从Equifax信息泄露看数据安全
01 | 数据泄露攻击
1、攻击手段
1)利用程序框架或库的已知漏洞。例如Equifax被攻击的Apache Struts漏洞。
2)暴力破解密码。利用密码字典库或是已经泄露的密码来“撞库”。
3)代码注入。通过程序员代码的安全性问题,如SQL注入、XSS攻击、CSRF攻击等取得用户的权限。
4)利用程序日志不小心泄露的信息。
5)社会工程学。
2、背后折射的数据管理问题
1)只有一层安全。
2)弱密码。密码要定期更换,最好的方式是通过数据证书、VPN、双因子验证的方式来登录。
3)向公网暴露了内部系统。
4)未对系统及时打安全补丁。需要监控业内的安全漏洞事件,及时作出响应。
5)安全日志被暴露。安全日志往往包含大量信息,被暴露是非常危险的。
6)保存了不必要保存的用户数据。
7)密码没有被合理地散列。不用明文方式保存密码,如果只保存密码的散列值,要加一个安全随机数作为盐。
02 | 专家建议
1、了解产品中相关的安全问题
1)了解软件产品中使用了哪些支持性框架和库,它们的版本号是多少。时刻跟踪影响这些产品和版本的最新安全性声明。
2、建立一个流程,来快速部署带有安全补丁的软件产品发布版本。
1)最好在几个小时