摘要

  • Apache 于 2017 年 3 月 7 日公开了一个关键 Struts 漏洞并提供了修复版本。Equifax 发布了一条要求 48 小时内打补丁的指令,但其在线争议门户仍然易受攻击,因为该公司没有可靠的资产清单,未能联系或确定正确的应用程序负责人,并将一次范围有限的扫描结果视为不存在暴露的证据。
  • 一旦攻击者通过该门户进入,薄弱的分割、广泛可用的凭证以及不充分的数据治理扩大了事件影响。加密流量检测路径中的证书故障将检测延迟到了 7 月下旬。因此,这次泄露事件在成为事件响应考验之前,先成为了管理层问责的考验。
  • 法律记录必须根据状态加以区分。国会和 GAO 报告描述了控制缺陷;FTC 投诉陈述了指控;2018 年州级和 2019 年联邦命令施加了同意义务;刑事起诉书指控了攻击者行为;而消费者和解协议已经批准,并未经过对每一项争议主张作出裁决的审判。
  • 持久的董事会教训是证据性的。一项政策截止日期、一封群发邮件、一个扫描器结果或一种仪表盘颜色并不代表问题已关闭。董事们需要证据证明关键资产已知、指定负责人接受了工作、补救措施得到独立验证、例外情况有时间限制,并且到达敏感数据的剩余路径受到了约束。

泄露事件是一个控制链,而不只是一个未修补的补丁

对 Equifax 泄露事件的最简短描述是准确但不完整的:该公司没有修补一个面向互联网的 Apache Struts 漏洞,攻击者利用了它,大约 1.47 亿人的个人信息被窃取。这一描述指明了入口点,但未解释为什么在已有公开通告、供应商补救措施、内部关键警报和明确的 48 小时截止期限的情况下,一家主要消费者报告机构仍然暴露了数月之久。

更完整的记录显示了一个序列。Apache 公布了一个关键的远程代码执行问题,并推荐了修复后的 Struts 版本。Equifax 收到了警告并发出了一条内部指令。该指令并未建立闭环所有权。该公司缺乏一份可靠的清单,记录受影响的软件在哪里运行。一次扫描未能深入发现易受攻击的组件。未发现结果被视同不存在暴露。没有任何补偿性控制强制对面向互联网的争议应用程序进行人工审查。随后攻击者进入时,该应用程序可以访问超出其功能所需的系统。一个可访问文件共享中的凭证实现了更广泛的横向移动。敏感数据未得到充分限制。由于监控路径中的证书已过期,加密流量未被检查。只有在更换该证书后才检测到攻击。

这就是为什么该泄露事件仍然是一个董事会问责案例,而非仅仅是补丁管理案例。补丁是一种软件制品。补丁保证是一种管理体系。它依赖于清单、所有权、升级、变更执行、验证、异常处理、监控、架构和证据。当其中数个功能在同一方向上失效时,组织可能在形式上遵守其流程可见部分的同时,仍然存在实质性暴露。

公开记录充实但并非完全一致。House Committee on Oversight and Government Reform 多数党工作人员报告Senate Permanent Subcommittee on Investigations 工作人员报告属于立法调查,而非司法意见。Government Accountability Office 的审查引用了 Equifax 和取证材料以及联邦客户机构的信息。FTC 投诉包含了诉讼中提出的指控。公司提交给 SEC 的文件包含了管理层的陈述和财务披露。同意令在保留明确法律立场的同时规定了义务。本文根据各来源能够建立的事实使用它们,而不将这些类别合并为一个单一的裁决。

从安全公告到受攻击的时间线

这一顺序至关重要,因为问责随时间变化。一家公司可以合理地需要一小段时间来识别受影响系统、测试补救措施并部署。但当已知某个问题可被远程利用、供应商修复版本可用、系统暴露于互联网、且公司自身已经规定了 48 小时响应期限时,这种辩护理由便减弱了。

日期事件与问责意义
2017-03-07Apache 发布了针对 CVE-2017-5638 的安全公告 S2-045,将其评级为关键,并建议升级到修复后的 Struts 版本。
3 月 8 日根据国会报告,US-CERT 就此漏洞向 Equifax 发出了警告。
3 月 9 日Equifax 的 Global Threat and Vulnerability Management 团队发布了一项指令,要求相关人员在 48 小时内修补受影响的系统。分发和确认流程并未确定每位负责人都收到了并接受了任务。
3 月 10 日House 报告将后续取证审查发现的首个利用相关活动证据确定于此日。这并非 Equifax 当时发现了泄露事件。
3 月 15 日Equifax 运行了一次旨在发现易受攻击 Struts 实例的扫描。它没有返回任何受影响的面向互联网的系统,但该扫描未达到包含争议门户中组件的子目录。
3 月 16 日在一次威胁与漏洞会议上讨论了该漏洞。门户仍然未被识别和修补。
5 月 13 日House 和 Senate 报告将攻击者进入 Automated Consumer Interview System(ACIS)的时间定于此日。Web shell 提供了持久的远程访问。
5 月 13 日至 7 月 29/30 日攻击者查询数据库并抽取数据,同时持续未被检测到。House 报告描述了一段长达 76 天的攻击期。
7 月 29 日Equifax 更换了用于 ACIS 流量监控路径中的已过期证书。可疑流量几乎立即变得可见并被阻断。
7 月 30 日出现更多可疑流量。Equifax 将 ACIS 门户下线,结束了报告中描述的活跃访问。
7 月 31 日Equifax 人员认定个人可识别信息可能已被移除。CIO 向时任 CEO Richard Smith 报告了该事件。
8 月 2 日Equifax 聘请了外部律师和 Mandiant,并通知了 FBI。
8 月 11 日至 24 日取证调查从关注一个包含大量个人信息的数据库发展到确认有大量信息已被访问。
8 月 24 日至 25 日根据 House 的时间线,Smith 通过电话通知了全体董事会。
9 月 4 日Equifax 和 Mandiant 编制了一份包含约 1.43 亿受影响美国消费者的初步名单。
9 月 7 日Equifax 通过一份 8-K 表附件公开宣布了该事件,并推出了专门的响应网站和呼叫中心。
9 月 15 日至 26 日CIO 和首席安全官宣布退休,随后 Smith 辞去董事长兼 CEO 职务。
10 月 2 日Equifax 宣布已识别的美国受影响人口增加了 250 万。一名高级技术主管因未能转发补丁警报而被解雇。
2018 年 3 月 1 日Equifax 又识别出 240 万美国消费者的姓名和部分驾驶执照信息被窃取,使得通常报告的总数达到约 1.479 亿。

各记录中的数字有所不同,这是因为受影响人群的范围随着时间的推移而细化,且部分文件进行了四舍五入。Equifax 的9 月 7 日提交给 SEC 的声明称大约有 1.43 亿美国消费者,并描述了从 5 月中旬至 7 月的未经授权访问。后续记录通常使用约 1.47 亿;House 报告四舍五入为 1.48 亿。审慎的结论不是某个数字否定了其他数字,而是在披露时该范围是临时的,并随着分析的继续而扩大。

3 月 7 日:一份带有可用补救措施的关键供应商通知

该漏洞本身既不隐蔽,也并非在没有补救措施的情况下呈现。Apache S2-045 公告描述了通过 Jakarta Multipart 解析器进行文件上传时可能导致远程代码执行,分配了最高评级“关键”,指出了受影响的 Struts 分支,并建议升级到 2.3.32 或 2.5.10.1。它还提供了替代方案。National Vulnerability Database 对 CVE-2017-5638 的条目描述了攻击者控制的 HTTP 头触达了错误的异常和错误消息处理,并记录了 9.8 的 CVSS 3.1 基础评分。

披露日期与 NVD 发布日期之间的区别值得注意。Apache 的公告和修复版本在 3 月 7 日已可用。NVD 将其发布日期列为 3 月 10 日。国会的年表依据的是供应商披露以及 Equifax 收到的 US-CERT 通报。因此,董事会审查该事件时应当询问的是:一份可操作的供应商补救措施何时进入了公司流程,而非每个下游数据库何时完成了其发布周期。

Equifax 确实作出了反应。其安全团队于 3 月 9 日发送了一封广泛的内部邮件,指示受影响人员在 48 小时内应用该补丁。这一行动驳斥了公司完全忽略该通告的说法。但它也暴露了核心的控制弱点:广播一条指令被视为一种执行机制。

根据 FTC 的指控,有超过 400 名员工处于关键补丁分发流程中,但该政策并未要求收件人确认指示或确认应用。国会调查还指出了更具体的路由失败。负责 ACIS 的开发者不在警报列表中;该链条中的一位高级经理收到了通知,但未将其转发给开发者或团队。Equifax 后来因未能转发邮件而解雇了一名高级主管。这一人事处理解决了一个失败点,但并未回答为什么一个关键控制会依赖于单个转发步骤。

一个可防御的紧急补丁流程本应将安全公告转化为一个可问责的登记册:受影响的产品和版本;面向外部的实例;业务负责人;技术负责人;风险等级;要求完成时间;变更记录;验证方法;例外授权;补偿控制;以及在任何字段未解决时的升级机制。Equifax 的流程有截止期限,但缺乏可靠的关闭证据。因此,48 小时规则作为政策存在,却没有成为可靠的结果。

资产清单是第一个缺失的控制项

未能识别 ACIS 受影响的失败并非不可预见的扫描异常,在原本受控的环境中发生。Equifax 自己的 2015 年补丁管理审计已经识别了后来成为此次泄露事件核心的弱点。Senate 报告称,该审计发现公司未遵守其补丁时间表,补丁流程是被动的,采用了一种无法确保安装的“荣誉制度”,并且缺乏全面的 IT 资产清单。报告还称,到 2017 年 8 月为止尚未完成正式的后续审计,受访者在其任期内记不起另一次补丁管理审计。

House 报告再现了清单缺失的实际后果:没有准确的资产清单和网络文档,就难以确保系统得到修补、配置和扫描。报告称 2015 年的补救计划预估完成日期为 2017 年 6 月 30 日。Senate 调查发现,在泄露发生时,完整的清单仍未到位。

在此语境下,清单远不止一份服务器列表。CVE-2017-5638 影响的是嵌入在应用程序中的软件框架。一份有用的清单需要将面向互联网的应用程序与其运行时组件、版本、所有者、数据访问、依赖关系和部署位置联系起来。一份硬件登记表可以显示一个 ACIS 服务器存在,但仍然无法揭示其中包含一个易受攻击的 Struts 库。控制的目标是软件和服务的可见性,而不仅仅是设备台账。

遗留复杂性使这项工作更困难但也更重要。House 报告将 ACIS 描述为一个定制构建的系统,其根源可追溯到 20 世纪 70 年代,运行在一个由多年收购和发展所形成的复杂环境中。复杂性可以解释清单为何成本高昂且不完整。但它不能稳妥地作为不知道面向互联网且连接着敏感消费者数据的应用程序上运行着什么的一个豁免理由。在无法做到完整发现时,补偿性响应应当是更强的隔离、更严密的出口控制、手动代码和配置审查,或者暂时移除外部访问。

Senate 报告中的比较具有参考价值,但不应被夸大。它发现 TransUnion 和 Experian 同样面对该 Struts 安全公告,但利用了清单和多种扫描或审查方法,识别或缓解了受影响实例。这并不证明它们的整体安全计划无懈可击。但它确实表明 Equifax 的结果并非该漏洞的必然属性。面对相同公开通知的同业机构取得了实质上不同的运营结果。

对董事会而言,清单问题应当表述为一个风险覆盖面的声明。“我们扫描了网络”在没有分母的情况下没有意义。董事们需要知道:外部可达的服务有多大比例反映在清单中;有多大比例有指定的负责人;软件构成被掌握了多少;哪些遗留系统无法自动评估;以及例外情况是如何被隔离的。在未知范围内的扫描产生的是活动,而非保证。

扫描失败将不确定性转化为了虚假信心

3 月 15 日,Equifax 运行了一次旨在识别易受该 Struts 问题攻击的系统的自动扫描。它没有发现任何问题。House 报告称该扫描器运行在根目录上,没有爬取列出 Struts 的子目录。Senate 报告同样指出,重复使用该工具并未在适当的网络层面进行搜索。FTC 投诉指控该扫描器未配置为搜索所有可能受影响的资产,且 Equifax 缺少一份准确的清单告知扫描器需要在何处运行。

这些记录均不表明漏洞扫描器内在无效。它们确立了一个更狭隘但更重要的观点:一个阴性结果的价值仅相对于测试覆盖范围和工具能力而言。如果一个受影响组件可能处于扫描器的探测深度之下,那么“未发现漏洞”意味着“在此配置和范围内未发现漏洞”。它并不意味着“该漏洞不存在”。

这一区别在审计语言中是基本的,但在管理报告中常常丢失。一个红色发现驱动工作。一个绿色结果关闭工作。如果绿色结果可以通过不完整的范围产生,那么仪表盘就会奖励无知。对未经验证的阴性结果的正确处理是残留不确定性。对于一个面向互联网的关键、可远程利用的问题,这种不确定性应触发第二种方法:认证扫描、软件组成分析、源码和构建审查、进程检查、包搜索、附有证据的负责人确认,或是在受控环境下的直接应用程序测试。

缺少第二种方法之所以重要,是因为补丁指令本身并未闭环。负有直接应用程序责任的员工没有收到指令,中央清单不完整,且扫描器可能遗漏嵌套的组件。这些并非独立的安全保障。它们是共享同一盲区的三个控制项。每一个都依赖于对应用程序所有权和构成的准确了解。因此,它们表面上的冗余实际上弱于表象。

这是一个反复出现的董事会问题。管理层可能呈现多层控制,却没有测试它们是否因相同原因而失效。一个资产数据库、一个电邮分发列表、一个漏洞扫描器和一个补丁仪表盘可能都源自同一份不完整的所有权记录。如果该记录忽略了一个遗留应用,那么所有四层控制都可能一并报告成功。董事会的风险审查不仅应询问存在多少控制项,还应询问它们的数据源和失效模式是否独立。

5 月 13 日至 7 月 30 日:入口点变成数据访问路径

国会报告将攻击者有效进入 ACIS 的时间定在 5 月 13 日。后来的Department of Justice 宣布起诉书指控中国 People's Liberation Army 的四名成员实施了该入侵。起诉书指控被告利用了 Struts 漏洞,进行了侦察,获取了凭证,查询了数据库,压缩并分割了窃取的文件,通过多个国家的基础设施路由流量,并试图抹除痕迹。这些是刑事指控文件中的指控;被告在未经证明有罪之前被推定无罪。该起诉书与归因攻击者行为相关,而不是将指控转化为经裁定的事实。

House 报告称攻击者安装了 web shell,从而获得了一种持久的、基于 web 的控制受损系统的手段。他们随后发现了一个包含未加密用户名和密码的文件。ACIS 因其业务目的需要访问三个数据库,但它没有与不相关的数据库进行分割。凭借这些凭证,攻击者访问了 48 个数据库,发出了约 9,000 次查询,并数百次定位到未加密的个人信息。

FTC 投诉以指控形式提出了相同的架构观点。它称攻击者之所以能够遍历数十个不相关的数据库,是因为分割不充分,且一个连接到 ACIS 的未受保护文件共享中包含明文管理员凭证。它指控攻击者不需要复杂的工具就能在网络中横向移动。这一点很重要,因为入口漏洞的严重程度部分取决于受感染应用程序在进入后能够访问什么。

分割常被描述为技术细节,但它表达了一项关于爆炸半径的管理决策。一个面向互联网的争议门户应当仅拥有处理争议所必需的访问路径、数据库权限和文件访问权限。如果它需要三个数据库,那么任何允许从那里获取的凭证打开更多数据库的设计都应承担举证责任。控制措施应假设一个公共应用程序最终可能被攻破,并防止该事件演变为广泛的机构访问。

凭证是同一边界的一部分。将可重复使用的管理员凭证以明文形式存储在一个可访问的共享上,瓦解了应用程序攻破与数据库管理之间的隔离。更强实践应分离服务身份,限制每个身份到特定的资源和操作,使用托管秘密存储、轮换凭证、监控特权使用,并阻止一个应用账户枚举不相关的数据存储。现有记录不支持臆造哪种现代工具能够阻止每一步。但它确实支持这样一个结论:广泛的凭证和平坦的访问范围放大了此次事件。

数据治理提供了最终的倍增因子。FTC 投诉指控 Equifax 以明文形式存储了大量社会安全号码和支付卡信息,并将敏感信息复制到超出业务需要的开发与测试环境中。GAO 将 Equifax 自身的事后分析总结为四个促成因素:识别、检测、数据库访问分割和数据治理。这一表述比将事件简化为修补更为有用。识别使得暴露持续存在。检测使得活动得以继续。分割使得扩展成为可能。数据治理增加了可被窃取的数据量和价值。

过期证书是一次监控控制失效

加密流量检查是另一个设计上存在但运营中失效的控制项。用于 ACIS 的监控设备需要有效证书来解密和检查相关流量。该证书已过期。当 Equifax 在 7 月 29 日作为更广泛证书工作的一部分更换了它时,安全团队几乎立即观察到了可疑的出站流量。该可疑目标被阻断;次日出现了相关流量;ACIS 被下线。

公开记录在持续时间上存在差异,并且这种差异应当保持可见。Senate 报告称该门户相关证书在 2016 年 11 月已过期,距离更换约有 8 个月。FTC 投诉指控它在被发现前至少已过期 10 个月。House 报告称由于证书过期,该监控设备已停用了 19 个月。这些可能反映了基础记录中不同的基线、设备或描述。稳健的结论是检查功能已受损数月之久,而非可以不加限定地断言一个具体的持续时间。

House 报告补充了规模:超过 300 个安全证书已过期,其中包括 79 个与监控关键业务域相关的证书。Senate 报告将证书职责描述为由个人管理,并表示集中化的生命周期管理计划仍在实施中。这不仅仅是一名操作员忽略的日期。它是该组织在整体范围内尚未具备可靠的证书发现、所有权、续期和故障告警能力的证据。

证书管理与补丁管理属于同一保证链条。两者都涉及具有已知到期或漏洞状态的资产、指定的负责人、截止期限、尽可能自动续期或补救,以及在措施未完成时进行升级。两者都可能产生危险的静默故障。一个公共证书过期的 web 服务是可见的,因为用户会看到错误。监控路径中过期的证书可能更糟:服务看似正常运行,而防御者却失去可见性。

更换证书后近乎立即检测到特别重要。它并不证明如果证书一直有效,更早的每一次恶意请求都会被检测到。但它确实表明 Equifax 已拥有的一项控制在恢复后立即产生了有用证据。因此,对监控技术的投资并不足够。运营维护决定了该投资是否起作用。

发现是决定性的;披露是第二次运营考验

一旦可疑流量变得可见,Equifax 便迅速采取行动阻断了目标、进行了调查,并将 ACIS 下线。公司通知了高级技术和安全领导层,聘请了外部律师和 Mandiant,联系了 FBI,并开始确定个人信息是否已被移除。这部分记录不应被早期的失败抹除。7 月 29 日之后的事件遏制进展速度远快于 3 月 7 日之后的漏洞关闭速度。

从发现到公开宣布的延迟需要放在上下文中看待。Equifax 在 7 月 29 日并不知道受影响的人群规模。Mandiant 的工作必须重建对整个复杂环境的访问、确定数据类型,并识别受影响的个人。House 时间线称调查在 8 月 11 日前识别出一个包含大量个人信息的表,在 8 月 24 日前确认了重大访问,并在 9 月 4 日前完成了一份包含 1.43 亿美国消费者的初步名单。公开宣布在 9 月 7 日进行。

这一序列并未消除关于升级的质疑。CEO 在 7 月 31 日被告知,而全体董事会据 House 报告是在 8 月 24 日至 25 日被告知的。它确实表明“发现后六周”本身并不是非法延迟披露的证据。法律义务各不相同,且规模仍在确认中。公开记录中最严厉的批评涉及的是响应准备不足,而非有一个司法裁定认为披露时间违反了某项特定的披露法规。

最初的公告,作为Equifax 8-K 表附件提交,指出犯罪分子利用了一个美国网站应用程序漏洞,并描述了受影响的数据类别。它还称 Equifax 未发现其核心消费者或商业信用报告数据库中存在未经授权的活动。这一陈述可以与后来发现攻击者访问了 ACIS 之外的众多数据库并存:“未发现证据”关于指定的核心系统,并不等同于声称没有其他数据库被访问。

消费者响应基础设施在需求压力下表现不佳。House 报告发现,专门的网站和呼叫中心立即不堪重负。消费者有时收到相互矛盾或不完整的结果,无法注册,或无法联系到代表。Equifax 在大约三周内快速组装了单独的网站,并迅速增加了约 1500 名临时呼叫中心坐席。这一努力是巨大的,但结果暴露了一个连续性差距:一家通常以企业对企业为主要模式的公司,并未为一次影响近半数国民的事件预先建设面向消费者的危机容量。

独立的域名也造成了信任摩擦。House 报告称,甚至 Equifax 的一个社交媒体账号也反复将消费者引导至一个由安全研究员创建的类似名称的网站,因为一名员工颠倒了地址中的词语。报告中没有任何证据表明该研究员窃取了提交的数据;此事件之所以重要,是因为泄露通信应当减少网络钓鱼的模糊性,而不是制造它。要求人们提交身份识别信息的响应渠道必须易于认证,在超高负载下经过测试,并有能够回答核心问题——即此人是否受影响——的坐席支持。

公共部门连续性超出了 Equifax 自身的网络

此次泄露并未导致 Equifax 核心信用报告系统有记录在案的全美范围内中断。即便如此,公共部门连续性仍然至关重要,因为联邦机构使用 Equifax 进行身份验证,且被窃取的属性可能削弱远程身份认证所基于的假设。

GAO 审查了 Internal Revenue Service、Social Security Administration 及 U.S. Postal Service 这三家主要使用 Equifax 身份验证服务的联邦客户。其2018 年报告称,这些机构评估了 Equifax 的控制措施,识别出了较低层级的技术问题并待修复,并修改了合同,包括未来的泄露通知要求。一份 IRS 合同被终止。Equifax 的2017 年 10-K 表同样披露了加强的审查、一份政府合同的中止、客户的安全审计,以及部分合同或项目的推迟或取消。

连续性问题在认知层面同样存在:机构能否继续将了解一个人的信用历史视为该人确实是其所声称身份的证明?GAO 的2019 年对联邦在线身份验证的审查发现,在诸如 Equifax 等泄露事件中被窃取的数据可被用于回答基于知识的验证问题。它指出 NIST 2017 年的指南实际上禁止了联邦机构将基于知识的验证用于敏感应用,并审查了面向公众服务中的替代方案。

这是一种不同类型的服务中断。服务器可以保持可用,而一种认证方法失去可信性。机构则必须变更合同、重新设计身份验证、增加文件或面对面检查,或接受更高的欺诈风险。这些变化会影响福利和服务的获取,特别是对于那些缺乏替代方法可能假定的设备、文件、连接或行动能力的人群。

因此,数据中介机构的董事会应将连续性义务拓展至正常运行时间之外。保密性失败可能迫使客户暂停集成。完整性疑虑可能使数据不适合用于决策。身份数据的暴露可能使下游认证实践失效。一份有用的连续性地图应当显示哪些公共服务依赖于该公司的数据,如果数据或验证方法丧失信任,客户必须采取什么行动,以及该提供商将如何为合同和风险决策快速提供证据。

中小企业连续性是一个容量问题,同样也是一个技术问题

中小企业在波及范围中出现的方式与联邦机构不同。公开记录并未显示 Equifax 泄露事件导致了小企业服务的普遍停摆,暗示这一点将是不准确的。更可靠的风险在于,较小的雇主、房东、贷方、专业公司和服务提供商参与了信用、筛选、工资和身份生态系统,却没有大型机构所拥有的欺诈团队、法务能力或替代选项。

Equifax 的 2017 年 10-K 表描述了消费者和商业信息、信用评分、欺诈预防、身份验证、抵押贷款信息、就业验证和政府相关服务。它还报告称 Workforce Solutions 部门服务于政府、抵押贷款、金融、就业筛选和电信用途。即便在小公司并非 Equifax 的直接企业客户时,这些服务也参与到小组织每天做出的决策中。

连续性负担落在几个方面。一个小型贷方或房东可能需要区分合法申请人和使用暴露身份属性的个人。一个小型雇主可能依赖筛选或收入验证链条,但缺乏筹码要求占主导地位的数据提供商提供详细的控制证据。一个地方金融机构可能在大规模泄露后产生客户支持和欺诈审查工作。一家专业服务公司可能不得不帮助客户冻结信用、记录损失或更正记录。这些影响都不需要 Equifax 的平台离线。

和解记录反映了这种负担在消费者层面的持久性。官方 Equifax 泄露和解网站声明该和解于 2022 年 1 月生效,初始赔付于 2022 年晚些时候开始,扩展索赔赔付在此之后继续。FTC 和解页面记录了持续的支付和身份恢复安排。一个支持受影响人群的小型组织可能会将这一长尾体验为反复的账户恢复、文件编制、欺诈处理和员工援助,而非一次戏剧性的中断。

对中小企业而言,实践性的控制教训不是复制一家全球信用局的安全计划,而是减少对暴露的静态属性的依赖,并了解替代路径。身份检查不应将社会安全号码、出生日期、地址或信用文件问题视为秘密,仅仅因为它们属于个人信息。与筛选、工资、信用和身份供应商之间的合同应明确事件通知渠道、服务替代方案、数据保留限制、更正程序和支持承诺。连续性规划应测试当一家供应商可用但其证据必须附加谨慎对待时会发生什么。

对于服务中小企业的提供商而言,董事会问责包括客户不对称性。大型客户可以委托审计和谈判通知条款;小客户通常接受标准条款和公开保证。持有高价值数据的提供商不应让安全取决于每个小客户具备调查它的规模。独立评估、可执行的基线控制、明确的事件通知和可访问的补救渠道可以在一定程度上修正这种不平衡。

管理问责:政策所有权与执行相分离

House 报告的核心管理发现是安全政策与 IT 运营之间存在问责缺口。在泄露事件发生前,首席安全官向首席法务官报告,而非向首席信息官或直接向 CEO 报告。报告结构可以合法地多样,且单一的汇报架构并不能保证安全。在此案例中,委员会收集的证词将安全与 IT 描述为各自为政,沟通不一致,清单列表分别维护且不完整,并对安全工作的进度表示沮丧。

报告称,高级 IT 和安全领导层从 2016 年开始每月举行协调会议,并跟踪包括补丁管理和数字证书部署在内的各项举措。该证据很重要,因为它表明这些问题并非完全不可见。该组织拥有论坛和举措。失败之处在于将关注转化为完整、经过测试的实施。

2015 年的审计强化了这一结论。被动式修补、不完整的清单、薄弱的验证和遗留系统风险已经被记录在案。一个成熟的问责体系应将每项发现指派给一位执行负责人,定义可衡量的关闭标准,要求独立验证,并将逾期日期上报给风险委员会。关闭一项审计问题应当意味着该控制在整个范围内的环境中有效运行,而非某个项目已启动或某项目标日期已被记录。

Equifax 在泄露后的人事处理是显著的。CIO 和首席安全官于 2017 年 9 月离职。CEO 兼董事长 Richard Smith 在该月下旬退休。一名负责包括 ACIS 在内系统的高级主管于 10 月被解雇。公司随后任命了一位直接向 CEO 汇报的 CISO,以及一位作为平级同僚的首席技术官。这些行动改变了领导层和架构。它们本身并不能确立每个人对每项控制缺陷的法律责任。

同样的克制适用于内幕交易。董事会特别委员会审查了四名在发现可疑活动与公开披露之间进行交易的高级管理人员,并报告称他们在交易时不知道该事件。该委员会的报告作为Equifax 董事会特别委员会附件提交给了 SEC。另外,SEC 对前业务单元 CIO Jun Ying 提起了诉讼;SEC 2019 年的诉讼公告称,一项基于同意的最终判决解决了其内幕交易指控,并指出在并行的刑事案件中已作出有罪答辩。这些是不同的人和不同的事实记录。将它们混为一谈会扭曲有关信息披露问责的证据。

董事会问责:事件之前、升级过程中和和解之后

董事会问责应划分为三个时期。泄露事件之前,问题是董事会知晓或本应要求知晓哪些关键的网络安全风险和未解决的控制缺陷。升级过程中,问题是重要事实是否足够迅速地并以支持决策的形式传达给了董事们。泄露事件之后,问题是治理变革是否创造了持久的证据,而非暂时的关注。

公开记录提供的关于第三个时期的细节多于第一个时期。House 报告批评了管理架构,并基于会议频率和安全信息汇报者情况等,指出 CEO 未将网络安全置于优先地位。它并未裁定一项针对董事们的信义义务索赔。在此审查的来源中,并未确定任何一位董事明知并接受了易受攻击的 ACIS 配置。一个谨慎的分析不应以推断填补该空白。

Equifax 的2018 年股东委托书描述了董事会的回应。董事会成立了特别委员会,分离了董事长和 CEO 角色,增加了具有技术和金融服务经验的董事,扩大了技术委员会在网络安全方面的职责,要求 CISO、CTO 和内部审计定期报告,并设立了无管理层在场的执行会议。它还指出,在事件被报告后,董事会及其委员会召开了超过 75 次会议。

股东委托书同样披露了薪酬措施。董事会取消了高级领导团队 2017 年的年度激励薪酬,约 280 万美元,加强了追回政策,将处于监督职位时发生的经济和声誉损害纳入其中,并将网络安全作为一个高管绩效考核指标。这些行动显示了将网络结果与高管问责联系起来的努力。其有效性取决于指标的质量。一个基于补丁数量或培训完成情况的指标,可能在关键残余风险依然存在时也能得到满足。结果导向的指标应测试覆盖范围、老化程度、独立验证、重复发现和例外暴露情况。

董事会事件后的会议数量是关注的证据,而非有效性的证据。在危机应对期间,召开 75 次会议可能是必要的。更强的治理变化是结构性的:CISO 的直接汇报渠道、委员会范围、独立专业知识、与审计的协调以及明确的升级机制。即使这些也需要可靠的信息模型。董事会无法监督一个不在清单中的应用,或挑战一个扫描覆盖范围有限的扫描。

2018 年 6 月的多州同意令将一些期望从自愿治理转变为可执行的义务。Equifax 在既不承认也不否认不安全或不健全信息安全实践指控的情况下同意了该命令。该命令要求董事会审查和批准一份书面的风险评估、一份泄露补救项目的清单和优先级安排、更强的审计、改进的 IT 资产清单、正式的补丁识别和管理、遗留系统计划,并关注灾难恢复和业务连续性。其意义不在于监管机构指定了某个特定的扫描器,而在于他们要求董事会可追溯地参与控制系统。

和解与监管裁定:哪些已被决定,哪些尚未决定

2019 年 7 月,FTC、CFPB、各州总检察长与 Equifax 宣布了一项协调解决方案。FTC 公告描述了至少 5.75 亿美元且可能高达 7 亿美元:初期 3 亿美元用于消费者基金,必要时额外增加至多 1.25 亿美元,1.75 亿美元支付给参与的各州和领地,以及 1 亿美元的 CFPB 民事罚款。纽约总检察长的多州公告描述了各州分担部分和安全承诺。Equifax 自己的和解公告使用了 6.71 亿美元的和解数字,反映了公司对协议和预期付款的呈现。

这些总额不应被视为可互换。一些包含了或有增加;一些混合了监管罚款与集体救济;集体基金有其自身的会计处理;且监控服务的价值取决于使用率。正确的做法是声明每个数字所对应的范围,而非寻求一个统一的和解总额。

FTC 投诉指控 Equifax 未能使用合理的安全措施构成不公平行为,关于防护措施的陈述具有欺骗性,且公司违反了 Gramm-Leach-Bliley Act 的 Safeguards Rule。它指控其补丁程序存在缺陷、清单不完整、扫描配置不当、分割和入侵检测不充分、明文存储凭证和数据,以及访问控制薄弱。这些是指控,即便它们在很大程度上与国会调查结果和 Equifax 报告的补救措施相符。

经签署的 FTC 约定命令CFPB 提交的约定命令对于未来的问责更为重要。它们要求制定书面的信息安全计划、年度风险评估、防护措施、测试、服务提供商控制、漏洞测试、渗透测试和独立评估。FTC 命令要求安全计划及其实质性更新至少每年提交给董事会或相关委员会。它还要求董事会或委员会在 20 年内每年就合规情况以及未披露的重大不合规情况进行认证。

该认证改变了董事会的证据负担。董事们不能仅凭管理层断言就负责任地进行认证。该命令要求独立评估,指定评估人员识别支持结论的证据,并规定调查结果不能仅依赖 Equifax 管理层的陈述。它还要求 Equifax 向评估人员提供关于整个网络和 IT 资产的信息,以便评估人员能够确定范围。这些规定直接针对 2017 年暴露出的模式:未知资产、自我报告的完成情况,以及没有可靠覆盖范围的阴性扫描。

消费者诉讼产生了另一层内容。提交给 SEC 的和解协议确立了商业实践承诺和消费者救济。2021 年,U.S. Court of Appeals for the Eleventh Circuit在很大程度上确认了和解的批准,同时依据巡回法院的先例推翻了给集体代表的激励金。该意见记录了一个 3.805 亿美元的初始集体基金、可能的额外金额、信用监控和身份恢复福利、五年内至少 10 亿美元的数据安全支出、独立评估以及地区法院的执行。

集体和解并未产生对每一项指控的审判裁决。官方和解网站明确声明 Equifax 否认有不当行为,且在该和解中未作出任何不当行为的判决或认定。这不抹去命令、付款、公司披露、国会调查结果或提交给 SEC 的承诺。它界定了它们的法律姿态。经和解的问责仍然是问责,但它与经审判裁定的责任不同。

董事会应从关键补丁窗口期要求什么

Equifax 的记录支持一套为未来董事会提供的具体证据包。它应当从一份关键安全公告到达时开始,并保持开启直至暴露被补救或在受限条件下被正式接受。

首先,管理层应确定分母。报告应识别面向互联网的服务、受影响的软件组件和版本、所有者、数据分类、网络路径,以及对清单覆盖范围的信心。未知领域应报告为未知,而不应算作安全。

其次,所有权应当是确认性的。指定的技术和业务负责人应接受任务。一份分发列表是一种通知机制,而非问责。如果负责人缺位、已更换角色或未确认指示,则应在补丁截止期限到期前进行升级。

第三,验证应独立于变更。安装补丁的团队可以提供部署证据,但另一项控制应验证漏洞的缺失。对于嵌入式框架,这可能需要认证扫描、软件组成证据、构建清单或直接检查。任何扫描器限制应与结果一起呈现。

第四,例外应改变架构。如果一个关键系统无法在要求窗口期内修补,则该例外应确定原因、谁接受了风险、何时到期,以及哪些补偿控制降低了暴露。移除互联网访问、禁用易受攻击的功能、限制请求、隔离服务、收紧出口或限制数据库访问范围,可能在进行测试的同时降低风险。没有补偿变化的例外不过是推迟的决定。

第五,董事会应看到爆炸半径。对于每个关键的外部可达应用程序,管理层应展示攻破后哪些数据库、文件共享、凭证和管理功能是可访问的。最小权限和分制应从应用程序身份进行测试,而非根据网络图表假定。

第六,检测控制需要健康证据。证书有效性、传感器覆盖范围、日志流、解密能力、警报延迟和保留情况应作为独立控制项进行监控。一个无法检查流量的安全设备应报告可见故障并触发升级,而不是无声地保持为覆盖范围的一部分。

第七,旧的审计发现应与当前事件联系起来。当一个关键漏洞暴露了与早些时候审计发现的相同状况时,董事会应立即看到这种关系。重复发现不是常规的待办事项;它们是先前补救措施未改变运营环境的证据。

第八,连续性规划应包括信任失效。该计划应涵盖如果数据已被暴露、如果一项身份验证方法不再可信、或者如果一项服务必须在核心平台保持在线时被隔离,客户和政府将采取的行动。面向消费者的通知规模、经过认证的响应域名、呼叫容量、合同通知以及对较小客户的支持,应在泄露发生前进行测试。

这些要求并非主张董事们去管理补丁。它们主张董事们治理那个声称补丁已得到控制的体系。董事会的角色是设定风险容忍度、要求可靠报告、挑战共享盲区、分配高管问责,并确保一项关键例外不会消失于运营复杂性之中。

持久的问责考验

Equifax 的泄露事件常常被记为一个存在可用补丁但未被应用的案例。更持久的教训是,每一项表面上的安全保障都依赖于该公司未能可靠掌握的证据。安全公告到达了组织,但未到达负责的应用程序团队。48 小时规则存在,但缺乏确认和关闭。扫描运行了,但未覆盖该组件。监控技术存在,但无法检查流量。该门户具有确定的功能,但可以访问远远超出该功能所需的数据。审计发现存在,但未证明得到独立解决。

事发后的记录将问责向上推进。管理层角色发生变化。董事会委员会职责扩大。激励决策纳入了网络后果。州监管机构要求董事会批准的风险和补救工作。联邦命令要求长期安全计划、独立评估和年度认证。消费者和解围绕补救工作设定了大量支出和可由法院执行的承诺。

以上均不证明通过增加董事会会议或认证就能消除大型泄露事件。它表明的是治理必须使什么变得可观察。董事会应当能够追踪一份关键安全公告直到每一个受影响资产、每一位可问责的负责人、每一项已执行的变更、每一次独立验证、每一个临时例外以及每一条通往敏感数据的剩余路线。当此链条不完整时,正确的状态不是绿色,而是未解决的风险。

对公共机构和中小企业而言,该案例也将连续性拓展至可用性之外。一家数据中介可以在客户对身份证据失去信心、暂停合同、增加欺诈控制并将人员重新投入到补救工作中时保持在线。最小的下游组织和个体消费者往往最缺乏承担该工作的能力。他们的依赖性属于提供者的风险足迹的一部分,即使在提供者的正常运行时间指标中不可见。

因此,Equifax 泄露事件仍然是一个董事会问责的基准,因为其起因缺陷是普通的,而其后果是非同寻常的。该漏洞是公开的。补救措施是可用的。内部截止期限很短。失败的是该机构证明其自身指令已经改变了那些真正重要的系统的能力。

排版

排版是安排文字以使书面语言清晰、可读且视觉美观的艺术和技巧。它涉及选择字体、字号、行宽、行距及字间距。

  • 排版起源于 15 世纪 Johannes Gutenberg 发明活字印刷。
  • 关键元素包括字体选择、字距调整、字间距和行间距。
  • 良好的排版可提高可读性,并在设计中传达意境或基调。