發布源:深圳維創信息技術發布時間:2020-09-14 瀏覽次數: 次
多位知情人士透露,Equifax公司系統早在今年3月就曾遭遇黑客嚴重入侵,比該公司此前公布的被襲時間再次提早近5個月。
9月7日,美國三大征信機構之一的Equifax公司通過一份聲明告知公眾,其公司網絡于今年5月至7月間遭黑客攻擊,導致約1.43億美國消費者個人信息被泄露。
因波及范圍之廣、被泄信息之關鍵,這已成為近年來規模最大且最具威脅的信息泄露事件之一。
上周,美國聯邦貿易委員會(FTC)與聯邦調查局(FBI)均已介入對此次事件的調查。
此外,美國眾議院也將于10月3日舉行第一場關于Equifax數據泄露的國會聽證會,Equifax首席執行官Richard Smith也將出庭作證。
Equifax已發表聲明宣布了其首席信息官David Webb和首席安全官Susan Mauldin的離職。
在安全評估后,Equifax將此次數據泄露關聯到了Apache Struts CVE-2017-5638漏洞,并表示因未能及時對該漏洞進行補丁升級才導致黑客成功利用該漏洞進行了此次攻擊。
未及時更新Apache Struts補丁,釀成大禍 21世紀經濟報道記者就此安全漏洞對360網絡安全響應中心負責人蔡玉光進行了采訪。
據蔡玉光介紹,Apache Struts是一個用于開發Java EE網站應用程序的開放源代碼應用程序架構,得益于出色的穩定性,其在全球范圍積累了包括眾多知名網站在內的大量網站用戶,但也因此引起了大量黑客的競相攻擊。
而早在今年3月初,Apache Struts官方便已發布了CVE-2017-5638漏洞公告。
據蔡玉光介紹,因Apache Struts2存在被攻擊缺陷,黑客可利用漏洞實現遠程操控目標主機,可直接導致遠程入侵,危害等級已屬嚴重。
因此,官方隨后便發布了版本更新,并建議用戶升級到最新版本以避免遭遇黑客攻擊。
“國內有很多基于云防護方式的安全廠商也更新了攔截規則。
”蔡玉光表示,“目前并沒有直接事件表明中國民眾的信息安全受到該漏洞的影響。
”但他仍認為,存儲了中國民眾相關信息的網站,尤其是使用了Apache Struts2應用框架的網站,其管理員應盡快對網站進行相關的安全評估并確認不受影響。
全球網絡安全事件頻發,解決根本在法律 近年來,美國信息安全問題頻發。
2016年,雅虎曾先后兩次遭遇數據泄露,共有約15億用戶帳號信息被盜。
2014年,美國最大金融服務機構之一的摩根大通遭遇黑客攻擊,造成了約7600萬賬戶信息被泄。
而全球范圍內的網絡襲擊事件也是層出不窮,今年5月,基于“永恒之藍”漏洞的勒索病毒肆虐全球網絡,在受災最為嚴重的英國NHS體系中,部分醫院的網絡系統甚至一度陷入癱瘓。
中國也未能幸免,除了大量企業,高校、公安等本因使用內網而被認為較為安全的機構也遭受波及,教育網更是成為了重災區。
9月19日,360企業安全集團總裁吳云坤在2017年國家網絡安全宣傳周“網絡安全態勢感知論壇”后,在媒體工作室對21世紀經濟報道記者就泄露事件帶來何種網絡安全啟示的提問進行了回答。
吳云坤認為,國內雖然尚沒有像Equifax這樣儲存大量公眾敏感信息的個人征信機構,但包括螞 蟻金服、京 東金融在內的眾多互聯網公司,也同樣存有大量的用戶信息,信息泄露的風險同樣值得警惕。
而解決信息安全問題的根本“一定是在法律。
”“首先要解決法制問題,比如網絡安全追責,”而隨著《網絡安全法》的出臺,一年之內各種相關的條例也會逐步出臺,形成一個完善的體系。
“否則對大家來說,出事情就是出事情,對我來說就是領導批評一頓,不會上升到法律層面。
”吳云坤說道。
2016年11月,第十二屆全國人大常委會第二十次會議通過了《中華人民共和國網絡安全法》。
今年6月1日,《網絡安全法》正式生效,成為迄今為止我國網絡立法領域效力最高并也是最為重要的一部法律。
9月19日,在2017年國家網絡安全宣傳周“網絡安全態勢感知論壇”上,工信部網絡安全局網絡安全管理處副處長袁春陽便以“落實《網絡安全法》,加強安全態勢感知能力”為題發表了演講,介紹了我國《網絡安全法》的落實情況,包括網絡安全試點示范的開展、網絡安全威脅處置的推動等。
面對網絡安全威脅,防范思路需升級 除立法外,吳云坤表示,一個新的政企安全體系也急需構建:以蓋房子和修“籬笆”為例,過去把墻和籬笆修高修牢的思路已經不再適用,如今發生偷盜案件后,警方第一選擇都會調取監控錄像,而非研究為何高墻未能擋住竊賊,網絡安全領域也當如此。
如今,應以數據驅動網絡安全建設,摒棄過去“修墻”的思路。
“要假設一定有未被發現的漏洞,假設一定有已發現但未修補的漏洞,假設系統已經被滲透,假設內部人員不可靠。
”吳云坤表示,“征信機構出問題,一定是在這某一點上。
”分析包括此次Equifax數據泄露事件在內的網絡安全事件,需要首先認識這四個假設。
此外,中國網絡安全的人才缺口也值得我們警惕。
吳云坤認為,在國內,像螞 蟻金服等存有大量消費者個人信息的互聯網公司,其大多擁有較強的安全技術,也有充足的資金支持其儲備足夠的網絡安全人才。
但對于其他政企體系,尤其是政府部門,其往往不具備相應的能力,這也是在未來的網絡安全體系構建中需要注意的一個問題。
Copyright © 2021 深圳市維創信息技術有限公司 版權所有