最近Aetna suffered a breach失去了65,000个SSN。他们从来没有能够找到发生的事情的审计线索,这可能暗示攻击利用了XSS或类似技术。
是否有特定的已知攻击,坏人一再利用此类攻击?
答案 0 :(得分:3)
人们常犯的错误是人们使用的共同平台。如果没有打补丁,每个人都会允许某人使用简单的脚本打破。
但是,如果有人专门处理某些事情,在这种情况下社会安全号码,在有组织犯罪集团中具有很高的价值,我会期望有人花更多时间来弄清楚该网站如何运作并应用自定义漏洞利用抓住数据。
我不明白为什么它也必须是XSS。如果他们的系统没有在服务器外发送访问日志,甚至没有记录每个入口点,那么有很多方法可以利用可利用的服务器并在之后进行清理。
答案 1 :(得分:2)
目前还不清楚这是技术上的失败,鉴于取证结果不合理,我觉得这更像是人为失败,无论是社交工作,还是留在火车座位上的数据,或者一个心怀不满的员工。
AFAIK真正留下零审计线索的唯一方法是审计尚未编写。仅记录HTTP流量将始终为您提供基于HTTP的攻击的一些证据。
答案 2 :(得分:1)
我已经看到了一些自动攻击的结果,他们做的第一件事就是禁用日志记录,并删除所有日志。
这就是为什么将日志记录位置更改为非标准路径的常见原因 - 它不会对确定的攻击者做任何事情,但它会在自动攻击的情况下为您提供更多信息。
答案 3 :(得分:0)
缺乏审计线索至少可以说是不足为奇的。没有多少公司保持有意义的审计跟踪。当然,通常有千兆字节和千兆字节的日志,但谁经历了所有这些?一旦它足够老化,大多数IT场所都会抛弃它,所以完全有可能这个漏洞发生在前一段时间,并且他们已经抛弃了日志,因为从文章看起来他们不知道可能的漏洞直到垃圾邮件开始进来。
我怀疑IT不佳而不是一些导致缺乏审计线索的聪明攻击。