前言
信用巨头 Equifax 去年透露它遭到黑客入侵,大约有 1.48 亿美国用户的信息泄露,这是美国历史上规模最大的数据泄露事件之一。本周一美国众议院公布了 Equifax 数据泄露案调查报告(PDF),认为这起事件是完全可以避免的。
2017年5月13日,攻击者对Equifax进行了持续76天的网络攻击,获得Equifax网络远程控制权。他们发现一个包含未加密凭证(用户名和密码)的文件,使得攻击者可以访问ACIS环境以外的敏感数据。攻击者用这些凭证访问了48个不相关的数据库,发送9000次查询并最终成功找到未加密的个人身份信息(PII)数据265次。攻击者在Equifax不知情的情况下,将数据转移出Equifax的网络环境。
报告认为,Equifax 没有采取足够的安全措施来保护敏感数据。报告指责该公司自满,技术过时,没有及时修复已知漏洞,导致其系统在 145 天内处于容易攻击的风险中。
报告还披露了一个此前未知的信息:Equifax 没有发现攻击者将数据转移出去,原因是它监控网络流量的设备因为安全证书过期已经停止活动 19 个月;Equifax 有超过 300 个证书过期,其中包括 79 个监控关键域名业务的证书。
Equifax的增长战略和数据积累导致了一个复杂的IT环境。Equifax已经开始了传统的基础架构现代化工作,但是为时已晚。Equifax几位官员对数据泄露负责,已先后离职。
面对网络安全威胁,防范思路需升级
现今网络社会数据泄露事件频频爆发,为企业网站部署SSL证书是保护数据安全最有效的途径,但是并不是安装SSL证书就是一劳永逸的!企业网站负责人还需要定期检查证书吊销列表查看证书是否过期,如证书快要到期就需要尽快联系CA机构续办或者另购SSL证书。
在国内,存有大量消费者个人信息的互联网、网络交易公司,其大多早已部署SSL证书并长期维护,拥有强大的加密系统,保护用户信息安全。但对于其他行业体系,其往往并不重视网络信息安全保护,导致黑客轻易就能黑进网站盗取信息,这也是在未来的网络安全体系构建中需要注意的一个问题。
不同行业类型所需的SSL证书也不同,选择CA机构的时候建议选择一些公信力比较大,证书类型较多,类型覆盖面较广的CA机构,最好是例如数安时代GDCA这样,除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等国外知名品牌,选择更多,一次性对比,提供行业最优惠的价格。如有兴趣可以咨询客服了解产品。
标签: SSL证书, 数据泄露上一篇:简单理解HTTP HTTPS 以及TCP 和UDP 的区别 ……
下一篇:如何选出适合自己网站的SSL证书