案例事實與背景
國內一家廠商經營電子商務,業務發展迅速,卻苦於經常性的發生個資外洩案件,從國內ISP機房搬遷至國外著名的雲端機房,也增購了雲端防火牆等保護措施,
但是外洩事件依然持續發生。經深入處理後發現
(一)電商的網站設計已經沒有線上資料庫儲存訂單以及個資,用戶購物下單之後,網站將訂單資料以兩次加密方式暫存檔案,並後送回台灣總部的資料庫,網站加密的檔案立即刪除。
(二)公司總部的ERP 處理系統提供客服查詢客戶訂單資料,但由於已經在公司內部可信任的環境,因此客服進入ERP系統自動解密,因此如果駭客潛伏內部找到ERP,個資資料就會外洩。
(三)在公司內部並未做針對部門業務屬性不同做網路分離, 因為每部電腦都裝防毒軟體。卻曾經在客服的電腦用偵測木馬程式找到大量的病毒。從網路攻擊的型態區分,這屬於內部攻擊,數量最多的一種。
資安事件處理的經過
資安訪視的建議
(一)資安訪查當場發現防毒軟體使用的版本使網路試用版,每三個月必重新尋求使用執照,建議付費購買防毒軟體。
(二)關於ERP 的系統使用建議與其他部門網路分離。
公司內部網路數位鑑識
(一)發現公司內部一半以上的電腦未使用正版作業系統,而是用KMS-R@1nHook.exe以破解金鑰,但卻也發現遭植入VPN等軟體。
(二)多台電腦普遍安裝TeamViewer 並以系統服務的方式開機就啟動。
(三)雖然公司防火牆設定深夜後就斷網但是不會中止已經連線的設備,鑑識的結果顯示數台電腦超過5天以上並未關機。
以上結果可以想見,公司的內部網路實際與外部的網路透過OpenVPN 或者 TeamViewer連接,駭客可能有很大的機會找到ERP 的系統入口。
實際改善措施
一、使用正版的作業系統以及防毒軟體。
二、移除公司內部電腦的TeamViewer 以及OPEN VPN 等軟體
。
三,客服部門單獨使用網路不與其他網路連接,達成網路實體隔離
後續的追蹤
事實證明還真有效,自此以後就不再發生任何的資安事件,當然也沒有個資外洩的案例。 主要癥結在於網站上的加密機制以及沒有真正的線上資料庫的做法,駭客也沒有利用的機會。但是,客服部門以及ERP 系統與內部網路實體隔離的做法,才是有效的防止駭客對訂單資料的獲得。
我國很多小型電商,也可以參考這個案例的做法,將客戶的線上成交紀錄即刻轉移它處資料庫,並限制唯有自家的IP 才能進入,並在內部的網路也限制使用範圍並做網路分離,訂單資料外洩的機會降到最低,自然不容易再發生個資外洩的事件。
沒有留言:
張貼留言