云安全漏洞事件頻發,我們能從中學到什么?
本文轉自雷鋒網,如需轉載請至雷鋒網官網申請授權。
2020年是多災多難的一年。
這一年,數據泄露事件比過去15年的加起來還多。 Canalys 發布的網絡安全評論中有300起報告泄露事件(比2019年增長119%),310億條數據記錄遭到泄露(比2019年增長171%)。
這能怪新型冠狀病毒嗎?不能,它只是一個導火索。
當疫情將我們限制在家里時,考驗線上交互產品的時間到了。運營交互產品的公司戰戰兢兢,一怕公司訪問資源不夠用;二怕黑客搞游擊戰己方分身乏術。
2020年,美國提高網絡安全支出,但即便增長率高達10%,也沒能摸到數字化轉型的腳后跟。在網絡安全方面,美國正處于捉襟見肘的局面,實在無法保衛公有云基礎設施和現代化應用程序。
就在大家放棄抵抗的同時,那些復雜的環境、碎片化的堆棧;那些無窮無盡的基礎設施;那些前所未有的速度和龐大的數據規模,每一拳都捶打在網絡安全的痛點上。
下面會分述2020年最大的9起云漏洞事件。這個“大”不指受損的數據與數量,而是指暴露的范圍和潛在的漏洞。我們會描述這些重大事故是如何發生的,也會總結事件的關鍵點,希望可以幫到你。
一、內部數據的錯誤配置
2020年1月,微軟公開了一起內部事故:2019年12月5日公司在更改數據庫安全組時,員工引入了錯誤的安全配置規則,導致2.5億條支持案例記錄遭到破壞,其中包括電子郵件、IP地址和支持案例的詳細信息。
事后微軟表示,這次的事故沒有暴露任何商業云服務,也就是說商業客戶的數據是安全的。而且一般情況下,個人信息在自動編輯后也會被刪除。
客戶數據一旦丟失,黑客就會利用這些數據實施釣魚攻擊,后果不堪設想。Check Point 事件處理小組已經發現了許多釣魚攻擊,這些黑客只需發起關鍵任務,例如“您的 IT 支持郵箱已滿”或“新語音郵件:無法訪問資源”,就可以通過訪問歷史記錄發動攻擊。
值得一提的是,這起事故是由第三方檢測出來的,這不但讓人們意識到加強內部資源網絡安全規則審核的重要性,更意識到檢測安全規則錯誤配置和實時提醒安全團隊的重要性。
二、未受保護的數據庫有多危險
2021年1月30日,一名網絡安全研究員發現,雅詩蘭黛教育平臺的部分數據庫沒有密碼保護。也就是說,只要你訪問就可以純文本用戶電子郵件、IP 地址、端口、路徑和存儲信息。黑客可以利用這些信息抓取未加密的生產、審計、錯誤、CMS 和中間件日志了,危險可想而知。
雅詩蘭黛發現風險后第一時間修復了這個錯誤,他們也表示沒有泄露任何客戶的數據。從這次的事件中我們可以發現三個可以改進的點:
有效的發現和管理對數據庫安全至關重要。未受保護的數據隨時會變成威脅,還會為網絡釣魚攻擊大開方便之門。
絕不能為了靈活輕松的配置云資源取消密碼保護,這會付出安全上的慘重代價。
數據應始終加密,即使在非生產數據庫中也是如此。
三、八年未受保護的秘密數據庫
2020年3月10日《華盛頓郵報》爆出一篇文章,文章中提到一個可以共享秘密的手機應用 Whisper 從2012年到2020年安全事故爆出后,有9億個帖子的數據庫都沒有受到保護。數據庫中還包括用戶的年齡、種族、性別、家鄉、昵稱和群組成員身份。
Whisper 立刻聯系到《華盛頓郵報》刪除該文章,同時發現這起事件的網絡安全研究員還沒有證明這些數據被使用過。
這件事情就這樣結束了。但是我們應該知道造成這種事件的原因是什么。CPIRT 的研究人員表示,出現泄露的服務器和服務通常是配置錯誤和補丁過時。
如果設置一些定時外部攻擊和自身掃描檢測服務器,也許情況會更好一些。
在混合云和多云的復雜環境下,只有建立有效的安全監控,才能防患于未然。
四、服務器中的人臉識別數據泄露
2020年3月一家巴西生物識別方案公司被安全研究員發現在不設防的服務器上放置著8150萬條記錄。這些記錄中包含的信息有:管理員登錄信息、員工電話號碼、電子郵件地址、公司電子郵件和與 76,000 個指紋相關的二進制代碼,這些代碼對指紋可進行逆向追溯。我們在暴露的數據庫中還發現了面部識別數據。
這次的問題出在上云的過程中。公司沒有將安全的數據配置到基于云的數據庫上儲存。
CPIRT 的調查員見到過很多次匆忙的云遷移,然而這種自亂陣腳的做法給黑客提供了不少鉆空子的機會。
所以應用程序要在從本地基礎架構奔向云基礎架構時,做好特殊防護措施。比如密碼保護和數據加密等等。
五、日常維護期間暴露的 50 億條記錄
2020年3月,一家服務提供商的50億條記錄在日常維護期間遭到暴露。
起因是,數據承包商為了加快 Elasticsearch 數據庫的遷移,為互聯網索引服務 BinaryEdge 打開一個窗口,關了10分鐘防火墻。
一名安全研究人員在這10分鐘內通過未受保護的端口訪問了數據庫,提取了很小一部分記錄。可見這是不安全的。
泄露的數據中包括電子郵件和密碼。安全管理員云使用這些泄漏的數據通知 Keepnet 的客戶自己是否安全。
事后 Keepnet 加強了漏洞的檢測強度,即使是在日常也不放松。
在 CPIRT 看來,穩定的安全架構應該從早期設計階段就開始考慮。否則為了提高性能放棄安全控制系統很容易成為黑客的靶子。
相信這種前期投資可以節省很多安全管理的時間和資源。
六、錯誤配置的云服務器泄露訪客信息
2020年7月,MGM酒店承認自己在暗網上出售1.42億有關客人的信息。被黑的數據有客人的家庭住址、聯系信息、出生日期、駕照號碼和護照號碼。幸運的是,沒有包含財務信息、身份證和預訂詳情。
這起違規行為可能是2019年7月中的一部分。2010年2月這些信息被黑客購買。黑客通過這些數據實施了釣魚攻擊。
漏洞產生的原因是配置錯誤的云服務器可以在未經授權的情況下被訪問。
我們應該會發現這些錯誤配置都是人為的,那么自動化安全工作的重要性就不言而喻了。
七、未被發現的個人財務數據泄露
2020 年 9 月,華納媒體集團 (WMG) 宣布自己成為為期三個月的 Magecart 數據收集攻擊的受害者。
從 2020 年 4 月 25 日到 8 月 5 日,黑客將用戶的個人信息(姓名、電子郵件地址、電話號碼、賬單和送貨地址)和信用卡信息(卡號、CVC、到期日期)泄露到網站。
在事件發生后對 WMG 提起的集體訴訟中,原告寫道: “這一違規行為持續了三個多月而未被發現,這表明華納媒體集團涉嫌缺乏保護其客戶的安全。” WMG 從慘痛的教訓中吸取的教訓是,下一代監控系統會更快地檢測到問題,甚至可以先發制人。
八、加密攻擊下的 Kubernetes
2020 年 6 月,黑客在 Microsoft Azure 上的計算密集型 Kubernetes 機器學習節點上發起了一次成功的加密攻擊活動。目標是 Kubeflow,這是一個在 Kubernetes 中管理 ML 任務的開源項目。
Kubeflow 的儀表板不是為了安全。錯誤配置的服務允許未經授權的用戶執行 Kubeflow 操作,包括部署的新容器。
Azure 安全中心在此次攻擊影響了數十個 Kubernetes 集群,但沒有說明資源劫持的范圍會影響到黑客利用儀表板進行攻擊。
因為云的自動擴展功能,云服務提供商成為加密挖掘活動的常見目標。受害者通常只有在月底收到極高的云使用賬單時才會意識到這一漏洞。
在任何情況下,完全依賴云服務提供商的安全控制系統是不可取的。每個組織都必須了解其在云安全的責任。
九、商業伙伴可以看到用戶注冊信息
2020年12月,音樂播放軟件 Spotify 表示有數量未公開的用戶注冊信息意外暴露給了它的業務合作伙伴。 Spotify 的業務合作伙伴可能會訪問用戶的敏感信息,包括用戶的電子郵件地址、首選顯示名稱、密碼、性別和出生日期。該漏洞是 4 月份發生的直到11 月份才被系統發現。
如果可以自動掃描和定期攻擊測試,這些系統可能會更有效一些。
保證自己云資產的安全不僅僅是 Spotify 的難題,更是所有互聯網企業需要面臨的問題。
2020 年 6 月,參與IDC 云安全調查的 300 名美國 CISO(信息安全官)表示,云生產環境的首要問題是安全配置錯誤 (67%)、缺乏對訪問設置和活動的可見性 (64%) 以及身份和訪問管理 (IAM) 錯誤 (61%)。他們的云安全優先事項是合規性監控 (78%)、授權和權限管理 (75%) 以及安全配置管理 (73%)。
由于以上挑戰和優先事項,企業正在尋求第三方安全供應商來補充其云提供商的安全工具和服務,并提供自動化和統一的云安全解決方案。
寫在最后
保持網絡和數據資產安全是安全團隊和黑客之間永無休止的戰斗。資產管理不善、安全配置錯誤和數據未加密是導致敏感數據和其他資源產生漏洞的主要原因。
漏洞是云網絡安全和云安全管理不良的結果。我們理應舉一反三,不要被同一個問題絆倒兩次。
