Equifax数据泄露事件发酵,敲响网络安全警钟. 2017-09-28
9月初以来,美国征信机构Equifax数据泄露事件正不断发酵。多位知情人士透露,Equifax公司系统早在今年3月就曾遭遇黑客严重入侵,比该公司此前公布的被袭时间再次提早近5个月。
9月7日,美国三大征信机构之一的Equifax公司通过一份声明告知公众,其公司网络于今年5月至7月间遭黑客攻击,导致约1.43亿美国消费者个人信息被泄露。因波及范围之广、被泄信息之关键,这已成为近年来规模最大且最具威胁的信息泄露事件之一。
上周,美国联邦贸易委员会(FTC)与联邦调查局(FBI)均已介入对此次事件的调查。此外,美国众议院也将于10月3日举行第一场关于Equifax数据泄露的国会听证会,Equifax首席执行官Richard Smith也将出庭作证。Equifax已发表声明宣布了其首席信息官David Webb和首席安全官Susan Mauldin的离职。
在安全评估后,Equifax将此次数据泄露关联到了Apache Struts CVE-2017-5638漏洞,并表示因未能及时对该漏洞进行补丁升级才导致黑客成功利用该漏洞进行了此次攻击。
未及时更新Apache Struts补丁,酿成大祸
21世纪经济报道记者就此安全漏洞对360网络安全响应中心负责人蔡玉光进行了采访。据蔡玉光介绍,Apache Struts是一个用于开发Java EE网站应用程序的开放源代码应用程序架构,得益于出色的稳定性,其在全球范围积累了包括众多知名网站在内的大量网站用户,但也因此引起了大量黑客的竞相攻击。
而早在今年3月初,Apache Struts官方便已发布了CVE-2017-5638漏洞公告。据蔡玉光介绍,因Apache Struts2存在被攻击缺陷,黑客可利用漏洞实现远程操控目标主机,可直接导致远程入侵,危害等级已属严重。因此,官方随后便发布了版本更新,并建议用户升级到最新版本以避免遭遇黑客攻击。
“国内有很多基于云防护方式的安全厂商也更新了拦截规则。”蔡玉光表示,“目前并没有直接事件表明中国民众的信息安全受到该漏洞的影响。”但他仍认为,存储了中国民众相关信息的网站,尤其是使用了Apache Struts2应用框架的网站,其管理员应尽快对网站进行相关的安全评估并确认不受影响。
全球网络安全事件频发,解决根本在法律
近年来,美国信息安全问题频发。2016年,雅虎曾先后两次遭遇数据泄露,共有约15亿用户帐号信息被盗。2014年,美国最大金融服务机构之一的摩根大通遭遇黑客攻击,造成了约7600万账户信息被泄。
而全球范围内的网络袭击事件也是层出不穷,今年5月,基于“永恒之蓝”漏洞的勒索病毒肆虐全球网络,在受灾最为严重的英国NHS体系中,部分医院的网络系统甚至一度陷入瘫痪。中国也未能幸免,除了大量企业,高校、公安等本因使用内网而被认为较为安全的机构也遭受波及,教育网更是成为了重灾区。
9月19日,360企业安全集团总裁吴云坤在2017年国家网络安全宣传周“网络安全态势感知论坛”后,在媒体工作室对21世纪经济报道记者就泄露事件带来何种网络安全启示的提问进行了回答。
吴云坤认为,国内虽然尚没有像Equifax这样储存大量公众敏感信息的个人征信机构,但包括蚂 蚁金服、京 东金融在内的众多互联网公司,也同样存有大量的用户信息,信息泄露的风险同样值得警惕。而解决信息安全问题的根本“一定是在法律。”“首先要解决法制问题,比如网络安全追责,”而随着《网络安全法》的出台,一年之内各种相关的条例也会逐步出台,形成一个完善的体系。“否则对大家来说,出事情就是出事情,对我来说就是领导批评一顿,不会上升到法律层面。”吴云坤说道。
2016年11月,第十二届全国人大常委会第二十次会议通过了《中华人民共和国网络安全法》。今年6月1日,《网络安全法》正式生效,成为迄今为止我国网络立法领域效力最高并也是最为重要的一部法律。9月19日,在2017年国家网络安全宣传周“网络安全态势感知论坛”上,工信部网络安全局网络安全管理处副处长袁春阳便以“落实《网络安全法》,加强安全态势感知能力”为题发表了演讲,介绍了我国《网络安全法》的落实情况,包括网络安全试点示范的开展、网络安全威胁处置的推动等。
面对网络安全威胁,防范思路需升级
除立法外,吴云坤表示,一个新的政企安全体系也急需构建:以盖房子和修“篱笆”为例,过去把墙和篱笆修高修牢的思路已经不再适用,如今发生偷盗案件后,警方第一选择都会调取监控录像,而非研究为何高墙未能挡住窃贼,网络安全领域也当如此。如今,应以数据驱动网络安全建设,摒弃过去“修墙”的思路。
“要假设一定有未被发现的漏洞,假设一定有已发现但未修补的漏洞,假设系统已经被渗透,假设内部人员不可靠。”吴云坤表示,“征信机构出问题,一定是在这某一点上。”分析包括此次Equifax数据泄露事件在内的网络安全事件,需要首先认识这四个假设。
此外,中国网络安全的人才缺口也值得我们警惕。吴云坤认为,在国内,像蚂 蚁金服等存有大量消费者个人信息的互联网公司,其大多拥有较强的安全技术,也有充足的资金支持其储备足够的网络安全人才。但对于其他政企体系,尤其是政府部门,其往往不具备相应的能力,这也是在未来的网络安全体系构建中需要注意的一个问题。