天创培训:您身边的信息安全培训专家!
行业动态
美国保监部门重启调查:确定Anthem网络攻击是国家支持黑客所为

美国保监部门重启调查:确定Anthem网络攻击是国家支持黑客所为
2015年2月,美国国家第二大医疗保险公司Anthem遭遇黑客攻击,导致近8000万条个人医疗数据泄露。近期,为评估此次事件的持续影响,美国7个州立保险监管部门联合对此事件开展内部深入分析调查,调查报告认为,国家支持黑客以窃取数据为目的对Anthem开展了网络攻击,但在公开版本的调查报告中没有提及具体攻击发起国家。
另据加利福尼亚保险部1月6日率先对外发布了一份调查声明显示,Anthem公司已经为此次数据泄露付出了沉重的成本代价,其中包括250万美元聘请专家顾问、1亿1500万美元进行安全设备改进、3100万美元的受影响机构和个人的初期通报,以及为受影响用户提供的1亿1200万美元信用保护。
加利福尼亚保险专员Dave Jones在对媒体的声明中表示,“我们的联合检查组高度证实,某国政府发起了Anthem网络攻击。单独的保险公司和监管机构不能阻止外国政府的网络攻击,尽管近期对俄罗斯相关的网络攻击给予了强硬回应,但这还不够,美国亟需采取有效措施来抵御和回应国家级的网络攻击”。
美国保监部门重启调查:确定Anthem网络攻击是国家支持黑客所为
Anthem数据泄露调查发现
此次调查的公开版本报告中未提及更多调查证据细节,只对调查过程中的数据泄露事件、泄露前网络安全状况、泄露前应急响应状况、响应充分性、泄露后网络安全状况和补救措施六个方面作出简要归纳。更多证据细节存在于机密版本报告中。
数据泄露事件调查
Anthem在2015年1月27日发现严重数据泄露情况并及时通知了FBI,另外请求 Mandiant和CrowdStrike公司作为事件应急响应(IR)调查团队,发现黑客在2015年1月30日实施了最终恶意网络活动。随后的调查确定,网络攻击最早可追溯于2014年2月18日,黑客通过一封钓鱼邮件入侵控制了Amerigroup公司的某位Anthem用户电脑系统。
通过远程控制和提权操作,黑客进一步渗透了Anthem的网络环境,通过利用至少50名Anthem员工账户和90台电脑系统,最终入侵并控制了Anthem存储个人用户信息(PII)的数据库。窃取了相关数据,导致了大约7880万的个人数据泄露。另据CrowdStrike公司的线索调查高度证实了攻击者身份,分析认为,黑客窃取的这些数据为国家行为所用。
数据泄露前网络安全状况调查
调查评估认为,Anthem在数据泄露发生前,为避免网络攻击,已经部署了充分合理和超过其企业规模能力的网络安全防护设施,但是最终,攻击者还是利用了某种网络漏洞,实现了入侵,导致数据泄露事件发生。
数据泄露前应急响应状况调查
调查认为,在数据泄露发生前,Anthem有详细地应急响应(IR)计划,其中还明确了安全事件发生时的相应角色、职责和处理过程,并且还对该IR计划和相关程序进行过多次模拟演习。
应急响应充分性调查
检查组通过对Anthem的IR计划有效性和及时性调查后认为,Anthem安全团队在数据泄露事件发生后,将会立即告知最高管理层,并马上采取影响评估和补救措施以阻止威胁扩大。另外,Anthem还会及时与执法人员、监管人员和公众进行沟通。整个IR计划非常及时有效,以致于在该事件发生的三天内,彻底从公司网络内清除了攻击者的驻留程序。
数据泄露发生后的网络安全状况调查
事件发生后,Mandiant第一时间协助Anthem进行了安全评估调查,并给出相应的改进建议。据检查组了解,Anthem目前已经在所有的远程访问系统中实施了双因素认证措施,并部署了”特权账户管理“和行为审计方案。而且,Anthem还重置了所有特权账户密码,暂停了所有未采取双因素认证的远程访问行为和相关账号,创建了新的网络管理员;未来,Anthem还将构建关键数据库的安全监控和审计技术。
补救措施调查
事件发生后,Anthem第一时间与相关执法和监管机构进行沟通,同时,通过邮件、媒体和网站告知公众和受影响的个人用户。两周后,又积极与受影响的个人签订了为期两年的信用保护协议。
总结
Redspin公司CEO Dan Berger认为,Anthem数据泄露事件源于钓鱼邮件,组织机构人员应该加强这方面的安全意识培训。他还表示,人员管理永远是信息安全方面的薄弱环节。tw-Security公司首席顾问Keith Fricke则声称,组织机构员工致使是进行了社会工程学攻击的安全意识培训,也不能完全避免社工攻击的发生,使用先进的恶意软件防护和安全漏洞更新技术仍然是风险管理的重要手段。