大鸡巴在线草观看黄色片,国产精品你懂得在线观看,黄色录像日本女人吃大屌,在线观看国产h成人网站

?
內(nèi)容中心
按關(guān)鍵字查找
從“萬豪泄露事件”看數(shù)據(jù)安全整個(gè)大環(huán)境
作者:思成 發(fā)布時(shí)間:2018-12-05

摘要

11月30日,萬豪國(guó)際集團(tuán)發(fā)布聲明稱,公司旗下喜達(dá)屋酒店的一個(gè)客房預(yù)訂數(shù)據(jù)庫(kù)被黑客入侵,在2018年9月10日或之前曾在該酒店預(yù)定的最多約5億名客人的信息或被泄露。從萬豪事件披露的公告中我們可以看到,這是一起數(shù)據(jù)庫(kù)安全事件。此事件直接導(dǎo)致萬豪股價(jià)當(dāng)天下跌5.59%。

 01.jpg

筆者就此檢索了喜達(dá)屋相關(guān)的安全事件,發(fā)現(xiàn)喜達(dá)屋不是第一次出現(xiàn)大規(guī)模數(shù)據(jù)泄露問題。3年前喜達(dá)屋已被爆出,因POS惡意軟件入侵,導(dǎo)致旗下54間酒店全部客戶信息泄露。筆者調(diào)研酒店業(yè)的整體安全情況,發(fā)現(xiàn)酒店業(yè)整體安全情況普遍不容樂觀,數(shù)據(jù)泄露事件時(shí)有發(fā)生。

筆者嘗試從技術(shù)角度對(duì)此次萬豪泄露事件進(jìn)行分析,但大量關(guān)鍵信息嚴(yán)重缺失,其中夾雜大量的個(gè)人推測(cè)。希望本文能幫助酒店行業(yè)提高安全意識(shí)。

事件分析

根據(jù)萬豪國(guó)際集團(tuán)發(fā)布的聲明,細(xì)讀后挖掘出時(shí)間線如下:

1.2018年09月08日  萬豪國(guó)際集團(tuán)發(fā)現(xiàn)喜達(dá)屋網(wǎng)絡(luò)被未經(jīng)授權(quán)訪問。

2.聘請(qǐng)專家解決此次安全問題。

3.2018年09月10日  阻斷攻擊,防止數(shù)據(jù)泄露范圍擴(kuò)大。

4.發(fā)現(xiàn)盜取數(shù)據(jù)或從2014年開始

5.發(fā)現(xiàn)黑客復(fù)制并加密數(shù)據(jù)庫(kù)數(shù)據(jù)

6.2018年11月19日  萬豪國(guó)際確定喜達(dá)屋的賓客預(yù)訂數(shù)據(jù)庫(kù)信息被盜。

7.2018年11月30日  發(fā)布安全公告

根據(jù)萬豪國(guó)際的公告,此次攻擊至少?gòu)?014年開始。而2015年喜達(dá)屋被POS惡意軟件入侵的調(diào)查報(bào)告中,指出POC惡意軟件入侵也是在2014年開始。所以有理由相信2014年喜達(dá)屋遭到了有組織的黑客入侵,入侵規(guī)模和范圍都比喜達(dá)屋2015年發(fā)現(xiàn)的更嚴(yán)重。同時(shí)此次事件爆發(fā)后萬豪國(guó)際首席執(zhí)行官Arne Sorenson表示萬豪目前正在逐漸淘汰喜達(dá)屋的系統(tǒng)。這也從側(cè)面印證了,或許直到現(xiàn)在喜達(dá)屋系統(tǒng)中的后門和木馬也并未被全部發(fā)現(xiàn)并清理,為了防止再次發(fā)生類似事件,萬豪決定徹底棄用喜達(dá)屋整套IT系統(tǒng)。

萬豪是在9月8號(hào)發(fā)現(xiàn)的未授權(quán)訪問數(shù)據(jù)問題。9月10日就成功阻斷了入侵攻擊。安全專家花了2個(gè)多月時(shí)間完成對(duì)被盜取的加密數(shù)據(jù)進(jìn)行溯源工作,并恢復(fù)了一部分找到的數(shù)據(jù),嘗試給出了可能被盜取數(shù)據(jù)的范圍。

萬豪國(guó)際的公告中明確指出黑客在喜達(dá)屋的預(yù)訂數(shù)據(jù)庫(kù)中進(jìn)行了數(shù)據(jù)的復(fù)制和加密工作。2014年黑客很可能已經(jīng)在數(shù)據(jù)庫(kù)中留有后門。后門可能是一組觸發(fā)器和存儲(chǔ)過程構(gòu)成。黑客的攻擊很可能如下圖所示:

 02.jpg

圖中簡(jiǎn)單的把喜達(dá)屋的IT系統(tǒng)分為了內(nèi)網(wǎng)和外網(wǎng)兩部分(真實(shí)系統(tǒng)遠(yuǎn)比這個(gè)復(fù)雜)。黑客在2014年的攻擊中應(yīng)該已經(jīng)入侵到喜達(dá)屋的預(yù)定系統(tǒng)數(shù)據(jù)庫(kù)。在入侵后在數(shù)據(jù)庫(kù)中植入了后門。這些后門至少包含一個(gè)用于重復(fù)插入數(shù)據(jù)的觸發(fā)器和一個(gè)用于給數(shù)據(jù)加密的存儲(chǔ)過程。兩者相互配合可以完成黑客在數(shù)據(jù)庫(kù)中復(fù)制且加密數(shù)據(jù)的目的。

圖中綠線是正常用戶的正常操作。正常用戶在訪問喜達(dá)屋的訂票系統(tǒng)后,訂票系統(tǒng)經(jīng)過一系列過程把相關(guān)信息生成一條SQL記錄。SQL記錄錄入到預(yù)訂系統(tǒng)數(shù)據(jù)庫(kù)的B表中。但由于之前黑客已經(jīng)在里面部署了,用于復(fù)制數(shù)據(jù)的觸發(fā)器C和提供加密功能的存儲(chǔ)過程。于是神不知鬼不覺的B表的數(shù)據(jù),就被加密后復(fù)制到A表中了。黑客就可以不定期的從A表中讀取B表的敏感數(shù)據(jù)。

圖中紅線是黑客拿取數(shù)據(jù)的路線。黑客沿著自己打通的內(nèi)網(wǎng)外系統(tǒng)去訪問數(shù)據(jù)庫(kù)中的表A。結(jié)果這次被萬豪的安全工具發(fā)現(xiàn)。萬豪的安全工具很可能是基于訪問ip記錄,發(fā)現(xiàn)的此次未授權(quán)訪問。

此事件中黑客把敏感數(shù)據(jù)加密,然后傳出,更說明這是個(gè)有組織的黑客團(tuán)體行為。加密敏感數(shù)據(jù),可以有效的延長(zhǎng)安全審計(jì)系統(tǒng)發(fā)現(xiàn)敏感數(shù)據(jù)被盜取的情況。即便被捕獲異常流量,也給分析溯源帶來巨大難度。其次加密敏感數(shù)據(jù)也有效的防止自身系統(tǒng)被其他黑客組織攻破,而失去敏感數(shù)據(jù)。這個(gè)黑客團(tuán)體盡最大努力保證這份數(shù)據(jù)完全在自己的控制下。

黑客動(dòng)機(jī)分析

酒店業(yè)的數(shù)據(jù)盜取事件一直層出不窮。這和酒店業(yè)天生對(duì)外接口多且業(yè)務(wù)復(fù)雜,給黑客更多入侵的機(jī)會(huì)有一定關(guān)系。但黑客組織一直盯著酒店業(yè)數(shù)據(jù)的主要原因,不是酒店業(yè)易于入侵的IT環(huán)境,而是酒店業(yè)數(shù)據(jù)中自帶的巨大經(jīng)濟(jì)效益。根據(jù)多年對(duì)黑客入侵趨勢(shì)的研究,如今的黑客攻擊都是以隱匿自己、快速折現(xiàn)為目地。恰好酒店業(yè)有一種數(shù)據(jù)滿足黑客上述要求。

此次萬豪聲明外泄的數(shù)據(jù)包含:姓名、郵寄地址、電話號(hào)碼、電子郵件地址、護(hù)照號(hào)碼、SPG俱樂部賬戶信息、出生如期、性別、到達(dá)與離開信息、預(yù)定日期和通信偏好、支付卡號(hào)和支付卡有效期。包含萬豪在內(nèi)大部分酒店把安全防護(hù)重點(diǎn)放在泄露的支付卡號(hào)和支付卡有效期這兩組數(shù)據(jù)上,但實(shí)際上除非黑客只希望用這筆數(shù)據(jù)掙一次錢,否則絕對(duì)不會(huì)嘗試盜刷信用卡或出售用戶數(shù)據(jù)。黑客隱藏了4年才被意外發(fā)現(xiàn),說明黑客之前并未大規(guī)模販賣盜取的個(gè)人信息和信用卡信息。

從2013年開始黑市上的個(gè)人信息質(zhì)量大幅下降。只有一些小型的黑客團(tuán)伙還在交易個(gè)人信息。大型黑客團(tuán)伙已經(jīng)放棄通過倒賣個(gè)人信息牟利,而是通過對(duì)數(shù)據(jù)的深度挖掘和利用進(jìn)行牟利。信用卡信息確實(shí)在黑市有很大市場(chǎng),但一旦盜刷,很快會(huì)被用戶發(fā)現(xiàn)。加上用戶安全意識(shí)的提高、以及銀行的各種措施,很可能盜刷失敗,還會(huì)暴露自己。

萬豪公布的被盜數(shù)據(jù)中的SPG俱樂部賬號(hào)信息才是黑客盜取的主要目標(biāo)。酒店為了吸引回頭客一般會(huì)給自己的會(huì)員提供忠誠(chéng)度積分。忠誠(chéng)度積分可以用來進(jìn)行換住宿、換機(jī)票、換購(gòu)物卡等一系列有價(jià)值的商品。忠誠(chéng)度積分一定會(huì)設(shè)計(jì)成被用戶易于使用。大部分忠誠(chéng)度積分都是可以從用戶A轉(zhuǎn)移到用戶B處。SPG也不例外,SPG的忠誠(chéng)度積分也可以兌換多種有價(jià)值的東西,同時(shí)支持積分轉(zhuǎn)移能力。SPG積分在Dream Market、Olympus and Berlusconi Market等線上黑市都有巨大交易額,在黑市1個(gè)SPG積分價(jià)格在5美分左右(官網(wǎng)價(jià)格35美分)。獲得SPG俱樂部帳號(hào)和用戶電話號(hào)后,黑客可以很容易的把用戶的SPG積分轉(zhuǎn)移出來進(jìn)行出售。大部分用戶搞不清楚自己具體的積分?jǐn)?shù)量。所以只要黑客對(duì)著5億用戶每次只轉(zhuǎn)移有限的積分,就可以穩(wěn)定持續(xù)的利用SPG忠誠(chéng)度積分賺錢,而不被發(fā)現(xiàn)。

解決之道

此次萬豪安全事件,歸根結(jié)底可能是2015年喜達(dá)屋未完全清理IT系統(tǒng)木馬后門導(dǎo)致。安全不是簡(jiǎn)單的邊界和外網(wǎng)安全,內(nèi)網(wǎng)安全尤其是數(shù)據(jù)庫(kù)安全更加關(guān)鍵。

如果使用適當(dāng)?shù)陌踩ぞ邔?duì)數(shù)據(jù)庫(kù)定期掃描。應(yīng)該早就能發(fā)現(xiàn)黑客在預(yù)訂數(shù)據(jù)庫(kù)中殘留的木馬、后門,也就不會(huì)發(fā)生現(xiàn)在的5億數(shù)據(jù)泄露事件。

首先萬豪應(yīng)該部署具有檢測(cè)數(shù)據(jù)庫(kù)中異常包、存儲(chǔ)過程、觸發(fā)器、各項(xiàng)參數(shù)以及后門的數(shù)據(jù)庫(kù)掃描類工具。這些檢測(cè)語句可以幫助用戶早發(fā)現(xiàn)早鏟除潛在的數(shù)據(jù)庫(kù)木馬和后門。

當(dāng)然只依賴于數(shù)據(jù)庫(kù)掃描類工具的定期巡檢是遠(yuǎn)遠(yuǎn)不夠的。掃描類產(chǎn)品能發(fā)現(xiàn)的基本屬于已經(jīng)出現(xiàn)的安全威脅,對(duì)未知的安全威脅的探查能力可能不足。想要對(duì)未知的安全威脅做防護(hù)則需要具備能讀懂SQL語義的數(shù)據(jù)庫(kù)防火墻。如果2014年喜達(dá)屋就部署了能讀懂SQL語義的數(shù)據(jù)庫(kù)防火墻相信,就不會(huì)被黑客植入木馬或后門。

能讀懂SQL的意思是,基于SQL語法解析,聯(lián)系上下文理解存儲(chǔ)過程或包中是否存在惡意行為。數(shù)據(jù)庫(kù)防火墻能識(shí)別所有去向數(shù)據(jù)庫(kù) 觸發(fā)器、儲(chǔ)過程中的SQL。通過SQL語法分析器,識(shí)別是否存在惡意行為。數(shù)據(jù)庫(kù)防火墻在SQL語法分析器后不是單純的就單句SQL進(jìn)行行為分析。而是對(duì)整個(gè)SQL語句包根據(jù)上下文環(huán)境的SQL行為進(jìn)行分析。當(dāng)整個(gè)SQL語句包中存在命中安全規(guī)則的多個(gè)必要點(diǎn)時(shí),則可以判斷該語句包存在惡意行為,會(huì)主動(dòng)阻斷該語句包,并向相關(guān)人員進(jìn)行危險(xiǎn)告警。

數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)漏掃,從不同層面和角度防護(hù)數(shù)據(jù)庫(kù)被植入木馬或后門。數(shù)據(jù)庫(kù)防火墻利用SQL分析技術(shù),依托上下文SQL語境,動(dòng)態(tài)抓出存在惡意行為的語句包進(jìn)行實(shí)施攔截。數(shù)據(jù)庫(kù)漏掃依托授權(quán)檢測(cè)中針對(duì)數(shù)據(jù)庫(kù)中異常包、存儲(chǔ)過程、觸發(fā)器、各項(xiàng)參數(shù)以及后門的檢測(cè)語句,進(jìn)行對(duì)已知威脅的檢查,防止數(shù)據(jù)庫(kù)中存在隱患。

 03.jpg

他們二者除了可以從不同維度防護(hù)針對(duì)數(shù)據(jù)庫(kù)的后門或木馬攻擊外,還可以通過相互聯(lián)動(dòng)增強(qiáng)兩者的實(shí)力。數(shù)據(jù)庫(kù)防火墻攔截下一個(gè)新型隱患,數(shù)據(jù)庫(kù)漏掃則根據(jù)這個(gè)新型的特征更新掃描檢測(cè)項(xiàng)。一旦數(shù)據(jù)庫(kù)防火墻未發(fā)現(xiàn),但漏掃發(fā)現(xiàn)安全隱患,則數(shù)據(jù)庫(kù)防火墻根據(jù)隱患特征更新防護(hù)策略。優(yōu)化已有安全策略,進(jìn)一步提高防護(hù)能力。

那么,我們借“萬豪數(shù)據(jù)泄露事件”回望2018年,看看忽略了什么?又應(yīng)該重視什么?

2018年年終將至,對(duì)從事信息安全工作的人來說,讓我們印象更深刻的應(yīng)該還是2018年一起又一起起轟動(dòng)全球的“信息安全事件”。

2018年3月,F(xiàn)acebook爆出史上最大規(guī)模數(shù)據(jù)泄露事件,牽出驚天丑聞。扎克伯格一度落下神壇,成為俎上之肉。

2018年8月,1.3億身份數(shù)據(jù)泄露事件將華住酒店集團(tuán)推上了風(fēng)口浪尖,當(dāng)然大家最關(guān)心的還是另外一個(gè)話題,自己的開房記錄會(huì)不會(huì)被公開。

2018年10月,香港國(guó)泰及港龍航空的940萬名客戶資料外泄,事件若牽涉歐洲公民,有可能被歐盟罰款約39億元港幣。

2018年11月,RushQL勒索病毒卷土重來。時(shí)隔兩年,同一個(gè)勒索病毒竟然能把我們這么多企業(yè)擊倒兩次。

2018年12月1日,早晨起來第一個(gè)爆炸性新聞出爐,萬豪酒店數(shù)據(jù)庫(kù)被入侵,5億人私密信息或外泄。消息公布后,萬豪國(guó)際美股股盤前一度大跌逾5%!

自“斯諾登事件”以來,信息安全對(duì)每個(gè)個(gè)體而言都已經(jīng)不再陌生,全球的信息安全事業(yè)也可謂如火如荼。以Facebook、萬豪、華數(shù)、香港航空等這種體量的全球型公司,在信息安全方面的投入不會(huì)小,但是為什么“數(shù)據(jù)泄露”事件頻頻發(fā)生,像夢(mèng)魘一樣時(shí)刻糾纏折磨著我們。總結(jié)三點(diǎn)原因如下:

1、技術(shù)演進(jìn)催生更多復(fù)雜場(chǎng)景,相伴相生更多新問題。

隨著云計(jì)算、大數(shù)據(jù)等新型IT技術(shù)的演進(jìn),數(shù)據(jù)泄露的勢(shì)頭不僅沒有止步反而愈演愈烈。尤其在大數(shù)據(jù)場(chǎng)景下,數(shù)據(jù)從多個(gè)渠道大量匯聚,數(shù)據(jù)類型、用戶角色和應(yīng)用需求更加多樣化,訪問控制面臨諸多新的問題。

2、技術(shù)突飛猛進(jìn),組織、企業(yè)的信息安全意識(shí)卻慣之以“落后”。

這并非單指用戶吝惜在“信息安全”上的投入,而是對(duì)信息安全問題心存僥幸,重視結(jié)果忽視過程雖然花了大量資金購(gòu)置“安全產(chǎn)品”,卻往往只是在面臨檢查的時(shí)候拿出來用一用,用完了再束之高閣。將安全產(chǎn)品真正使用起來的用戶,太少,太少。

例如,最近又一次爆發(fā)的RushQL勒索病毒。早在2016年這種病毒就爆發(fā)過一次席卷全球的沖擊波。雖然,檢測(cè)手段和解決方案在網(wǎng)絡(luò)上隨處可見,但時(shí)隔兩年,同一個(gè)病毒再次爆發(fā),再一次將一大批企業(yè)擊倒。安華金和的數(shù)據(jù)庫(kù)防火墻產(chǎn)品,專項(xiàng)增加了這種勒索病毒的防護(hù)規(guī)則,只要開啟防火墻規(guī)則就可以避免這種入侵行為。但事實(shí)證明“歷史給人類最大的教訓(xùn)就是我們從來不從歷史中得到任何教訓(xùn)”。

3、安全市場(chǎng)亂象,抓不住重點(diǎn)是根本。

“數(shù)據(jù)”是信息系統(tǒng)的核心資產(chǎn),而數(shù)據(jù)庫(kù)是“數(shù)據(jù)資產(chǎn)”的載體?!?a href="http://www.wallpapic-fi.com/" target="_blank" title="數(shù)據(jù)庫(kù)安全" style="white-space: normal;">數(shù)據(jù)庫(kù)安全”理應(yīng)作為一門獨(dú)立的課程,引起用戶的重視。據(jù)《2017年全球數(shù)據(jù)泄露成本研究》報(bào)告顯示,早期,惡意攻擊者的目標(biāo)是業(yè)務(wù)系統(tǒng),以導(dǎo)致業(yè)務(wù)中斷為目的。近年伴隨數(shù)據(jù)資產(chǎn)價(jià)值與日俱增,惡意攻擊者的目標(biāo)越來越多的指向數(shù)據(jù)存儲(chǔ)的基礎(chǔ)設(shè)施——數(shù)據(jù)庫(kù)系統(tǒng)。換言之,“數(shù)據(jù)庫(kù)安全”是“數(shù)據(jù)安全”的最后一層底線。如果數(shù)據(jù)庫(kù)被突破,數(shù)據(jù)安全便無從談起。

數(shù)據(jù)庫(kù)安全領(lǐng)域,主要包含了數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)脫敏、數(shù)據(jù)庫(kù)加密等數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)。專業(yè)的安全企業(yè)應(yīng)當(dāng)具備安全攻防的研究能力和技術(shù)積累,能夠?yàn)橛脩籼峁┘皶r(shí)有效的安全事件響應(yīng),在最短時(shí)間內(nèi)控制泄露規(guī)模和態(tài)勢(shì),并能夠通過分析攻擊樣本,提供有效的安全加固策略。

最后,站在戰(zhàn)略層面總結(jié)數(shù)據(jù)安全技術(shù)保護(hù),要以數(shù)據(jù)安全治理的技術(shù)思路,來踐行中國(guó)信息通信研究院給出的建議:

● 一是建立覆蓋數(shù)據(jù)收集、傳輸、存儲(chǔ)、處理、共  享、銷毀全生命周期的安全防護(hù)體系,綜合利用數(shù)據(jù)源驗(yàn)證、大規(guī)模傳輸加密、非關(guān)系型數(shù)據(jù)庫(kù)加密存儲(chǔ)、隱私保護(hù)、數(shù)據(jù)交易安全、數(shù)據(jù)防泄露、追蹤溯源、數(shù)據(jù)銷毀等技術(shù),與系統(tǒng)現(xiàn)有信息安全技術(shù)設(shè)施相結(jié)合,建立縱深的防御體系。

● 二是提升大數(shù)據(jù)平臺(tái)本身的安全防御能力,引入用戶和組件的身份認(rèn)證、細(xì)粒度的訪問控制、數(shù)據(jù)操作安全審計(jì)、數(shù)據(jù)脫敏等隱私保護(hù)機(jī)制,從機(jī)制上防止數(shù)據(jù)的未授權(quán)訪問和泄露,同時(shí)增加大數(shù)據(jù)平臺(tái)組件配置和運(yùn)行過程中隱含的安全問題的關(guān)注,加強(qiáng)對(duì)平臺(tái)緊急安全事件的響應(yīng)能力。

● 三是實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)檢測(cè)的轉(zhuǎn)變,借助大數(shù)據(jù)分析、人工智能等技術(shù),實(shí)現(xiàn)自動(dòng)化威脅識(shí)別、風(fēng)險(xiǎn)阻斷和攻擊溯源,從源頭上提升大數(shù)據(jù)安全防御水平,提升對(duì)未知威脅的防御能力和防御效率。

?