|
案例研究:遭受攻擊
引言
一個(gè)很大的虛構(gòu)銀行企業(yè)分了好多個(gè)部門(mén),其中兩個(gè)分別為外部銀行業(yè)務(wù)部門(mén)和內(nèi)部支持部門(mén)。所有本地辦公室都屬于外部銀行業(yè)務(wù)部門(mén)。所有的支持活動(dòng)(例如市場(chǎng)、銷(xiāo)售和 IT)都屬于內(nèi)部支持部門(mén)。為了使該企業(yè)贏利,這兩個(gè)部門(mén)需要在工作中緊密合作。
不久前,IT 部門(mén)與某個(gè) ASP 達(dá)成了一項(xiàng)協(xié)議,幫助它們引進(jìn)新的銀行解決方案。除了取錢(qián)和存錢(qián)外,客戶(hù)應(yīng)該可通過(guò) Internet 執(zhí)行所有的銀行交易。而實(shí)際建立的解決方案甚至更加完善。因?yàn)橐獔?zhí)行第一個(gè)解決方案,就必須訪問(wèn)所有客戶(hù)帳戶(hù),同時(shí)將本地辦公室連接到 ASP 以便對(duì)涉及客戶(hù)帳戶(hù)的信息進(jìn)行檢索和修改,似乎也是合乎邏輯的。
最后的網(wǎng)絡(luò)設(shè)置如下所示。
如果您的瀏覽器不支持內(nèi)嵌框,請(qǐng)單擊此處在單獨(dú)的頁(yè)中查看。
在 ASP 和銀行企業(yè)之間有一個(gè)未來(lái)一年的服務(wù)級(jí)別協(xié)議 (SLA)。該 SLA 中包括所涉及的“服務(wù)管理”問(wèn)題(事件管理、更改管理、容量管理、可用性管理、應(yīng)急規(guī)劃和安全管理)。針對(duì)所有這些問(wèn)題都規(guī)定了服務(wù)級(jí)別、報(bào)告時(shí)間以及 ASP 和銀行雙方的義務(wù)。
SLA 中的安全部分
在 SLA 的安全部分,銀行和 ASP 就安全策略是什么以及在識(shí)別出安全事件時(shí)需要采取什么步驟,達(dá)成了一致的協(xié)議。并一起確定了一個(gè)溝通規(guī)劃,以確保將以正確的方式通知所涉及到的每一個(gè)人。關(guān)于用什么工具來(lái)保護(hù)銀行安全,還規(guī)定了一些技術(shù)問(wèn)題。
攻擊
某個(gè)星期一的早晨,本地辦公室的一名職工發(fā)現(xiàn)獲取帳戶(hù)信息需要很長(zhǎng)時(shí)間。因?yàn)橹佬瞧谝辉绯靠偸浅霈F(xiàn)與 IT 相關(guān)的問(wèn)題,所以該職工沒(méi)有太注意。他繼續(xù)做其它的工作。過(guò)了一些時(shí)候,他聽(tīng)到同事們說(shuō)他們?cè)跈z索信息中也遇到了同樣的問(wèn)題。他們請(qǐng)教辦公室里的 IT 高手,希望找到解決的辦法。當(dāng) IT 高手報(bào)告說(shuō)他的所有嘗試都已失敗時(shí),已經(jīng)到中午了。此時(shí),與幫助臺(tái)取得了聯(lián)系。幫助臺(tái)詢(xún)問(wèn)了一些必要的問(wèn)題并記錄下這個(gè)電話。雙方都一致認(rèn)為該事件的影響似乎很小(因?yàn)檫可以檢索到帳戶(hù)信息),因此該事件只是被確定為低優(yōu)先級(jí)。這就是說(shuō)沒(méi)人會(huì)馬上著手開(kāi)始解決該事件。
一個(gè)小時(shí)后,從任何本地辦公室都無(wú)法檢索帳戶(hù)信息。測(cè)試還表明,客戶(hù)無(wú)法通過(guò) Internet 訪問(wèn)其帳戶(hù)。到銀行客戶(hù)的界面實(shí)際上是被關(guān)閉了。由于在本地辦公室中沒(méi)有處理這種情況的緊急步驟,因此這意味著無(wú)法對(duì)客戶(hù)提供服務(wù)。
銀行馬上與 ASP 取得聯(lián)系,每個(gè)銀行和 ASP 專(zhuān)家都投入到解決系統(tǒng)中斷的工作中。一個(gè)小時(shí)之內(nèi),專(zhuān)家們找到了中斷的原因:一種病毒進(jìn)入了內(nèi)部的 ASP 應(yīng)用程序。該病毒生成了很多的數(shù)據(jù)包,充斥了整個(gè)網(wǎng)絡(luò),從而導(dǎo)致性能的下降。最后,ASP 的網(wǎng)絡(luò)由于溢出而癱瘓。ASP 花了兩個(gè)多小時(shí)來(lái)恢復(fù)帳戶(hù)系統(tǒng)并使它重新運(yùn)行。該銀行由于這次事故損失了數(shù)百萬(wàn)美元。
錯(cuò)在哪里?
盡管該銀行與 ASP 之間有一個(gè) SLA,但是攻擊者達(dá)到了讓 ASP 的網(wǎng)絡(luò)死機(jī)的目的,實(shí)際上使銀行的運(yùn)營(yíng)癱瘓。
攻擊的檢測(cè):由于星期一早晨發(fā)生了許多事件,所有的 ASP 管理員都忙于解決“重要的”問(wèn)題而沒(méi)有警惕警告系統(tǒng)。并且由于該銀行組織中的用戶(hù)習(xí)慣了這些現(xiàn)象,他們沒(méi)有報(bào)告該事件,也許認(rèn)為其它人已經(jīng)報(bào)告。所以,沒(méi)人意識(shí)到攻擊正在進(jìn)行的事實(shí)。
事件管理:ASP 的事件員工和本地辦公室的職工都認(rèn)為該事件的影響不大(還可以檢索帳戶(hù)信息)。記錄該事件時(shí),事件管理人員沒(méi)有從 CMDB 得到啟示,意識(shí)到該事件涉及到 CI(配置項(xiàng)目),它是該銀行核心業(yè)務(wù)的一部分。對(duì)該事件的分類(lèi)不正確。
應(yīng)急規(guī)劃:ASP 和銀行受到系統(tǒng)中斷的影響。也就是說(shuō)兩個(gè)組織的正常運(yùn)作都被破壞。但是,本地辦公室沒(méi)有處理這些情況的緊急步驟。ASP 也沒(méi)有執(zhí)行緊急解決方案。
服務(wù)級(jí)別管理:由于系統(tǒng)中斷,服務(wù)級(jí)別沒(méi)有達(dá)到,這意味著是 ASP 要受到處罰。起草 SLA 時(shí),ASP 沒(méi)有考慮到可能的攻擊以及這對(duì)商定的服務(wù)級(jí)別有什么影響。因?yàn)檫@種情況,該銀行轉(zhuǎn)向了另一個(gè)提供商。
如何改進(jìn)?
ASP 需要改進(jìn)他們向本地辦公室和 Internet 客戶(hù)提供的服務(wù)。由于星期一早晨經(jīng)常出現(xiàn)有關(guān) ASP 解決方案的事件,因此在這天中出現(xiàn)的任何事故都沒(méi)有得到認(rèn)真的對(duì)待。
ASP 需要提早在檢測(cè)安全攻擊的工具中安裝更多的檢測(cè)工具。對(duì)于網(wǎng)絡(luò)性能超出正常情況的下降,必須立即進(jìn)行分析。
銀行和 ASP 的職工需要意識(shí)到事件的重要性,因此他們要及時(shí)將每次 IT 服務(wù)的不正常情況通報(bào)給 ASP 的幫助臺(tái)。
ASP 的幫助臺(tái)需要最新的“配置管理數(shù)據(jù)庫(kù)”的支持,在該數(shù)據(jù)庫(kù)中每個(gè) CI 都標(biāo)有一個(gè)可能的安全分類(lèi)。這樣,當(dāng)關(guān)于某個(gè) CI 的電話打來(lái)時(shí),幫助臺(tái)的員工將明白對(duì)該電話的處理必須遵照事件管理的安全步驟。
與所有涉及到的各方(銀行、本地辦公室和 Internet 客戶(hù))的溝通是幸免于這類(lèi)攻擊的至關(guān)重要的因素。從技術(shù)上解決攻擊是一方面,從公眾的觀念上來(lái)解決要難得多。公眾可能會(huì)記住該銀行是“由于某種病毒而停止服務(wù)的公司”。應(yīng)當(dāng)建立良好的溝通規(guī)劃以抵御這種損失。
需要采取安全措施來(lái)避免這樣的攻擊發(fā)生,或者至少在服務(wù)級(jí)別還沒(méi)有陷于危險(xiǎn)的早期階段截?cái)喙舻陌l(fā)展。可以選擇如下措施:
讓?zhuān)殬I(yè)的)黑客對(duì)安全措施進(jìn)行測(cè)試,看它是否可以經(jīng)受住各種各樣的攻擊
使用入侵檢測(cè)盒
實(shí)施對(duì)性能的被動(dòng)監(jiān)視
對(duì)傳入的數(shù)據(jù)包或郵件進(jìn)行病毒或其它攻擊的測(cè)試
起草 SLA 時(shí)若不考慮被攻擊時(shí)應(yīng)采取的措施,表明對(duì)現(xiàn)實(shí)很不了解。Gartner Group 的 J. Pescatore 在 2000 年 2 月做出了以下策略規(guī)劃設(shè)想:“到 2003 年,百分之三十的 ASP 客戶(hù)將經(jīng)歷 ASP 方面的安全事件,其結(jié)果是導(dǎo)致對(duì)敏感數(shù)據(jù)的損害(概率為 0.7)。” ASP 必須與客戶(hù)討論在這種情況下應(yīng)該如何去做。他們需要明白可以達(dá)到什么樣的服務(wù)級(jí)別,同時(shí)明白將會(huì)出現(xiàn)攻擊。他們必須知道可采取什么對(duì)策使攻擊之后的損失更小。這樣做的時(shí)候,需要確定 ASP 和銀行在這種情況下的任務(wù)是什么。
|
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站!
