黑客窃取企业数据是一种怎样的体验?
美国Anthem医疗保险公司的信息泄密事件经过一周的发酵逐渐降温,或许Anthem的事件只是医疗行业信息泄露的开始,未来医疗行业的泄密危机依然存在。企业会在数据遭窃后迅速通报,控诉黑客的行径,而对于黑客来说,窃取Anthem的数据是怎么做到的呢,或许我们应该看看黑客窃密的体验,对未来,也是一种借鉴。
据美联社报道,黑客至少利用了Anthem五名内部员工的系统口令。Anthem自己则声称,至少有一名管理员权限的账户被黑客入侵,因为该账户的所有者发现他的账户被用来查询系统的数据库。那么,黑客是从哪里开始入侵呢?
利用员工信息进行定制化钓鱼攻击
首先,黑客在职业社交网站上对Anthem的员工进行钓鱼邮件攻击,职业社交网站上用户的企业信息一览无遗,黑客获得员工的邮件账号几乎不费力气。黑客使用恶意软件作为邮件附件,攻击众多员工中的一个,只要一个人点开了邮件的附件,钓鱼攻击便成功得逞。黑客通过受害者的系统账号得以访问内部数据,由于黑客针对受害者进行定制化攻击,而Anthem的安全人员在黑客入侵之前都没有定期更新和升级安全软件,因此成功避开企业内部大多数防病毒软件的检测并不是难事。
企业内部不正确的访问控制
值得注意的是,黑客得以进入Anthem系统的关键点在于,Anthem并未设置额外的认证机制,仅凭一个登陆口令或一个key就能够以管理员权限访问整个数据库。客观的说,Anthem最主要的安全失误不是缺少数据加密,而是不正确的访问控制。实际上用户的数据也没有加密,否则即便攻击者拿到管理员权限的账户也无济于事。访问控制的懈怠是今天许多机构都普遍存在的问题,它不仅会增加外部钓鱼攻击的风险,同样也是严重的内部威胁,高级别用户的一些简单错误就会引发,Anthem并非个例。黑客攻击企业数据系统,或许就像玩游戏节节闯关那般地顺利。
企业最常见的八大信息安全疏漏
去年英国曾发布过一份报告分析关于威胁个人和企业IT安全的八大常见的信息安全疏漏,报告指出影响企业安全的八大疏漏包括:
未能及时升级更新安全软件;
缺乏对SQL注入的防护;
使用了不必要的服务;
对不再使用的旧软件和服务的处置不当;
数据库弱密码访问限制;
未能加密在线通讯(正确配置SSL/TLS);
没有对数据库进行加密处理;
使用包含密码的默认账户;
Anthem企业内部也存在上述的某些漏洞,才导致黑客能够入侵成功。如果Anthem有定期升级更新安全软件,当黑客的钓鱼邮件发送至员工的邮箱时,安全软件会进行扫描检测,识别恶意软件及时报警,危机在这一关口得以控制,黑客的计划也无法继续推进。另外,Anthem的管理员登陆口令没有设置多重限制,仅凭单一密码便可以管理员权限访问整个数据库,更糟糕的是没有对数据库进行加密处理……
我们不难得出结论,其实所谓的“道高一尺魔高一丈”不过是自欺欺人的说法,黑客能够得逞,更多时候是因为企业的安全防御真的太弱了。黑客或许在成功入侵数据库后,会很失望地说,一点也不刺激,我想要的体验可不止这些!黑客攻击手法在变化,企业安全防御要提高,医疗信息可别成为黑客的体验游戏。
文章取材:信息防泄露大讲堂