任何从事网络安全的技术人员、管理人员以及供应商一定都已阅读并熟悉了美国参议院发布的“2013年Target数据泄露的杀伤链分析报告”。报告阐述了Target事件是如何发起、如何进行的,并列出Target应在每个阶段做些什么来预防、检测和响应事件。
报告列出了整个Target事件过程,从最初的入侵、破坏到2013年12月19日Target发布公告。此外, 2014年3月26日,Target首席财务官约翰•穆里根在美国参议院商业、科学、和运输委员会作证词时,更新了Target数据泄露事件的前因后果。
报告指出了网络安全技术人员、管理过程等方面的一些基本常识错误。这些问题是证据确凿的,所以毋庸赘述。在此,笔者有一些额外的想法:
1 网络安全技能短缺影响了Target
环境、社会和治理研究报告(ESG)数据显示,39%的企业组织表示,其最大的事件响应挑战是“缺乏足够的员工”,28%的企业声称其在事件响应和检测上最大的挑战是“缺乏足够的技能”。《商业周刊》的文章显示,Target的安全操作中心(SOC)经理在10月离开了公司,正值数据泄露的前夕。其他SOC人员对其经理的技能过于依赖,因而网络攻击者恰恰趁机击中目标。ESG报告还假定网络罪犯能够提前使用一个默认的BMC软件产品的管理员密码。当然,也有可能仅仅是因为一个工作过度的IT安全和操作团队错过了这个明显的漏洞。最后,当FireEye反恶意软件系统及其在印度支持网络安全的人员发出警报时,Target的网络安全负责人却没有及时采取行动。显然,FireEye和印度团队已经各司其职,但这些警告后仍然需要Target的安全团队对于事件做进一步调查。
2 网络边界的概念是古代历史
10年前耶利哥早已警告过“消除边界”的必要性。自那时以来,尽管百般谨慎,却仍然难免事故。Target数据泄露事件始于其零售商之一,网络边界外的一个小的供热与空调公司。这只是盲目的猜测,但必须相信此公司不是由前NSA网络安全专家经营的。当然,第三方供应商、业务合作伙伴和客户都需要访问网络,但Target让这些所谓的外界人士只需提供基本的用户名和密码进行身份验证即可访问网络。所以Target在没有用适当方式管理网络供应链风险的情况下,武断地向外界开放了网络,犯了常识性错误。
3 事件响应已成为网络安全的瓶颈
信息安全很多最佳实践重视事故预防,包括硬件系统的配置、访问控制、杀毒软件等。2010年前后发生的APT[注]攻击事件证明,狡猾的攻击者都很善于规避现有的安全控制,所以安全行业将注意力转向各种事件检测和分析的工具。我们现在把三分之二的时间和精力放在攻击过程,但是事件响应呢?不幸的是,很难解决这一困境,因为事件响应是高度专业化的,需要精确的网络设备的详细信息,包括流量模式、历史记录、系统配置等。当Target SOC团队收到来自FireEye和印度的警报时,他有一个选择:调查警报,即当警报发生时,系统是如何被影响的,IP地址怎样做了妥协,是什么改变了网络系统等等,通过调查来剔除假的警报。这种调查过程需要花费时间、技能和高度的严谨。安全分析可以起作用,但是仍然需要专业的技术人员。Target团队未能做这些必要的工作,反而将赌注押在“假攻击”和真正数据泄露上。
4 基本的攻防手段仍然很重要
网络安全已成为一个对先进的技术技能要求颇高的行业,这已成为共识。Target可以在其POS系统上安装应用程序控制软件,以阻止安装所有未经许可的软件。最后,Target应该改变BMC软件上的默认密码,需要对管理员进行多重身份验证并监视所有特权用户活动。这是网络安全最基本的手段,也是最必要的。
随着越来越多的细节出来,显然Target会遭到些许调侃,但确定的是,从经验和上述研究分析的大量结论来看,参议院的报告远比大多数人想象的情况普通得多。在下一个大的数据泄露事件爆发时,对Target的关注很可能会很快消退。鉴于网络安全的状态,攻击是随时可能会发生的。