據(jù)安全專家表示，近日發(fā)生在美國連鎖超市Hannaford Bros的一個(gè)安全入侵事件的起因是，黑客利用了內(nèi)部系統(tǒng)中的一個(gè)代碼漏洞。

　　上個(gè)月Hannaford Bros超市透露，入侵者攻入了它的公司網(wǎng)絡(luò)，并竊取了大約420萬客戶的信用卡信息。

　　據(jù)稱在顧客刷卡后在被認(rèn)證的過程中，黑客設(shè)法下載該卡的信息。(詳細(xì)報(bào)道請參見《黑客入侵美一超市泄露400萬銀行卡信息》)

　　安全公司Fortify軟件的創(chuàng)始人兼首席科學(xué)家Brian Chess表示，在這次入侵中黑客采取的手法顯示是利用了一個(gè)軟件缺陷。

　　他表示，“鑒于幾乎所有商店中的服務(wù)器都被入侵這樣一個(gè)事實(shí)，攻擊者極有可能是發(fā)現(xiàn)了一個(gè)普遍應(yīng)用于所有商店的應(yīng)用軟件中的漏洞，并使用惡意軟件利用了這個(gè)漏洞。”

　　Brian猜測，黑客首先攻入了這個(gè)超市的內(nèi)部企業(yè)網(wǎng)絡(luò)，然后通過簡單的網(wǎng)絡(luò)掃描來找出所有攻擊目標(biāo)服務(wù)器。他們?nèi)缓蟀l(fā)現(xiàn)在一個(gè)運(yùn)行在所有機(jī)器上的軟件中存在一個(gè)安全漏洞。

　　許多企業(yè)對邊界網(wǎng)絡(luò)的安全威脅防護(hù)很重視，但是對于內(nèi)部系統(tǒng)的安全性卻相對不夠關(guān)注。

　　Chess補(bǔ)充說，在Hannaford Bros超市一案例中一件有意思的事情是，這個(gè)超市被認(rèn)為是通過了支付卡行業(yè)標(biāo)準(zhǔn)，可見即時(shí)遵循了支付卡行業(yè)規(guī)則也未必保證萬無一失。

　　他表示，“這個(gè)連鎖超市已經(jīng)通過了支付卡行業(yè)認(rèn)證，但是支付卡行業(yè)對于內(nèi)部系統(tǒng)的機(jī)器的安全問題重視不足。”

　　舉個(gè)例子來說，該安全專家指出支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)6.6條款中指出，企業(yè)必須“確保所有面向網(wǎng)絡(luò)的應(yīng)用程序?qū)σ阎�的攻擊進(jìn)行防護(hù)，措施有以下兩條：委托一家專注于應(yīng)用程序安全的機(jī)構(gòu)來檢查客戶應(yīng)用程序的漏洞;在面向網(wǎng)絡(luò)的應(yīng)用之前安裝一個(gè)應(yīng)用層防火墻。”

　　這意味著Hannaford Bros并沒有違反相關(guān)規(guī)定，因?yàn)樗�的web應(yīng)用之用于企業(yè)內(nèi)部網(wǎng)絡(luò)中。

　　Chess表示，“支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)并非是一把安全鎖，通過了它的認(rèn)證并不意味著會(huì)一切都安枕無憂，它只是幫助人們避免重復(fù)犯一些過去的錯(cuò)誤。”

標(biāo)簽： 安全 代碼 防火墻 服務(wù)器 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。