上周披露的美國醫(yī)療保險(xiǎn)商Anthem被入侵一事，可能是有史以來最大的一起醫(yī)療信息泄露事件。超過8000萬個(gè)人信息被盜，包括當(dāng)前和以前的保險(xiǎn)客戶和員工。

[[127668]]

據(jù)美聯(lián)社報(bào)道，黑客至少利用了Anthem五名內(nèi)部員工的系統(tǒng)口令。Anthem自己則聲稱，至少有一名管理員權(quán)限的賬戶被黑客入侵，因?yàn)樵撡~戶的所有者發(fā)現(xiàn)他的賬戶被用來查詢系統(tǒng)的數(shù)據(jù)庫。那么，黑客是有可能是從哪里開始入侵呢?

我們來看看職業(yè)社交網(wǎng)站LinkedIn上的情況。

在LinkedIn上查找Anthem，可迅速找到上百條其員工信息，包括高管、系統(tǒng)架構(gòu)師和數(shù)據(jù)庫管理員，并可從中輕易發(fā)現(xiàn)Anthem使用的數(shù)據(jù)庫是TeraData，并且得到這些人員的個(gè)人信息包括郵件用做釣魚攻擊。

無論是通過瀏覽器漏洞，還是使用惡意軟件作為郵件附件，一旦釣魚攻擊成功，再進(jìn)一步拿到受害者的系統(tǒng)賬號得以訪問內(nèi)部數(shù)據(jù)庫就很簡單了。也許報(bào)道上所稱的“高端精密的惡意軟件”就是用來進(jìn)釣魚攻擊的，因?yàn)獒槍κ芎φ哌M(jìn)行定制化攻擊，因此避開大多數(shù)防病毒軟件的檢測并不是件難事。

值得注意的是，黑客得以進(jìn)入系統(tǒng)的關(guān)鍵點(diǎn)在于，Anthem并未設(shè)置額外的認(rèn)證機(jī)制，僅憑一個(gè)登錄口令或一個(gè)Key就能夠以管理員權(quán)限訪問整個(gè)數(shù)據(jù)庫?？陀^的說，Anthem最主要的安全失誤不是缺少數(shù)據(jù)加密，而是不正確的訪問控制。實(shí)際上用戶的數(shù)據(jù)也沒有加密，否則即便攻擊者拿到管理員權(quán)限的賬戶也無濟(jì)于事。要知道TeraData本身就提供了數(shù)種安全機(jī)制，包括加密和數(shù)據(jù)屏蔽功能。因此很可能，漏洞并不出在軟件本身，而是基于業(yè)務(wù)和運(yùn)營需要所做的系統(tǒng)及訪問控制的安全策略問題。

訪問控制的懈怠是今天許多機(jī)構(gòu)都普遍存在的問題，它不僅會增加外部釣魚攻擊的風(fēng)險(xiǎn)，同樣也是嚴(yán)重的內(nèi)部威脅，高級別用戶的一些簡單錯(cuò)誤就會引發(fā)。Anthem并非個(gè)例。

“過于強(qiáng)調(diào)來自外部的攻擊防御、以及服務(wù)器區(qū)的安全加強(qiáng)等，忽略入侵路徑載體之內(nèi)網(wǎng)的各種終端、忽略業(yè)務(wù)及應(yīng)用與載體的融合，是導(dǎo)致各種安全威脅不知不覺發(fā)生的一個(gè)重要因素。訪問控制需要增加來自終端的合法性、合規(guī)性的策略管理，在終端入網(wǎng)前把安全威脅降到最低。”--畫方科技CEO劉正海

還有一個(gè)因素也應(yīng)當(dāng)引起企業(yè)的重視，數(shù)據(jù)庫活動的監(jiān)控。試想，如果管理員沒有發(fā)現(xiàn)他的登錄憑證被盜用，則泄露的數(shù)據(jù)會更多，造成的損失會更大，事件處理起來會更加困難。

原文地址：http://www.aqniu.com/neo-points/6596.html