CISA承包商云密钥泄露案

云端凭证管理——CISA承包商泄露AWS GovCloud密钥案

Smith自2016年起依次受雇于四家CISA分包商，先后参与了CISA的网络评估工具开发、红队演练平台搭建以及联邦政府事件响应系统的云端架构维护。2025年3月至4月期间，Smith在弗吉尼亚州阿灵顿的CISA办公地点，利用职务之便，将GovCloud环境中涉及联邦事件响应系统、网络评估工具及红队演练平台的AWS访问密钥、配置文件和运维手册，通过企业网络传输至其个人云存储账户。这些GovCloud环境中存储着美国联邦民事行政部门核心网络资产的安全评估数据，一旦被境外组织获取，等于将美国关键基础设施的防御拓扑和安全薄弱环节直接暴露。

此案的严重性不在于数据量的大小，而在于凭证的"根权限"属性。Smith转移的不是普通业务文件，而是可以直接登录GovCloud管理控制台的访问密钥和完整操作手册。拥有这些凭证，攻击者可以以合法身份接管联邦政府的云端安全管理平台，绕过多层身份验证和网络边界防护。CISA发现异常后紧急轮换了全部受影响凭证，启动了为期数月的安全审计，但事件造成的损失已经发生——对手在这段窗口期是否已经通过其他渠道获得了这些信息的副本，没有人能够保证。

案件暴露出一个普遍的云端安全盲区。许多企业在建设云端基础设施时，投入大量资源购买防火墙、入侵检测、数据加密等技术产品，却忽视了对"凭证自身"的安全管理。AWS访问密钥、GitHub个人访问令牌、数据库连接字符串、API密钥，这些看似不起眼的字符串，实际上是云端资产的"总钥匙"。一旦员工将这些凭证拷贝到个人设备、个人云盘、GitHub公开仓库或未审计的第三方平台，企业等于把数据中心大门的钥匙交到了不可控的人手中。

从企业数据安全治理的角度看，这起案件提出了几个必须回答的问题。第一，企业对员工访问云端基础设施的行为是否有实时监控能力？Smith将大量配置文件传输至个人云盘的整个过程，在时间窗口内并未触发任何阻断或告警。第二，企业对敏感资源的访问是否实施了最小权限原则？一个承包商员工能够直接访问并批量导出GovCloud的根级凭证和运维手册，说明权限边界设置存在严重问题。第三，企业是否建立了一致的数据出口审计机制？从CISA网络到个人云存储的跨域数据传输，应该在任何企业的安全策略中受到严格审查。

对于使用公有云或混合云架构的企业而言，云端凭证管理已成为数据安全的第一道防线。仅依靠密码策略和多因素认证并不足够，还需要建立完整的凭证生命周期管理体系，包括凭证的自动轮换、使用审计、异常行为检测以及数据出口控制。当员工离职或转岗时，应及时撤销其掌握的所有云端访问权限，并确保证据已被回收。更关键的是，企业应当部署能够检测和阻断未经授权的凭证导出的技术手段，将凭证视为需要最高级别保护的核心资产。

值得注意的是，Smith案还揭示了供应链安全风险。Smith是CISA承包商的雇员，而非CISA直接雇员。这意味着美国政府最核心的网络安全机构的安全，也取决于分包商的内部安全管理水平。大量企业同样面临这个问题，核心系统由外包团队开发、第三方运维人员直接持有生产环境权限。企业在授予外部人员访问权限时，必须确保对方的安全管理水平不低于自身标准，并通过合同明确数据安全和保密义务。

云端安全不是一句口号，而是需要从凭证管理、权限控制、行为审计、出口监控等多个维度构建的立体防线。每一组密钥、每一个令牌、每一份配置文件，都是企业数字资产的安全命门。

北京企密安信息安全技术有限公司

/010-87562232

邮箱：px@baomiwang.com

公众号：Qi-Mi-An