安全 案例研究:遭受攻擊
引言
一個很大的虛構銀行企業分了好多個部門,其中兩個分別為外部銀行業務部門和內部支援部門。所有本地辦公室都屬於外部銀行業務部門。所有的支援活動(例如市場、銷售和 IT)都屬於內部支援部門。為了使該企業贏利,這兩個部門需要在工作中緊密合作。
不久前,IT 部門與某個 ASP 達成了一項協議,協助它們引進新的銀行解決方案。除了取錢和存錢外,客戶應該可通過 Internet 執行所有的銀行交易。而實際建立的解決方案甚至更加完善。因為要執行第一個解決方案,就必須訪問所有客戶帳戶,同時將本地辦公室串連到 ASP 以便對涉及客戶帳戶的資訊進行檢索和修改,似乎也是合乎邏輯的。
最後的網路設定如下所示。
<img src=/uploadpic/2007-2/200725222849823.GIF>
如果您的瀏覽器不支援內嵌框,請單擊此處在單獨的頁中查看。
在 ASP 和銀行企業之間有一個未來一年的服務等級協定 (SLA)。該 SLA 中包括所涉及的“服務管理”問題(事件管理、更改管理、容量管理、可用性管理、應急規劃和安全管理)。針對所有這些問題都規定了服務等級、報告時間以及 ASP 和銀行雙方的義務。
SLA 中的安全部分
在 SLA 的安全部分,銀行和 ASP 就安全性原則是什麼以及在識別出安全事件時需要採取什麼步驟,達成了一致的協議。並一起確定了一個溝通規劃,以確保將以正確的方式通知所涉及到的每一個人。關於用什麼工具來保護銀行安全,還規定了一些技術問題。
攻擊
某個星期一的早晨,本地辦公室的一名職工發現擷取帳戶資訊需要很長時間。因為知道星期一早晨總是出現與 IT 相關的問題,所以該職工沒有太注意。他繼續做其它的工作。過了一些時候,他聽到同事們說他們在檢索資訊中也遇到了同樣的問題。他們請教辦公室裡的 IT 高手,希望找到解決的辦法。當 IT 高手報告說他的所有嘗試都已失敗時,已經到中午了。此時,與協助台取得了聯絡。協助台詢問了一些必要的問題並記錄下這個電話。雙方都一致認為該事件的影響似乎很小(因為還可以檢索到帳戶資訊),因此該事件只是被確定為低優先順序。這就是說沒人會馬上著手開始解決該事件。
一個小時後,從任何本地辦公室都無法檢索帳戶資訊。測試還表明,客戶無法通過 網際網路存取其帳戶。到銀行客戶的介面實際上是被關閉了。由於在本地辦公室中沒有處理這種情況的緊急步驟,因此這意味著無法對客戶提供服務。
銀行馬上與 ASP 取得聯絡,每個銀行和 ASP 專家都投入到解決系統中斷的工作中。一個小時之內,專家們找到了中斷的原因:一種病毒進入了內部的 ASP 應用程式。該病毒產生了很多的資料包,充斥了整個網路,從而導致效能的下降。最後,ASP 的網路由於溢出而癱瘓。ASP 花了兩個多小時來恢複帳戶系統並使它重新運行。該銀行由於這次事故損失了數百萬美元。
錯在哪裡?
儘管該銀行與 ASP 之間有一個 SLA,但是攻擊者達到了讓 ASP 的網路死機的目的,實際上使銀行的運營癱瘓。
攻擊的檢測:由於星期一早晨發生了許多事件,所有的 ASP 管理員都忙於解決“重要的”問題而沒有警惕警告系統。並且由於該銀行組織中的使用者習慣了這些現象,他們沒有報告該事件,也許認為其它人已經報告。所以,沒人意識到攻擊進行中的事實。
事件管理:ASP 的事件員工和本地辦公室的職工都認為該事件的影響不大(還可以檢索帳戶資訊)。記錄該事件時,事件管理員沒有從 CMDB 得到啟示,意識到該事件涉及到 CI(設定項目),它是該銀行核心業務的一部分。對該事件的分類不正確。
應急規劃:ASP 和銀行受到系統中斷的影響。也就是說兩個組織的正常運作都被破壞。但是,本地辦公室沒有處理這些情況的緊急步驟。ASP 也沒有執行緊急解決方案。
服務等級管理:由於系統中斷,服務等級沒有達到,這意味著是 ASP 要受到處罰。起草 SLA 時,ASP 沒有考慮到可能的攻擊以及這對商定的服務等級有什麼影響。因為這種情況,該銀行轉向了另一個供應商。
如何改進?
ASP 需要改進他們向本地辦公室和 Internet 客戶提供的服務。由於星期一早晨經常出現有關 ASP 解決方案的事件,因此在這天中出現的任何事故都沒有得到認真的對待。
ASP 需要提早在檢測安全攻擊的工具中安裝更多的偵查工具。對於網路效能超出正常情況的下降,必須立即進行分析。
銀行和 ASP 的職工需要意識到事件的重要性,因此他們要及時將每次 IT 服務的不正常情況通報給 ASP 的協助台。
ASP 的協助台需要最新的“組態管理資料庫”的支援,在該資料庫中每個 CI 都標有一個可能的安全分類。這樣,當關於某個 CI 的電話打來時,協助台的員工將明白對該電話的處理必須遵照事件管理的安全步驟。
與所有涉及到的各方(銀行、本地辦公室和 Internet 客戶)的溝通是倖免於這類攻擊的至關重要的因素。從技術上解決攻擊是一方面,從公眾的觀念上來解決要難得多。公眾可能會記住該銀行是“由於某種病毒而停止服務的公司”。應當建立良好的溝通規劃以抵禦這種損失。
需要採取安全措施來避免這樣的攻擊發生,或者至少在服務等級還沒有陷於危險的早期階段截斷攻擊的發展。可以選擇如下措施:
讓(職業的)駭客對安全措施進行測試,看它是否可以經受住各種各樣的攻擊
使用入侵檢測盒
實施對效能的被動監視
對傳入的資料包或郵件進行病毒或其它攻擊的測試
起草 SLA 時若不考慮被攻擊時應採取的措施,表明對現實很不瞭解。Gartner Group 的 J. Pescatore 在 2000 年 2 月做出了以下策略規劃設想:“到 2003 年,百分之三十的 ASP 客戶將經曆 ASP 方面的安全事件,其結果是導致對敏感性資料的損害(機率為 0.7)。” ASP 必須與客戶討論在這種情況下應該如何去做。他們需要明白可以達到什麼樣的服務等級,同時明白將會出現攻擊。他們必須知道可採取什麼對策使攻擊之後的損失更小。這樣做的時候,需要確定 ASP 和銀行在這種情況下的任務是什麼。