2019年7月,美国大型银行之一第一资本金融公司对外披露了一场大规模数据泄露事件,约有1.06亿人的信用卡申请个人信息被窃取。这些数据包括信用评分、信用卡额度、账户状态和部分电话号码及电子邮件地址等敏感信息。第一资本作为美国银行业中在网络安全方面投入较大的机构之一,这次数据泄露事件的发生让整个金融行业重新审视了云计算环境中的安全风险管理。
事件导入
2019年7月29日,一名前亚马逊员工利用配置错误的Web应用防火墙,成功获取了存储在亚马逊云服务上的第一资本客户信息。这名攻击者通过GitHub上的一个公开代码片段发现第一资本使用的某个软件存在访问控制配置错误,然后借助这个漏洞绕过了第一资本在云端的防火墙,最终访问到了存储客户数据的数据库。攻击者在2019年3月22日至7月17日期间持续进行未授权访问,窃取了大量客户信息。第一资本在接到外部举报后才发现了这一异常活动。事件曝光后,第一资本的股价有所波动,公司后来因为此次事件被罚款1.9亿美元。
泄密链路分析
这次攻击的关键点在于云服务中的访问控制配置出现了错误。第一资本在AWS上部署了一个用于管理客户申请的软件系统,该系统的Web应用防火墙规则配置存在问题,使得攻击者可以绕开身份验证直接访问底层的云存储服务。攻击者起初是从一个公开的代码仓库中发现了与该软件相关的信息,然后利用这些信息尝试针对第一资本的云端服务进行扫描探测,最终找到了可利用的配置漏洞。一旦突破防火墙限制,攻击者就可以直接向云存储服务发送请求,获取存储在内的客户申请数据。这起事件的核心问题并不在于云服务平台本身的安全漏洞,而在于用户对云服务的访问控制配置出现了错误。云安全领域有一个共识,云服务的安全责任是共同分担的,云服务商负责基础设施的安全,而用户需要负责自己的数据和应用的安全配置。
企业启示
企业在将业务系统迁移到云计算平台时,需要充分理解云安全责任共担模型的含义。云服务商提供了安全的基础设施,但用户仍然需要正确配置自己的访问控制规则和保护机制。云配置的复杂性往往超出企业的预期,因此对云安全配置的管理不能依靠手动操作,需要借助自动化工具进行持续的配置审核和合规检查。企业还应当对云环境中的异常活动进行持续监控,特别是针对大量数据读取和下载行为设置告警规则。对公有云上存储的敏感数据,除了访问控制外,还应当启用加密存储功能。
行动建议
企业应当对云端资源的访问控制配置进行系统化的排查和整改。建议采用基础设施即代码的方式管理云资源,通过模板化的方式确保配置的一致性和可审计性。部署云安全配置管理工具,对云资源的安全配置进行持续监控和自动修复。对云存储中的敏感数据启用加密,并严格限制具有数据访问权限的账户范围。建立云环境的异常行为监控体系,对不寻常的数据操作及时发出告警。北京企密安为企业提供云安全评估和云配置审计服务,帮助企业在云环境中构建安全可靠的数据保护体系,欢迎致电010-63711822或访问baomiwang.com。
FAQ
问:企业迁入云环境后,数据安全谁来负责? 答:云服务采用责任共担模型,云服务提供商负责底层基础设施的安全,企业用户需要负责自己在云上所部署的应用和数据的安全配置和管理。企业需要确保对云资源的访问控制、加密保护和安全监控都得到妥善配置。
问:云配置错误导致的数据泄露如何防范? 答:企业应当采用自动化工具对云配置进行持续审计和合规检查,定期审查云计算账户的权限分配和网络访问规则。使用基础设施即代码的方式管理云资源可以减少人工配置错误的概率。建议部署云安全态势管理工具,及时发现配置偏差并发出告警。
