攻击网站而不留下审计线索

Question

最近Aetna 遭遇违规，导致其失败65,000 个 SSN。 他们始终无法找到所发生事件的审计跟踪，这可能暗示攻击利用了 XSS 或类似技术。

坏人是否反复利用特定的已知攻击来进行此类攻击？

Answer 1

人们会犯一些常见的错误，人们也会使用一些常见的平台。 如果不打补丁，每个人都可以使用简单的脚本进行闯入。

但是，如果有人专门追求某些在有组织犯罪团伙中具有很高价值的东西（在本例中是社会安全号码），我预计有人会花更多时间弄清楚该网站的工作原理并应用自定义漏洞来获取数据。

我也不明白为什么它必须是 XSS。 如果他们的系统没有将访问日志发送到服务器之外，甚至没有记录每个入口点，那么有人可以通过多种方法来利用可利用的服务器并在事后进行清理。

Answer 2

目前还不清楚这是一次技术故障，而且考虑到不确定的取证，在我看来，这更有可能是人为故障，无论是社会工程、留在火车座位上的数据还是心怀不满的员工。

AFAIK 真正留下零审计线索的唯一方法是不编写审计。 单独记录 HTTP 流量总会为您提供一些基于 HTTP 攻击的证据。

Answer 3

我已经看到了一些自动攻击的结果，他们所做的第一件事就是禁用日志记录并删除所有日志。

这就是为什么将日志记录位置更改为非标准路径很常见 - 它不会对坚定的攻击者做任何事情，但在自动攻击的情况下它会为您提供更多信息。

Answer 4

至少可以说，缺乏审计追踪并不奇怪。 没有多少公司保留有意义的审计跟踪。 当然，通常有千兆字节的日志，但谁会浏览所有这些呢？ 大多数 IT 部门都会在其足够老化后将其转储，因此完全有可能此漏洞发生在不久前，并且他们已经转储了日志，因为从文章中看来，他们直到垃圾邮件才知道可能的漏洞 我怀疑

是糟糕的 IT，而不是某种巧妙的攻击导致缺乏审计跟踪。