本文转载自雷锋网。如需转载,请在雷锋网官网申请授权。2020年是充满灾难的一年。今年,数据泄露事件比过去15年的总和还多。Canalys发布了一份网络安全审查报告,报告了300起违规事件(比2019年增加了119%)和310亿条数据记录遭到泄露(比2019年增加了171%)。这能怪新型冠状病毒吗?不,这只是一个保险丝。当疫情把我们困在家里的时候,又到了测试线上互动产品的时候了。经营互动产品的公司战战兢兢,生怕公司的接入资源不够用;2020年,美国将加大网络安全支出,但即便以10%的增速,也未能触及数字化转型的鞋跟。在网络安全方面,美国正在努力捍卫公共云基础设施和现代应用程序。就在所有人放弃抵抗的时候,那些复杂的环境,支离破碎的堆叠;那些无尽的基础设施;那些前所未有的速度和庞大的数据规模,一拳击中网络安全的痛点。下面将介绍2020年9大云漏洞事件,这个“大”不是指损坏的数据和数量,而是指暴露的范围和潜在的漏洞。我们将描述这些重大事故是如何发生的,并总结出事件的关键点,希望对您有所帮助。1、内部数据配置错误2020年1月,微软披露了一起内部事故:2019年12月5日,公司变更数据库安全组时,员工引入了错误的安全配置规则,导致2.5亿条支持案例记录被毁。泄露,其中包括电子邮件、IP地址和支持案例详细信息。事后微软表示,此次事故并未暴露任何商业云服务,这意味着商业客户的数据是安全的。一般情况下,个人信息也会在自动编辑后被删除。一旦客户数据丢失,黑客就会利用这些数据进行钓鱼攻击,后果不堪设想。CheckPoint的事件处理团队发现了许多网络钓鱼攻击,黑客可以通过启动关键任务(例如“您的IT支持邮箱已满”或“新语音邮件:无法访问资源”)来利用访问历史记录。值得一提的是,此次事故由第三方检测,不仅让人们意识到加强内部资源网络安全规则审查的重要性,也真正认识到检测安全规则错误配置并向安全团队报警的重要性时间。2.未受保护的数据库有多危险?2021年1月30日,一名网络安全研究人员发现雅诗兰黛教育平台上的一些数据库没有密码保护。即纯文本用户电子邮件、IP地址、端口、路径和存储信息,只要您有权访问即可。黑客可以利用这些信息抓取未加密的生产、审计、错误、CMS和中间件日志,其危险性可想而知。雅诗兰黛在发现风险后第一时间修复了错误,他们还表示没有客户数据泄露。从这起事件中,我们可以发现三点可以改进的地方:有效的发现和管理对数据库安全至关重要。未受保护的数据随时可能成为威胁,并为网络钓鱼攻击敞开大门。云资源的配置灵活方便,绝不能取消密码保护,这会在安全上付出沉重的代价。数据应始终加密,即使在非生产数据库中也是如此。3.一个8年未受保护的秘密数据库2020年3月10日,《华盛顿邮报》发表文章,其中提到可以分享秘密的手机应用Whisper在2012年至2020年的安全事件后爆发.9亿个帖子的数据库没有一个被保护。数据库中还包括用户的年龄、种族、性别、家乡、昵称和组成员身份。Whisper立即联系《华盛顿邮报》删除文章,发现事件的网络安全研究人员尚未证明数据被使用。事情到此结束。但我们应该知道此类事件的原因是什么。CPIRT的研究人员表示,受感染的服务器和服务通常是配置错误和过时的补丁。如果设置一些定期的外部攻击和自扫描检测服务器,也许情况会好一些。在混合云、多云的复杂环境中,只有建立有效的安全监控,才能防患于未然。4、服务器人脸识别数据泄露2020年3月,巴西一家生物识别解决方案公司被安全研究人员发现在未受保护的服务器上有8150万条记录。这些记录包含管理员登录信息、员工电话号码、电子邮件地址、公司电子邮件以及与76,000个指纹相关的二进制代码等信息,这些指纹可以被逆转。我们还在暴露的数据库中发现了面部识别数据。这次的问题是在上云的过程中。公司不在基于云的数据库上提供安全的数据存储。CPIRT的调查人员多次看到仓促的云迁移,但这种随意的方法为黑客提供了大量的利用机会。因此,应用程序在从本地基础设施运行到云基础设施时需要采取特殊的预防措施。比如密码保护和数据加密等等。5.50亿条记录在例行维护中暴露2020年3月,某服务商在例行维护中暴露了50亿条记录。原因是数据承包商为了加快Elasticsearch数据库的迁移速度,为互联网索引服务BinaryEdge开了一个窗口,并关闭了防火墙10分钟。一名安全研究人员在这10分钟内通过未受保护的端口访问了数据库,提取了极少量的记录。可见这是不安全的。泄露的数据包括电子邮件和密码。SecurityAdministratorCloud使用这些泄露的数据来通知Keepnet客户他们是否安全。之后,Keepnet加强了对该漏洞的检测力度,甚至在日常生活中也是如此。在CPIRT看来,从早期设计阶段就应该考虑稳定的安全架构。否则,为了提高性能而放弃安全控制系统很容易成为黑客的目标。相信这种前期投资可以在安全管理上节省大量的时间和资源。6.配置错误的云服务器泄露访客信息2020年7月,米高梅酒店承认在暗网上出售了1.42亿条访客信息。被黑客入侵的数据包括客人的家庭住址、联系方式、出生日期、驾照号码和护照号码。幸运的是,不包括财务信息、身份证件和预订详细信息。此次泄露可能是2019年7月中旬的一部分。这些信息是黑客在2010年2月购买的。黑客通过这些数据进行了钓鱼攻击。漏洞的产生是因为可以在未经授权的情况下访问配置错误的云服务器。如果我们发现这些错误配置是人为的,那么自动化安全工作的重要性就不言而喻了。7.未被发现的个人财务数据泄露2020年9月,WarnerMediaGroup(WMG)宣布它已成为为期三个月的Magecart数据收集攻击的受害者。从2020年4月25日到8月5日,黑客将用户的个人信息(姓名、电子邮件地址、电话号码、账单和送货地址)和信用卡信息(卡号、CVC、有效期)泄露到该网站。在事件发生后针对WMG提起的集体诉讼中,原告写道:“这一违规行为在三个多月内未被发现,表明华纳媒体据称对其客户缺乏保护。”吸取的教训是,下一代监控系统将更快地发现问题,甚至先发制人。8.Kubernetes受到加密攻击2020年6月,黑客成功地对MicrosoftAzure上的计算密集型Kubernetes机器学习节点发起了加密攻击。目标是Kubeflow,这是一个用于在Kubernetes中管理ML任务的开源项目。Kubeflow的仪表板不是为了安全。配置错误的服务允许未经授权的用户执行Kubeflow操作,包括部署新容器。Azure安全中心在此次攻击中影响了数十个Kubernetes集群,但并未说明黑客利用仪表板实施攻击的资源劫持范围有多大。由于云的自动缩放功能,云服务提供商是加密挖矿活动的常见目标。受害者通常只有在月底收到极高的云使用账单时才会意识到违规行为。不管怎样,完全依赖云服务商的安全控制系统是不可取的。每个组织都必须了解其在云安全方面的责任。9.商业伙伴可以看到用户注册信息2020年12月,音乐播放器Spotify表示,未公开数量的用户注册信息被意外暴露给了其商业伙伴。Spotify的业务合作伙伴可能有权访问用户的敏感信息,包括用户的电子邮件地址、首选显示名称、密码、性别和出生日期。该漏洞发生在四月份,直到十一月份才被系统发现。如果这些系统可以进行自动扫描和定期攻击测试,它们可能会更有效。确保自有云资产的安全,不仅是Spotify的问题,也是所有互联网企业需要面对的问题。2020年6月,参与??IDC云安全调查的300名美国CISO(信息安全官)表示,云生产环境的首要问题是安全配置错误(67%)、访问设置和活动缺乏可见性(64%)和身份和访问管理(IAM)错误(61%)。他们的云安全优先事项是合规性监控(78%)、授权和权限管理(75%)以及安全配置管理(73%)。由于上述挑战和优先事项,企业正在寻求第三方安全供应商来补充其云提供商的安全工具和服务,并提供自动化和统一的云安全解决方案。写到最后保持网络和数据资产的安全是安全团队和黑客之间永无止境的战斗。资产管理不善、安全配置错误和数据未加密是敏感数据和其他资源易受攻击的主要原因。漏洞是云网络安全和云安全管理不善的结果。我们应该举一反三,不要为同一个问题绊倒两次。
