2021年是多灾多难的一年。
这一年,数据泄露事件比过去15年的加起来还多。 Canalys 发布的网络安全评论中有300起报告泄露事件(比2019年增长119%),310亿条数据记录遭到泄露(比2019年增长171%)。
这能怪新型冠状病毒吗?不能,它只是一个导火索。
当疫情将我们限制在家里时,考验线上交互产品的时间到了。运营交互产品的公司战战兢兢,一怕公司访问资源不够用;二怕黑客搞游击战己方分身乏术。
2021年,美国提高网络安全支出,但即便增长率高达10%,也没能摸到数字化转型的脚后跟。在网络安全方面,美国正处于捉襟见肘的局面,实在无法保卫公有云基础设施和现代化应用程序。
就在大家放弃抵抗的同时,那些复杂的环境、碎片化的堆栈;那些无穷无尽的基础设施;那些前所未有的速度和庞大的数据规模,每一拳都捶打在网络安全的痛点上。
下面会分述2021年最大的9起云漏洞事件。这个“大”不指受损的数据与数量,而是指暴露的范围和潜在的漏洞。我们会描述这些重大事故是如何发生的,也会总结事件的关键点,希望可以帮到你。
一、内部数据的错误配置
微软公开了一起内部事故:2019年12月5日公司在更改数据库安全组时,员工引入了错误的安全配置规则,导致2.5亿条支持案例记录遭到破坏,其中包括电子邮件、IP地址和支持案例的详细信息。
事后微软表示,这次的事故没有暴露任何商业云服务,也就是说商业客户的数据是安全的。而且一般情况下,个人信息在自动编辑后也会被删除。
客户数据一旦丢失,黑客就会利用这些数据实施钓鱼攻击,后果不堪设想。Check Point 事件处理小组已经发现了许多钓鱼攻击,这些黑客只需发起关键任务,例如“您的 IT 支持邮箱已满”或“新语音邮件:无法访问资源”,就可以通过访问历史记录发动攻击。
值得一提的是,这起事故是由第三方检测出来的,这不但让人们意识到加强内部资源网络安全规则审核的重要性,更意识到检测安全规则错误配置和实时提醒安全团队的重要性。
二、未受保护的数据库有多危险
2021年1月30日,一名网络安全研究员发现,雅诗兰黛教育平台的部分数据库没有密码保护。也就是说,只要你访问就可以纯文本用户电子邮件、IP 地址、端口、路径和存储信息。黑客可以利用这些信息抓取未加密的生产、审计、错误、CMS 和中间件日志了,危险可想而知。
雅诗兰黛发现风险后第一时间修复了这个错误,他们也表示没有泄露任何客户的数据。从这次的事件中我们可以发现三个可以改进的点:
有效的发现和管理对数据库安全至关重要。未受保护的数据随时会变成威胁,还会为网络钓鱼攻击大开方便之门。
绝不能为了灵活轻松的配置云资源取消密码保护,这会付出安全上的惨重代价。
数据应始终加密,即使在非生产数据库中也是如此。
三、八年未受保护的秘密数据库
《华盛顿邮报》爆出一篇文章,文章中提到一个可以共享秘密的手机应用 Whisper 从2012年到2020年安全事故爆出后,有9亿个帖子的数据库都没有受到保护。数据库中还包括用户的年龄、种族、性别、家乡、昵称和群组成员身份。
Whisper 立刻联系到《华盛顿邮报》删除该文章,同时发现这起事件的网络安全研究员还没有证明这些数据被使用过。
这件事情就这样结束了。但是我们应该知道造成这种事件的原因是什么。CPIRT 的研究人员表示,出现泄露的服务器和服务通常是配置错误和补丁过时。
如果设置一些定时外部攻击和自身扫描检测服务器,也许情况会更好一些。
在混合云和多云的复杂环境下,只有建立有效的安全监控,才能防患于未然。
四、服务器中的人脸识别数据泄露
一家巴西生物识别方案公司被安全研究员发现在不设防的服务器上放置着8150万条记录。这些记录中包含的信息有:管理员登录信息、员工电话号码、电子邮件地址、公司电子邮件和与 76,000 个指纹相关的二进制代码,这些代码对指纹可进行逆向追溯。我们在暴露的数据库中还发现了面部识别数据。
这次的问题出在上云的过程中。公司没有将安全的数据配置到基于云的数据库上储存。
CPIRT 的调查员见到过很多次匆忙的云迁移,然而这种自乱阵脚的做法给黑客提供了不少钻空子的机会。
所以应用程序要在从本地基础架构奔向云基础架构时,做好特殊防护措施。比如密码保护和数据加密等等。
五、日常维护期间暴露的 50 亿条记录
,一家服务提供商的50亿条记录在日常维护期间遭到暴露。
起因是,数据承包商为了加快 Elasticsearch 数据库的迁移,为互联网索引服务 BinaryEdge 打开一个窗口,关了10分钟防火墙。
一名安全研究人员在这10分钟内通过未受保护的端口访问了数据库,提取了很小一部分记录。可见这是不安全的。
泄露的数据中包括电子邮件和密码。安全管理员云使用这些泄漏的数据通知 Keepnet 的客户自己是否安全。
事后 Keepnet 加强了漏洞的检测强度,即使是在日常也不放松。
在 CPIRT 看来,稳定的安全架构应该从早期设计阶段就开始考虑。否则为了提高性能放弃安全控制系统很容易成为黑客的靶子。
相信这种前期投资可以节省很多安全管理的时间和资源。
六、错误配置的云服务器泄露访客信息
,MGM酒店承认自己在暗网上出售1.42亿有关客人的信息。被黑的数据有客人的家庭住址、联系信息、出生日期、驾照号码和护照号码。幸运的是,没有包含财务信息、身份证和预订详情。
这起违规行为可能是2019年7月中的一部分。2010年2月这些信息被黑客购买。黑客通过这些数据实施了钓鱼攻击。
漏洞产生的原因是配置错误的云服务器可以在未经授权的情况下被访问。
我们应该会发现这些错误配置都是人为的,那么自动化安全工作的重要性就不言而喻了。
七、未被发现的个人财务数据泄露
华纳媒体集团 (WMG) 宣布自己成为为期三个月的 Magecart 数据收集攻击的受害者。
黑客将用户的个人信息(姓名、电子邮件地址、电话号码、账单和送货地址)和信用卡信息(卡号、CVC、到期日期)泄露到网站。
在事件发生后对 WMG 提起的集体诉讼中,原告写道: “这一违规行为持续了三个多月而未被发现,这表明华纳媒体集团涉嫌缺乏保护其客户的安全。” WMG 从惨痛的教训中吸取的教训是,下一代监控系统会更快地检测到问题,甚至可以先发制人。
八、加密攻击下的 Kubernetes
,黑客在 Microsoft Azure 上的计算密集型 Kubernetes 机器学习节点上发起了一次成功的加密攻击活动。目标是 Kubeflow,这是一个在 Kubernetes 中管理 ML 任务的开源项目。
Kubeflow 的仪表板不是为了安全。错误配置的服务允许未经授权的用户执行 Kubeflow 操作,包括部署的新容器。
Azure 安全中心在此次攻击影响了数十个 Kubernetes 集群,但没有说明资源劫持的范围会影响到黑客利用仪表板进行攻击。
因为云的自动扩展功能,云服务提供商成为加密挖掘活动的常见目标。受害者通常只有在月底收到极高的云使用账单时才会意识到这一漏洞。
在任何情况下,完全依赖云服务提供商的安全控制系统是不可取的。每个组织都必须了解其在云安全的责任。
九、商业伙伴可以看到用户注册信息
音乐播放软件 Spotify 表示有数量未公开的用户注册信息意外暴露给了它的业务合作伙伴。 Spotify 的业务合作伙伴可能会访问用户的敏感信息,包括用户的电子邮件地址、首选显示名称、密码、性别和出生日期。该漏洞是 4 月份发生的直到11 月份才被系统发现。
如果可以自动扫描和定期攻击测试,这些系统可能会更有效一些。
保证自己云资产的安全不仅仅是 Spotify 的难题,更是所有互联网企业需要面临的问题。
,参与IDC 云安全调查的 300 名美国 CISO(信息安全官)表示,云生产环境的首要问题是安全配置错误 (67%)、缺乏对访问设置和活动的可见性 (64%) 以及身份和访问管理 (IAM) 错误 (61%)。他们的云安全优先事项是合规性监控 (78%)、授权和权限管理 (75%) 以及安全配置管理 (73%)。
由于以上挑战和优先事项,企业正在寻求第三方安全供应商来补充其云提供商的安全工具和服务,并提供自动化和统一的云安全解决方案。
写在最后
保持网络和数据资产安全是安全团队和黑客之间永无休止的战斗。资产管理不善、安全配置错误和数据未加密是导致敏感数据和其他资源产生漏洞的主要原因。
漏洞是云网络安全和云安全管理不良的结果。我们理应举一反三,不要被同一个问题绊倒两次。