網站入侵案例分析
作者:啟明星辰
2019-07-31
一家大型零售商遭受入侵���,造成大約4500萬條信用卡和借記卡記錄丟失���,零售商的最終總損失估約180億美元���,包括必要的銀行換卡成本�����、盜刷費用��,和可能產生的法律訴訟費�、政府制裁以及各種罰金���。該零售商還因為此次泄露事故的曝光��,導致接下來的幾周銷售額下降了46%�。
經事故分析發現����,該零售商有一個面向服務提供商和供應商的門戶網站以便采購和計費�,事故最初是由一封黑客發給零售商的服務提供商的網絡釣魚電子郵件導致的���。具體的攻擊過程如下:
Step 1:黑客通過偵察鎖定目標����,然后精心制作一封包含惡意payload的欺騙性電子郵件���,并發送給零售商的服務提供商����。收到該郵件的服務提供商員工點擊了該郵件����,電腦在不經意間被黑客控制�。
Step 2:黑客在獲得服務提供商內網系統的訪問權限后�����,利用零售商的合作門戶訪問零售商網絡����,并利用被控制的電腦攻擊門戶網站�。
Step 3:黑客利用漏洞攻擊目標網站獲得網站系統的權限��,同時對內部隔離的網絡進行橫向滲透�。
Step 4:通過橫向滲透控制銷售終端系統后�,在黑客與銷售終端系統之間建立一條隧道��,將惡意軟件發送到銷售終端系統所在的服務器��,并將惡意軟件安裝到POS終端上�,捕獲信用卡和借記卡交易信息��。
Step 5:惡意軟件運行后��,開始收集敏感數據�,并將獲取到的客戶信息存儲在遭受入侵的零售商服務器上�����。在黑客將收集到的敏感信息泄露到海外之前�����,經過了一系列互聯網服務提供商���,以隱藏痕跡��。經分析發現����,惡意軟件安裝幾周后才開始盜取行動�����,且數據僅在正常營業時間發送���。
在事件發生之前�,零售商曾向某安全公司進行過業務方面的信息安全咨詢�����。安全公司經過對零售商業務的內外部風險因素分析發現���,該零售商的外部防護工作做得不錯����,但在對合作伙伴和內部的管理方面存在安全風險�。因此建議零售商建立閉環的安全運營體系�����,加強信息安全風險管理和對業務系統進行安全加固�����,對業務系統進行持續性的安全監測�����,及時發現攻擊行為��,在發現攻擊行為后����,及時通知相關安全責任人進行應急響應���。做到事前預防�����、事中控制�����、事后補救�����,降低業務系統的安全風險����。
零售商的信息安全經理在聽取了安全公司的咨詢報告后����,認為:
1. 主要的風險來自外部攻擊�����,過去幾年已對外部攻擊做了足夠多的安全防御措施����。
2.現有服務提供商和供應商均為多年合作伙伴���,值得信任�����。
3. 安全部門有能力處理好各類安全事件��,可以很好地完成安全評估���、安全加固和應急響應等相關工作�����。
4. 董事會認為業務的發展才是重中之重���,財務部門對安全預算并不多���,而向安全公司采購完整的安全運營服務需要大量的投入����。
最后�,零售商與安全公司簽約了安全監測服務���。
根據與零售商的協議�����,在發現入侵時��,安全公司第一時間發送了警報給零售商的安全部門����,指出遭受入侵的服務器�����,并針對此次入侵事件提出了處置意見���。但零售商的安全團隊并沒有即刻采取行動�,直至幾周后��,零售商收到某政府機構的通知��,告知其已遭受入侵才開始處置行動�。
事后在零售商的董事會會議上����,信息安全經理對此次安全事故進行總結:
1.安全部門在收到安全公司指出服務器遭受入侵的通知時���,應啟動經過測試的事故管理計劃�����,因為如果已有經過測試的事故管理計劃����,很可能及時發現本次入侵��,以采取措施防止更大損失�����。
2.從風險管理的角度來看�,建議通過以下措施來預防將來出現類似的事故:更為健全的安全培訓和意識活動會告知從供應商到高級管理層的所有相關各方潛在的信息安全風險��,這會有利于組織認識和應對潛在的風險事件�。意識培訓對風險管理有積極影響���,額外的安全培訓可以幫助安全部門了解在事故發生時該怎么做����。此外��,需要更完善的第三方管理��,包括確保服務提供商和供應商遵守組織的信息安全政策以及授予其相應等級的系統訪問權限�。
3.建立完善的應急響應體系�����,幫助安全部門確定安全事件的真實性和嚴重性����,并及時采取相關的行動��。
4.需要開始對安全運營體系進行建設�,以業務的整體安全為目標��,構建動態的安全防御體系�����,可以向安全公司購買安全運營服務�����,彌補組織安全體系的缺失和安全運營能力的不足��。
此后��,在零售商高級管理層的高度重視之下�,加大了對信息安全的投入�。在聽取了安全公司的建議后����,決定和安全公司合作進行安全運營體系建設��,在持續的安全運營過程中做到了“事前預防���、事中控制���、事后響應”���。到目前為止�,零售商雖然遭受了各類安全攻擊�����,但是在及時的響應和處置下�����,并未造成重大損失��,同時也重新建立起客戶的信任����,銷售額穩步上升�����。
京公網安備11010802024551號