寫在最前！個人信心數(shù)據(jù)采集不在根源封堵和根除，完全依賴云服務(wù)提供商的安全控制系統(tǒng)是不可取的！特別是識別信息密鑰

2020年是多災(zāi)多難的一年。這一年，數(shù)據(jù)泄露事件比過去15年的加起來還多。 Canalys 發(fā)布的網(wǎng)絡(luò)安全評論中有300起報(bào)告泄露事件（比2019年增長119%），310億條數(shù)據(jù)記錄遭到泄露（比2019年增長171%）。這能怪新型冠狀病毒嗎？不能，它只是一個導(dǎo)火索。

當(dāng)疫情將我們限制在家里時，考驗(yàn)線上交互產(chǎn)品的時間到了。運(yùn)營交互產(chǎn)品的公司戰(zhàn)戰(zhàn)兢兢，一怕公司訪問資源不夠用；二怕黑客搞游擊戰(zhàn)己方分身乏術(shù)。

2020年，美國提高網(wǎng)絡(luò)安全支出，但即便增長率高達(dá)10%，也沒能摸到數(shù)字化轉(zhuǎn)型的腳后跟。在網(wǎng)絡(luò)安全方面，美國正處于捉襟見肘的局面，實(shí)在無法保衛(wèi)公有云基礎(chǔ)設(shè)施和現(xiàn)代化應(yīng)用程序。

就在大家放棄抵抗的同時，那些復(fù)雜的環(huán)境、碎片化的堆棧；那些無窮無盡的基礎(chǔ)設(shè)施；那些前所未有的速度和龐大的數(shù)據(jù)規(guī)模，每一拳都捶打在網(wǎng)絡(luò)安全的痛點(diǎn)上。

下面會分述2020年最大的9起云漏洞事件。這個“大”不指受損的數(shù)據(jù)與數(shù)量，而是指暴露的范圍和潛在的漏洞。我們會描述這些重大事故是如何發(fā)生的，也會總結(jié)事件的關(guān)鍵點(diǎn)，希望可以幫到你。

一、內(nèi)部數(shù)據(jù)的錯誤配置

2020年1月，微軟公開了一起內(nèi)部事故：2019年12月5日公司在更改數(shù)據(jù)庫安全組時，員工引入了錯誤的安全配置規(guī)則，導(dǎo)致2.5億條支持案例記錄遭到破壞，其中包括電子郵件、IP地址和支持案例的詳細(xì)信息。

事后微軟表示，這次的事故沒有暴露任何商業(yè)云服務(wù)，也就是說商業(yè)客戶的數(shù)據(jù)是安全的。而且一般情況下，個人信息在自動編輯后也會被刪除。

客戶數(shù)據(jù)一旦丟失，黑客就會利用這些數(shù)據(jù)實(shí)施釣魚攻擊，后果不堪設(shè)想。Check Point 事件處理小組已經(jīng)發(fā)現(xiàn)了許多釣魚攻擊，這些黑客只需發(fā)起關(guān)鍵任務(wù)，例如“您的 IT 支持郵箱已滿”或“新語音郵件：無法訪問資源”，就可以通過訪問歷史記錄發(fā)動攻擊。

值得一提的是，這起事故是由第三方檢測出來的，這不但讓人們意識到加強(qiáng)內(nèi)部資源網(wǎng)絡(luò)安全規(guī)則審核的重要性，更意識到檢測安全規(guī)則錯誤配置和實(shí)時提醒安全團(tuán)隊(duì)的重要性。

二、未受保護(hù)的數(shù)據(jù)庫有多危險(xiǎn)

2021年1月30日，一名網(wǎng)絡(luò)安全研究員發(fā)現(xiàn)，雅詩蘭黛教育平臺的部分?jǐn)?shù)據(jù)庫沒有密碼保護(hù)。也就是說，只要你訪問就可以純文本用戶電子郵件、IP 地址、端口、路徑和存儲信息。黑客可以利用這些信息抓取未加密的生產(chǎn)、審計(jì)、錯誤、CMS 和中間件日志了，危險(xiǎn)可想而知。

雅詩蘭黛發(fā)現(xiàn)風(fēng)險(xiǎn)后第一時間修復(fù)了這個錯誤，他們也表示沒有泄露任何客戶的數(shù)據(jù)。從這次的事件中我們可以發(fā)現(xiàn)三個可以改進(jìn)的點(diǎn)：

有效的發(fā)現(xiàn)和管理對數(shù)據(jù)庫安全至關(guān)重要。未受保護(hù)的數(shù)據(jù)隨時會變成威脅，還會為網(wǎng)絡(luò)釣魚攻擊大開方便之門。

絕不能為了靈活輕松的配置云資源取消密碼保護(hù)，這會付出安全上的慘重代價。

數(shù)據(jù)應(yīng)始終加密，即使在非生產(chǎn)數(shù)據(jù)庫中也是如此。

三、八年未受保護(hù)的秘密數(shù)據(jù)庫

2020年3月10日《華盛頓郵報(bào)》爆出一篇文章，文章中提到一個可以共享秘密的手機(jī)應(yīng)用 Whisper 從2012年到2020年安全事故爆出后，有9億個帖子的數(shù)據(jù)庫都沒有受到保護(hù)。數(shù)據(jù)庫中還包括用戶的年齡、種族、性別、家鄉(xiāng)、昵稱和群組成員身份。

Whisper 立刻聯(lián)系到《華盛頓郵報(bào)》刪除該文章，同時發(fā)現(xiàn)這起事件的網(wǎng)絡(luò)安全研究員還沒有證明這些數(shù)據(jù)被使用過。

這件事情就這樣結(jié)束了。但是我們應(yīng)該知道造成這種事件的原因是什么。CPIRT 的研究人員表示，出現(xiàn)泄露的服務(wù)器和服務(wù)通常是配置錯誤和補(bǔ)丁過時。

如果設(shè)置一些定時外部攻擊和自身掃描檢測服務(wù)器，也許情況會更好一些。

在混合云和多云的復(fù)雜環(huán)境下，只有建立有效的安全監(jiān)控，才能防患于未然。

四、服務(wù)器中的個人信息隱私識別數(shù)據(jù)泄露

2020年3月一家巴西生物識別方案公司被安全研究員發(fā)現(xiàn)在不設(shè)防的服務(wù)器上放置著8150萬條記錄。這些記錄中包含的信息有：管理員登錄信息、員工電話號碼、電子郵件地址、公司電子郵件和與 76,000 個指紋相關(guān)的二進(jìn)制代碼，這些代碼對指紋可進(jìn)行逆向追溯。我們在暴露的數(shù)據(jù)庫中還發(fā)現(xiàn)了個人信心面部識別數(shù)據(jù)。

這次的問題出在上云的過程中。公司沒有將安全的數(shù)據(jù)配置到基于云的數(shù)據(jù)庫上儲存。

CPIRT 的調(diào)查員見到過很多次匆忙的云遷移，然而這種自亂陣腳的做法給黑客提供了不少鉆空子的機(jī)會。

所以應(yīng)用程序要在從本地基礎(chǔ)架構(gòu)奔向云基礎(chǔ)架構(gòu)時，做好特殊防護(hù)措施。比如密碼保護(hù)和數(shù)據(jù)加密等等。

五、日常維護(hù)期間暴露的 50 億條記錄

2020年3月，一家服務(wù)提供商的50億條記錄在日常維護(hù)期間遭到暴露。

起因是，數(shù)據(jù)承包商為了加快 Elasticsearch 數(shù)據(jù)庫的遷移，為互聯(lián)網(wǎng)索引服務(wù) BinaryEdge 打開一個窗口，關(guān)了10分鐘防火墻。

一名安全研究人員在這10分鐘內(nèi)通過未受保護(hù)的端口訪問了數(shù)據(jù)庫，提取了很小一部分記錄?？梢娺@是不安全的。

泄露的數(shù)據(jù)中包括電子郵件和密碼。安全管理員云使用這些泄漏的數(shù)據(jù)通知 Keepnet 的客戶自己是否安全。

事后 Keepnet 加強(qiáng)了漏洞的檢測強(qiáng)度，即使是在日常也不放松。

在 CPIRT 看來，穩(wěn)定的安全架構(gòu)應(yīng)該從早期設(shè)計(jì)階段就開始考慮。否則為了提高性能放棄安全控制系統(tǒng)很容易成為黑客的靶子。

相信這種前期投資可以節(jié)省很多安全管理的時間和資源。

六、錯誤配置的云服務(wù)器泄露訪客信息

2020年7月，MGM酒店承認(rèn)自己在暗網(wǎng)上出售1.42億有關(guān)客人的信息。被黑的數(shù)據(jù)有客人的家庭住址、聯(lián)系信息、出生日期、駕照號碼和護(hù)照號碼。幸運(yùn)的是，沒有包含財(cái)務(wù)信息、身份證和預(yù)訂詳情。

這起違規(guī)行為可能是2019年7月中的一部分。2010年2月這些信息被黑客購買。黑客通過這些數(shù)據(jù)實(shí)施了釣魚攻擊。

漏洞產(chǎn)生的原因是配置錯誤的云服務(wù)器可以在未經(jīng)授權(quán)的情況下被訪問。

我們應(yīng)該會發(fā)現(xiàn)這些錯誤配置都是人為的，那么自動化安全工作的重要性就不言而喻了。

七、未被發(fā)現(xiàn)的個人財(cái)務(wù)數(shù)據(jù)泄露

2020 年 9 月，華納媒體集團(tuán) (WMG) 宣布自己成為為期三個月的 Magecart 數(shù)據(jù)收集攻擊的受害者。

從 2020 年 4 月 25 日到 8 月 5 日，黑客將用戶的個人信息（姓名、電子郵件地址、電話號碼、賬單和送貨地址）和信用卡信息（卡號、CVC、到期日期）泄露到網(wǎng)站。

在事件發(fā)生后對 WMG 提起的集體訴訟中，原告寫道： “這一違規(guī)行為持續(xù)了三個多月而未被發(fā)現(xiàn)，這表明華納媒體集團(tuán)涉嫌缺乏保護(hù)其客戶的安全。” WMG 從慘痛的教訓(xùn)中吸取的教訓(xùn)是，下一代監(jiān)控系統(tǒng)會更快地檢測到問題，甚至可以先發(fā)制人。

八、加密攻擊下的 Kubernetes

2020 年 6 月，黑客在 Microsoft Azure 上的計(jì)算密集型 Kubernetes 機(jī)器學(xué)習(xí)節(jié)點(diǎn)上發(fā)起了一次成功的加密攻擊活動。目標(biāo)是 Kubeflow，這是一個在 Kubernetes 中管理 ML 任務(wù)的開源項(xiàng)目。

Kubeflow 的儀表板不是為了安全。錯誤配置的服務(wù)允許未經(jīng)授權(quán)的用戶執(zhí)行 Kubeflow 操作，包括部署的新容器。

Azure 安全中心在此次攻擊影響了數(shù)十個 Kubernetes 集群，但沒有說明資源劫持的范圍會影響到黑客利用儀表板進(jìn)行攻擊。

因?yàn)樵频淖詣訑U(kuò)展功能，云服務(wù)提供商成為加密挖掘活動的常見目標(biāo)。受害者通常只有在月底收到極高的云補(bǔ)丁時才會意識到這一漏洞。

在任何情況下，完全依賴云服務(wù)提供商的安全控制系統(tǒng)是不可取的。每個組織都必須了解其在云安全的責(zé)任。

九、商業(yè)伙伴可以看到用戶注冊信息

2020年12月，音樂播放軟件 Spotify 表示有數(shù)量未公開的用戶注冊信息意外暴露給了它的業(yè)務(wù)合作伙伴。 Spotify 的業(yè)務(wù)合作伙伴可能會訪問用戶的敏感信息，包括用戶的電子郵件地址、首選顯示名稱、密碼、性別和出生日期。該漏洞是 4 月份發(fā)生的直到11 月份才被系統(tǒng)發(fā)現(xiàn)。

如果可以自動掃描和定期攻擊測試，這些系統(tǒng)可能會更有效一些。

保證自己云資產(chǎn)的安全不僅僅是 Spotify 的難題，更是所有互聯(lián)網(wǎng)企業(yè)需要面臨的問題。

2020 年 6 月，參與IDC 云安全調(diào)查的 300 名美國 CISO（信息安全官）表示，云生產(chǎn)環(huán)境的首要問題是安全配置錯誤 (67%)、缺乏對訪問設(shè)置和活動的可見性 (64%) 以及身份和訪問管理 (IAM) 錯誤 (61%)。他們的云安全優(yōu)先事項(xiàng)是合規(guī)性監(jiān)控 (78%)、授權(quán)和權(quán)限管理 (75%) 以及安全配置管理 (73%)。

由于以上挑戰(zhàn)和優(yōu)先事項(xiàng)，企業(yè)正在尋求第三方安全供應(yīng)商來補(bǔ)充其云提供商的安全工具和服務(wù)，并提供自動化和統(tǒng)一的云安全解決方案。

寫在最后

我們理應(yīng)舉一反三，不要被同一個問題絆倒兩次。