史上最大醫(yī)療信息泄露事件Anthem被入侵的分析
上周披露的美國醫(yī)療保險商Anthem被入侵一事,可能是有史以來最大的一起醫(yī)療信息泄露事件。超過8000萬個人信息被盜,包括當(dāng)前和以前的保險客戶和員工。
據(jù)美聯(lián)社報道,黑客至少利用了Anthem五名內(nèi)部員工的系統(tǒng)口令。Anthem自己則聲稱,至少有一名管理員權(quán)限的賬戶被黑客入侵,因為該賬戶的所有者發(fā)現(xiàn)他的賬戶被用來查詢系統(tǒng)的數(shù)據(jù)庫。那么,黑客是有可能是從哪里開始入侵呢?
我們來看看職業(yè)社交網(wǎng)站LinkedIn上的情況。
在LinkedIn上查找Anthem,可迅速找到上百條其員工信息,包括高管、系統(tǒng)架構(gòu)師和數(shù)據(jù)庫管理員,并可從中輕易發(fā)現(xiàn)Anthem使用的數(shù)據(jù)庫是TeraData,并且得到這些人員的個人信息包括郵件用做釣魚攻擊。
無論是通過瀏覽器漏洞,還是使用惡意軟件作為郵件附件,一旦釣魚攻擊成功,再進一步拿到受害者的系統(tǒng)賬號得以訪問內(nèi)部數(shù)據(jù)庫就很簡單了。也許報道上所稱的“高端精密的惡意軟件”就是用來進釣魚攻擊的,因為針對受害者進行定制化攻擊,因此避開大多數(shù)防病毒軟件的檢測并不是件難事。
值得注意的是,黑客得以進入系統(tǒng)的關(guān)鍵點在于,Anthem并未設(shè)置額外的認證機制,僅憑一個登錄口令或一個Key就能夠以管理員權(quán)限訪問整個數(shù)據(jù)庫。客觀的說,Anthem最主要的安全失誤不是缺少數(shù)據(jù)加密,而是不正確的訪問控制。實際上用戶的數(shù)據(jù)也沒有加密,否則即便攻擊者拿到管理員權(quán)限的賬戶也無濟于事。要知道TeraData本身就提供了數(shù)種安全機制,包括加密和數(shù)據(jù)屏蔽功能。因此很可能,漏洞并不出在軟件本身,而是基于業(yè)務(wù)和運營需要所做的系統(tǒng)及訪問控制的安全策略問題。
訪問控制的懈怠是今天許多機構(gòu)都普遍存在的問題,它不僅會增加外部釣魚攻擊的風(fēng)險,同樣也是嚴(yán)重的內(nèi)部威脅,高級別用戶的一些簡單錯誤就會引發(fā)。Anthem并非個例。
“過于強調(diào)來自外部的攻擊防御、以及服務(wù)器區(qū)的安全加強等,忽略入侵路徑載體之內(nèi)網(wǎng)的各種終端、忽略業(yè)務(wù)及應(yīng)用與載體的融合,是導(dǎo)致各種安全威脅不知不覺發(fā)生的一個重要因素。訪問控制需要增加來自終端的合法性、合規(guī)性的策略管理,在終端入網(wǎng)前把安全威脅降到最低。”--畫方科技CEO劉正海
還有一個因素也應(yīng)當(dāng)引起企業(yè)的重視,數(shù)據(jù)庫活動的監(jiān)控。試想,如果管理員沒有發(fā)現(xiàn)他的登錄憑證被盜用,則泄露的數(shù)據(jù)會更多,造成的損失會更大,事件處理起來會更加困難。
