一句中特曾道人网:黑客窃取企业数据是一种怎样的体验?

119期曾道人资料 www.42uah.cn  

美国Anthem医疗保险公司的信息泄密事件经过一周的发酵逐渐降温,或许Anthem的事件只是医疗行业信息泄露的开始,未来医疗行业的泄密?;廊淮嬖?。企业会在数据遭窃后迅速通报,控诉黑客的行径,而对于黑客来说,窃取Anthem的数据是怎么做到的呢,或许我们应该看看黑客窃密的体验,对未来,也是一种借鉴。

据美联社报道,黑客至少利用了Anthem五名内部员工的系统口令。Anthem自己则声称,至少有一名管理员权限的账户被黑客入侵,因为该账户的所有者发现他的账户被用来查询系统的数据库。那么,黑客是从哪里开始入侵呢?

利用员工信息进行定制化钓鱼攻击

首先,黑客在职业社交网站上对Anthem的员工进行钓鱼邮件攻击,职业社交网站上用户的企业信息一览无遗,黑客获得员工的邮件账号几乎不费力气。黑客使用恶意软件作为邮件附件,攻击众多员工中的一个,只要一个人点开了邮件的附件,钓鱼攻击便成功得逞。黑客通过受害者的系统账号得以访问内部数据,由于黑客针对受害者进行定制化攻击,而Anthem的安全人员在黑客入侵之前都没有定期更新和升级安全软件,因此成功避开企业内部大多数防病毒软件的检测并不是难事。

企业内部不正确的访问控制

值得注意的是,黑客得以进入Anthem系统的关键点在于,Anthem并未设置额外的认证机制,仅凭一个登陆口令或一个key就能够以管理员权限访问整个数据库??凸鄣乃?,Anthem最主要的安全失误不是缺少数据加密,而是不正确的访问控制。实际上用户的数据也没有加密,否则即便攻击者拿到管理员权限的账户也无济于事。访问控制的懈怠是今天许多机构都普遍存在的问题,它不仅会增加外部钓鱼攻击的风险,同样也是严重的内部威胁,高级别用户的一些简单错误就会引发,Anthem并非个例。黑客攻击企业数据系统,或许就像玩游戏节节闯关那般地顺利。

企业最常见的八大信息安全疏漏

去年英国曾发布过一份报告分析关于威胁个人和企业IT安全的八大常见的信息安全疏漏,报告指出影响企业安全的八大疏漏包括:

未能及时升级更新安全软件;

缺乏对SQL注入的防护;

使用了不必要的服务;

对不再使用的旧软件和服务的处置不当;

数据库弱密码访问限制;

未能加密在线通讯(正确配置SSL/TLS);

没有对数据库进行加密处理;

使用包含密码的默认账户;

Anthem企业内部也存在上述的某些漏洞,才导致黑客能够入侵成功。如果Anthem有定期升级更新安全软件,当黑客的钓鱼邮件发送至员工的邮箱时,安全软件会进行扫描检测,识别恶意软件及时报警,?;谡庖还乜诘靡钥刂?,黑客的计划也无法继续推进。另外,Anthem的管理员登陆口令没有设置多重限制,仅凭单一密码便可以管理员权限访问整个数据库,更糟糕的是没有对数据库进行加密处理……

我们不难得出结论,其实所谓的“道高一尺魔高一丈”不过是自欺欺人的说法,黑客能够得逞,更多时候是因为企业的安全防御真的太弱了。黑客或许在成功入侵数据库后,会很失望地说,一点也不刺激,我想要的体验可不止这些!黑客攻击手法在变化,企业安全防御要提高,医疗信息可别成为黑客的体验游戏。

文章取材:信息防泄露大讲堂

119期曾道人资料 Powered by 安云建站
  • 赚钱是在一个范围内,亏损又在另一个范围上,债务国家背。 2019-05-19
  • 李慎明:奋力谱写社会主义现代化新征程壮丽篇章 2019-05-13
  • 图解:习近平的《人民日报》情缘 2019-05-12
  • 跟上孩子的“数字步伐” 2019-05-05
  • 普京力挽狂澜,从北高加索平叛到格鲁吉亚兴兵,从克里米亚回归到叙利亚反恐,给了俄罗斯人民新生——这一切都是和中国同志的支持分不开的。 2019-04-19
  • 女出纳侵吞千万公款扮富婆 7年未被公司发现 2019-04-19
  • 杨超马可谦《你才是美猴王》刷爆朋友圈 2019-04-15
  • 网络智库:人才争夺战 山西输不起 2019-04-15
  • 港澳牙医只需备案即可在粤执业 2019-04-13
  • 首届上合组织国家电影节 “冷门”电影集中亮相 观众大饱眼福 2019-04-11
  • [雷人]然后大家都一起跟你一样混起? 2019-04-11
  • 蓝色湛江 共创新旅游 2019-03-30
  • 山西寿阳:竹马戏演员的台前幕后 2019-03-29
  • 凝聚着中国智慧中国创造的中国核电将创造更多的中国辉煌。 2019-03-28
  • 百姓故事:《纸飞机》:战火纷飞的年代里,永远不要忽视孩子的力量 2019-03-28
  • 618| 230| 73| 511| 899| 398| 110| 664| 900| 42|