云端原生数据泄露事件解析
将计算资源迁移至云环境带来了以往在本地数据中心领域中不存在的全新受攻击面。因此,与物理数据泄露相比,云端原生数据泄露往往具有不同特征,发展过程也有所不同。以下是一个云端原生数据泄露的真实例子,数据泄露的演变过程以及如何避免数据泄露的发生。
攻击目标简介:社交媒体/移动应用公司
这是一家拥有2000多万用户的照片共享社交媒体应用公司。该公司在Amazon Web Services中存储了超过1PB的用户数据。在2018年的一次大规模数据泄漏事件中,该公司不幸成为受害者,近2000万用户记录被泄露。事件的发展过程是这样的。
第一步:入侵合法用户。数据泄露的第一步往往是攻击者入侵合法用户窃取凭证。在此次事件中,攻击者利用鱼叉式网络钓鱼攻击获取了公司网络环境的管理用户凭证。
第二步:强化访问。入侵合法用户之后,黑客即使不通过被入侵用户,也可以频繁地采取措施加强对公司网络环境的访问。在此次事件中,攻击者会通过在国外注册的IP地址连接到公司的云环境,并创建了具有完全管理权限的API访问密钥。
第三步:侦察。一旦成功进入公司网络内部,攻击者就需要了解该角色被授予的权限以及可以进行的操作。
第四步:利用。一旦确定了账户的可用权限,攻击者就可以继续利用这些权限。在其他活动中,攻击者可以复制主用户数据库,并利用公共权限将其泄露到公司网络外部。
第五步:泄露。最后,由于可以随时掌握客户信息,攻击者可以访问2000多万条包含用户个人信息在内的用户记录,并且可以将这些信息从网络中泄露出去。
经验教训
权限就相当于受攻击面:利用公有云环境就意味着,过去托管在企业内部的资源现在脱离了系统管理员的控制,人们在世界任何地方都可以访问这些资源。因此,公有云的运维安全性是由能够访问这些公有云工作负载的人及其所获得的权限定义的。实际上,权限就相当于受攻击面。
过多的权限—头号威胁:在云环境中,很容易就可以创建新资源并授予很多权限,但却很难追踪拥有这些权限的人。这种过多的权限常常被错误地描述为错误配置,但实际上是权限滥用的结果。因此,避免权限过多就成为了保护托管在公有云中的工作负载运维安全的首要任务。
云端攻击有典型的过程:尽管每次数据泄露事件的发展各不相同,但云端原生数据泄露攻击通常都遵循一个典型过程,即入侵合法用户账户、账户侦察、权限升级、资源利用和数据泄露。
云应该具备哪些优势?
保护您的访问凭证:您与下一次数据泄露之间只有一个密码的距离。最大限度地保护您的云端账户凭证对确保这些凭证不落入不法分子之手至关重要。
限制权限:云端用户账户通常会被授予很多不需要或从不使用的权限。黑客通常会利用已授权权限和使用权限之间的漏洞。在前面的例子中,攻击者利用账户权限创建了新的具有管理访问权限的API密钥,启用了新的数据库,重置了数据库主密码并将其泄露到企业外部。将权限限制在用户仅需要使用的范围内,这样可以帮助确保即使账户被入侵,攻击者所能造成的损害也是有限的。
可疑活动预警:由于云端原生数据泄露通常有共同的过程, 那么例如端口扫描、调用之前使用的API和授予公共权限这些特定的账户活动就可以被确定为可疑活动。向恶意行为指示器(MBIs)发送预警信息可以在数据泄露发生之前进行阻止。
自动响应流程/机制:最后,一旦确定了恶意活动,进行快速响应至关重要。自动响应机制可以在检测到恶意活动的同时将其拦截,并最终阻止了数据泄露。