本案例由真实事件改编
一家大型零售商遭受入侵,造成大约万条信用卡和借记卡记录丢失,零售商的最终总损失估约亿美元,包括必要的银行换卡成本、盗刷费用,和可能产生的法律诉讼费、政府制裁以及各种罚金。该零售商还因为此次泄露事故的曝光,导致接下来的几周销售额下降了46%。
经事故分析发现,该零售商有一个面向服务提供商和供应商的门户网站以便采购和计费,事故最初是由一封黑客发给零售商的服务提供商的网络钓鱼电子邮件导致的。具体的攻击过程如下:Step1:黑客通过侦察锁定目标,然后精心制作一封包含恶意payload的欺骗性电子邮件,并发送给零售商的服务提供商。收到该邮件的服务提供商员工点击了该邮件,电脑在不经意间被黑客控制。Step2:黑客在获得服务提供商内网系统的访问权限后,利用零售商的合作门户访问零售商网络,并利用被控制的电脑攻击门户网站。Step3:黑客利用漏洞攻击目标网站获得网站系统的权限,同时对内部隔离的网络进行横向渗透。Step4:通过横向渗透控制销售终端系统后,在黑客与销售终端系统之间建立一条隧道,将恶意软件发送到销售终端系统所在的服务器,并将恶意软件安装到POS终端上,捕获信用卡和借记卡交易信息。Step5:恶意软件运行后,开始收集敏感数据,并将获取到的客户信息存储在遭受入侵的零售商服务器上。在黑客将收集到的敏感信息泄露到海外之前,经过了一系列互联网服务提供商,以隐藏痕迹。经分析发现,恶意软件安装几周后才开始盗取行动,且数据仅在正常营业时间发送。在事件发生之前,零售商曾向某安全公司进行过业务方面的信息安全咨询。安全公司经过对零售商业务的内外部风险因素分析发现,该零售商的外部防护工作做得不错,但在对合作伙伴和内部的管理方面存在安全风险。因此建议零售商建立闭环的安全运营体系,加强信息安全风险管理和对业务系统进行安全加固,对业务系统进行持续性的安全监测,及时发现攻击行为,在发现攻击行为后,及时通知相关安全责任人进行应急响应。做到事前预防、事中控制、事后补救,降低业务系统的安全风险。零售商的信息安全经理在听取了安全公司的咨询报告后,认为:1.主要的风险来自外部攻击,过去几年已对外部攻击做了足够多的安全防御措施。2.现有服务提供商和供应商均为多年合作伙伴,值得信任。3.安全部门有能力处理好各类安全事件,可以很好地完成安全评估、安全加固和应急响应等相关工作。4.董事会认为业务的发展才是重中之重,财务部门对安全预算并不多,而向安全公司采购完整的安全运营服务需要大量的投入。最后,零售商与安全公司签约了安全监测服务。根据与零售商的协议,在发现入侵时,安全公司第一时间发送了警报给零售商的安全部门,指出遭受入侵的服务器,并针对此次入侵事件提出了处置意见。但零售商的安全团队并没有即刻采取行动,直至几周后,零售商收到某政府机构的通知,告知其已遭受入侵才开始处置行动。事后在零售商的董事会会议上,信息安全经理对此次安全事故进行总结:1.安全部门在收到安全公司指出服务器遭受入侵的通知时,应启动经过测试的事故管理计划,因为如果已有经过测试的事故管理计划,很可能及时发现本次入侵,以采取措施防止更大损失。2.从风险管理的角度来看,建议通过以下措施来预防将来出现类似的事故:更为健全的安全培训和意识活动会告知从供应商到高级管理层的所有相关各方潜在的信息安全风险,这会有利于组织认识和应对潜在的风险事件。意识培训对风险管理有积极影响,额外的安全培训可以帮助安全部门了解在事故发生时该怎么做。此外,需要更完善的第三方管理,包括确保服务提供商和供应商遵守组织的信息安全政策以及授予其相应等级的系统访问权限。3.建立完善的应急响应体系,帮助安全部门确定安全事件的真实性和严重性,并及时采取相关的行动。4.需要开始对安全运营体系进行建设,以业务的整体安全为目标,构建动态的安全防御体系,可以向安全公司购买安全运营服务,弥补组织安全体系的缺失和安全运营能力的不足。此后,在零售商高级管理层的高度重视之下,加大了对信息安全的投入。在听取了安全公司的建议后,决定和安全公司合作进行安全运营体系建设,在持续的安全运营过程中做到了“事前预防、事中控制、事后响应”。到目前为止,零售商虽然遭受了各类安全攻击,但是在及时的响应和处置下,并未造成重大损失,同时也重新建立起客户的信任,销售额稳步上升。文章来源:“西部北斗安全运营中心”