Equifax捍卫着小卒中参议院报告
新的Equifax首席捍卫了该公司在参议院国土安全和政府事务小组委员会听证会上的网络安全方面的方法。
听证会恰逢小组委员会出版了分组报告,发现Equifax未能在2017年之前和之后优先考虑网络安全优先考虑属于美国,加拿大和英国的近1.49亿人口的个人数据。
“Equifax没有难以置信的信息安全计划并遭受违规的事实并不意味着公司未能认真对待网络安全,”Equifax首席执行官Mark Begor在准备好的声明中说。
“在网络攻击之前,我理解[Equifax]的安全计划是基于一组强大的政策,标准和程序,并由一般和专业培训的支持,并支持了良好的资金和人员提供了良好的资金和人员。”
Begor指出,2018年对美国公司的1,200多项数据违约表明,各种类型的公司都将受到“日益复杂的刑事戒指”和“资助的民族行动者或国家军事武器的国家 - 国家的军事武器”下降到网络袭击事件下降,“报告CNBC。
自2017年以来,他表示,Equifax增加了四名新董事,并创建了一个“审计框架”,意味着他们理解的董事会安全基准委员会,这可以使其更易于记录进展。该公司在2018年至2020年期间,在事件下,2018年至2020年在2018年和2020年之间花费了1.25亿美元。
违规违反了故障修补所有Equifax IT系统,以防止黑客利用Apache Strutsweb应用程序框架中的Avulnerability。
该报告发现Equifax并未遵循自己的策略修补漏洞,它未能定位和修补Apache Struts,因此Equifax由于网络安全实践较差而留下攻击,即黑客可能已经最小化的损坏,Equifax在通知公众违约之前等待六周,并且Equifax并没有节省关于违约的内部对话记录。
根据该报告,CIO在2010年至2017年向2017年推过负责安装补丁的公司雇员,但表示他从未意识到Apache Struts漏洞,并不明白为什么漏洞“未被捕获”。
虽然CIO说他不认为Equifax可能会做出不同的方式,但报告指出,TransUnion和Experian收到了与公众和Equifax相同的信息,就Apache Struts漏洞,而且两家公司都已部署了软件,以验证安全补丁的安装。 ,RAN更频繁地扫描,并维护IT资产库存。
为了响应Apache Struts漏洞,TransUnion在几天内开始修补软件的易受攻击的版本。Experian于2017年3月保留了一个软件安全公司,进行Apache Struts漏洞的目标漏洞扫描。查找Experian服务器运行漏洞版本后,Experian脱机了服务器并开始修补它。
根据Synopsys的高级技术福音师,CENIFAX BREACH展示了商业软件安全实践及其开源等价物之间的断开连接。
“通过商业软件解决方案,供应商处于将安全信息推向消费者的位置。使用开源产品,除非维护使用的开源组件有效库存,否则难以管理有效的补丁管理策略。
“例如,开源通常可从多个分发通道获得,并且在应用于从不同通道获得的同一组件时,为一个分发信道设计的补丁可能没有有效。”
虽然参议院报告突出了易受攻击开源组件的定期扫描的值,但Mackey表示,当组织使用敏捷开发实践在Devops伞下方使用敏捷开发实践时,练习可以轻松地部署易受攻击的组件。
“而不是定期扫描,应在开发期间创建开源依赖性的全面库存,并且部署应用程序护理时。这些依赖项应进入连续的监控解决方案,旨在识别新的安全披露何时发布。
“当组合时,这种解决方案允许在近实时进行准确地测量给定应用程序内的安全暴露的精确图像。掌握了一个易受攻击的开源组件和组件的起源的知识,可以创建有效的补丁策略,“他说。
国会应通过立法,该立法建立一个国家统一标准,要求收集和存储PII [个人身份信息]采取合理和适当的步骤来防止网络攻击和数据漏斗。扩大应通过必要的立法,要求遭受数据违规的私人实体通知受影响的消费者,执法和适当的联邦监管机构没有不合理的延误。强调应该探讨需要额外的联邦努力,将信息与私营公司分享有关网络安全威胁和传播IT资产所有者可以采用的网络安全最佳实践.FEDERAL在确保私人实体中具有作用的机构采取措施防范网络攻击和数据违约,保护PII应审查其当局并向国会报告给国会,以提高其努力的有效性.PRIVATE实体应重新审查其数据保留政策奴隶这些政策在网络攻击发生时适当地保护相关文件。