證(安全測試):如果漏洞一(yī)直處在測試環境,安全測試工(gōng)具和手動技術可以查找到這些類型的問題。

  發布及響應:運營團隊應該監測異常的應用程序。雖然在這不是阻止攻擊的理想時段,但仍然有必要制定适當的控制措施。這次黑客攻擊發生(shēng)在5月至7月之間。這意味着運營團隊可能沒有快速檢測,及時響應和控制對網絡軟件的攻擊 。
 
 

  網絡安全警鍾長鳴綜上所述,此類攻擊事件通常是由于企業或組織不遵循安全軟件開(kāi)發規則的結果。在軟件開(kāi)發生(shēng)命周期(SDLC)初期添加控件是最簡單和最具成本效益的方式。因此,在SDLC初期就進行架構風險分(fēn)析及威脅建模至關重要。如果合适的架構和設計控制被添加在正确的階段,就可以預防很多安全問題。 開(kāi)發人員(yuán)應接受防範性編程培訓,以便了解網全以及如何防範各類漏洞。開(kāi)發人員(yuán)和安全團隊應該使用靜态分(fēn)析工(gōng)具來幫助查找實施漏洞,且應用代碼審查和安全測試來進一(yī)步降低漏洞的風險。運營需要密切關注和警惕應用程序的任何異常活動。 這些隻是企業或組織需要采取的安全措施的一(yī)小(xiǎo)步。大(dà)家可以關注内置安全成熟度模型(BSIMM)。其一(yī)系列更加全面的評估标準可以更加準确地評測軟件安全性計劃的有效性。此外(wài),更重要的是企業需要确保所有軟件和系統的安全性。 Equifax的聲明中(zhōng)提到,沒有證據表明公司核心消費(fèi)者或商(shāng)業信用報告數據庫發生(shēng)過“未經授權”的訪問行爲。這并不奇怪。企業往往側重于保護其核心系統,但是對他們認爲不那麽重要的應用/系統就放(fàng)松警惕。
 
 

  新思科技是您應用軟件安全之旅可靠的舵手。
 

8677-1F915125203424.jpg