前段時間，我們報道了前 AWS 員工闖入 Capital One 服務(wù)器，竊取 1.06 億用戶信息的重大數(shù)據(jù)泄露事件。你也許會疑惑，為什么當(dāng)下我們總能聽到數(shù)據(jù)安全相關(guān)的新聞?如何才能避免此類事件的再次發(fā)生呢?本文將結(jié)合 Capital One 數(shù)據(jù)泄露的案例，從技術(shù)與非技術(shù)方面進(jìn)行深入討論。

本文中的假設(shè)基于法院文件中提供的數(shù)據(jù)。

近日，自 2005 年開始申請 Capital One 信用卡的客戶數(shù)據(jù)被曝泄露。涉及數(shù)據(jù)包含約 1 億美國人和 600 萬加拿大人。泄露的數(shù)據(jù)存儲在 AWS 的 S3 存儲桶中。如果你的數(shù)據(jù)受到損害，除了信用監(jiān)控外，不要指望任何其他信息，因為免費(fèi)信用監(jiān)控是從 Equifax 獲得的。在這一點(diǎn)上，客戶不知道他們的信息是否在那里，但他們想知道自己的財務(wù)記錄。

在此次事件中，我認(rèn)為 Capital One 應(yīng)承擔(dān)全部責(zé)任。經(jīng)調(diào)查確認(rèn)，Capital One 已經(jīng)承認(rèn)這是一起由于配置錯誤的防火墻策略導(dǎo)致的數(shù)據(jù)泄露事件。我認(rèn)為它不像防火墻或許可安全策略那么簡單。就防火墻策略問題，我知道這是攻擊者利用的東西，但我認(rèn)為實際情況不僅僅是這樣，還有更多需要挖掘的內(nèi)幕。

安全行業(yè)當(dāng)前面臨的挑戰(zhàn)

安全專業(yè)人員試圖檢查這種規(guī)模的安全事件，我們希望了解受害者本可以采取的正確行動，以及防備攻擊者可能利用的安全漏洞。這些知識可以幫助安全社區(qū)更好地防范威脅，修復(fù)錯誤的配置，修補(bǔ)可能使我們的基礎(chǔ)架構(gòu)遭受類似的安全漏洞。由于我們?nèi)匀粵]有收到來自 Capital One 的官方聲明，但以我的經(jīng)驗來看，我依然懷疑會再次發(fā)生這種情況。我們可以參考法庭文件和其他報告中的關(guān)聯(lián)信息內(nèi)容，讓我們開始分析吧。

在消息發(fā)生后的第二天，我在西雅圖市中心和一些朋友喝咖啡聚會，我們當(dāng)時在討論關(guān)于 AS-Code 系統(tǒng)的未來。在聚會之后，一位從事安全工作的伙伴問道，“為什么 Capital One 的云托管系統(tǒng)無法保護(hù)客戶數(shù)據(jù)呢?” 他拋出這個問題讓我來回答，因為我傾向于使用工具而不是從輪子做起。我對自己說，這很公平，如果你推薦一項技術(shù)，你應(yīng)該能說明其優(yōu)缺點(diǎn)。我認(rèn)為它對任何云安全團(tuán)隊來說都是一個很好的工具。根據(jù)我當(dāng)時的信息，我對攻擊者能夠利用的 AWS 資源知之甚少。我只知道錯誤配置的防火墻，但我并不知道該防火墻是否有安全組，在 ELB 前面的 AWS Web 應(yīng)用程序防火墻(WAF)，還是一些第三方 Web 應(yīng)用程序防火墻(開源 / 商業(yè))。根據(jù)調(diào)查結(jié)果，附加到受損 EC2 實例的 IAM 角色，它讓我認(rèn)為有問題的防火墻確實屬于第三方。作為 IAM 角色的應(yīng)用程序防火墻(WAF)無法直接“附加”到 AWS 托管的應(yīng)用程序防火墻 WAF。

 

 

典型的 ModSecurity 部署

幸運(yùn)的是，Krebs 的一份報告顯示，受損資源是一個配置錯誤的開源 Web 應(yīng)用防火墻(ModSecurity)。我查看了技術(shù)細(xì)節(jié)來回答這個問題，我問自己，“它真的與工具有關(guān)嗎?” 如果我們確定云托管有可以防止此類攻擊的策略，我們是否會獲得任何收益? 正確的問法可能是：“像 Capital One 這種技術(shù)領(lǐng)先的公司，如何托管數(shù)以百萬計的個人財務(wù)記錄，而不是信任這些基本配置的東西。”

Capital One 執(zhí)行副總裁兼首席技術(shù)官 George Brady 說：“在 Capital One 所做的一切工作中，我們始終從客戶需求開始，以找出如何將服務(wù)提供給客戶。與 AWS 合作最大的好處是我們不必?fù)?dān)心構(gòu)建和運(yùn)營必要的云基礎(chǔ)設(shè)施。所以，我們可以集中時間、金錢和精力為我們的客戶創(chuàng)造更加良好的體驗。“

下面，我們還會引用這句話!讓我們繼續(xù)深入分析。

 

 

那些活躍在云社區(qū)的人非常清楚 Capital One 在云應(yīng)用方面是一個領(lǐng)導(dǎo)者。 Capital One 在眾多云大會中公開談?wù)撍麄兊脑苾?yōu)先戰(zhàn)略。通過閱讀 Capital One AWS 案例研究，你可以輕松地在線找到更多相關(guān)信息。Capital One 背后有一個出色的云安全工具(Cloud Custodian)。數(shù)百名云專業(yè)人員使用該工具實施安全護(hù)欄，以增強(qiáng)安全性并幫助控制 AWS 的云成本。此外，Capital One 聘請了國際上相當(dāng)有才華的安全專業(yè)人士。多年前，當(dāng)我開始我的云生涯時，我申請過 Capital One 的云崗位。我通過了他們所有的數(shù)字和推理考試。同時，我花了幾個星期的時間精心準(zhǔn)備面試，而且我還有三個 AWS 認(rèn)證。遺憾的是，我卻沒有得到這份工作，這是我在過去七年中唯一沒有得到的工作機(jī)會。簡而言之，Capital One 不雇用任何有實戰(zhàn)背景的人來運(yùn)維云系統(tǒng)。他們剛剛聘請前 Netflix 工程師 Will Bengtson，并讓他擔(dān)任云安全總監(jiān)。在 Netfix 的時候，Will 就知道如何保護(hù)云基礎(chǔ)設(shè)施，并在此次違規(guī)之前很久就已經(jīng)為 Netflix 寫了一篇關(guān)于 SSRF 的博客。在 Capital One，Will 提出了其所需的武器來阻止這種安全攻擊。

那么，到底發(fā)生了什么情況?

Capital One 擁有強(qiáng)大的云計算能力、工具、才華橫溢的安全專業(yè)人員，為什么仍遭到黑客攻擊?讓我們再次引用 George Brady 的發(fā)言，因為我認(rèn)為這是一切開始的地方。

情況比想象中復(fù)雜

高管和決策者非常高興地將部分運(yùn)維成本轉(zhuǎn)移到云提供商，其中包括安全運(yùn)維部分。AWS 明確標(biāo)注了他們的共享責(zé)任模型。在這種模型中，他們確定了客戶需要擁有的區(qū)域。共享責(zé)任模型歸結(jié)為我們使用的任何云服務(wù)，我們將始終承擔(dān)保護(hù)數(shù)據(jù)的責(zé)任。

如果你再次閱讀 George Brady 的引文，你很難看出他對安全性的關(guān)注。他對如何專注于客戶表現(xiàn)出明顯的興奮，雖然這并不意味著他不關(guān)心安全，但它強(qiáng)化了我對行業(yè)的一致性看法，即企業(yè)高管并不關(guān)心安全問題，他們更關(guān)心縮短產(chǎn)品上市時間，并不斷提高需求的數(shù)量，這意味著開發(fā)人員面臨很大的壓力。在以前的職位中，我一直非常接近客戶�？蛻敉ǔ２惶�關(guān)心安全性，因為他們更關(guān)心當(dāng)前功能的增強(qiáng)和新功能，這決定了高管需要關(guān)注的內(nèi)容，基于客戶的決策也會影響到開發(fā)人員，而且往往會使對安全性的建設(shè)削弱。

客戶需要更多能點(diǎn)擊的小界面部件和小工具，但他們只在安全事件發(fā)生時才關(guān)心。技術(shù)高管們正在忙著讓公司賺更多錢，這就是他們被聘用的價值。問題是，對于技術(shù)支持可以幫助防止造成災(zāi)難性的安全計劃方面，我們沒有看到太多行動付諸實施。

高管希望開發(fā)人員快速交付，我也相信他們想避免違規(guī)行為。我認(rèn)為，在縮小開發(fā)范圍與安保行動之間的差距時，他們并沒有走在路上。開發(fā)人員負(fù)責(zé)在云基礎(chǔ)架構(gòu)上構(gòu)建這些服務(wù)、維護(hù)本地工作的負(fù)載很重，這使得他們很難為在安全性上保持應(yīng)有的關(guān)注。

由于沒有得到技術(shù)領(lǐng)導(dǎo)者的支持，安全人員注定在這種資源爭奪戰(zhàn)中失敗。這一問題在整個企業(yè)范圍內(nèi)都很明顯，并且不會很快消失。通常，在年度安全審核之后，軟件開發(fā)團(tuán)隊的路線圖會被修改以適應(yīng)新的需要。我們很少在重載或活動沖刺中看到任何安全項。直到我們慶祝那些特意采取行動以改善安全狀況的開發(fā)團(tuán)隊，才會出現(xiàn)積極的變化。

安全專業(yè)人員被迫創(chuàng)建和管理所有安全類型的情況。我們已經(jīng)讓一個不安全的版本構(gòu)建進(jìn)入生產(chǎn)階段，因為我們沒有權(quán)力阻止它。我們要運(yùn)維一個易受攻擊的基礎(chǔ)設(shè)施，因為保護(hù)功能意味著開發(fā)人員必須做更多(不必要的)工作來使其應(yīng)用程序工作。如果你幾年來始終從事安全工作，你應(yīng)該知道我的意思。

如果你閱讀過我之前的博客，你會發(fā)現(xiàn)我是一個簡化安全流程以適應(yīng)業(yè)務(wù)的大力倡導(dǎo)者。重型安全流程和文檔不是答案，答案是安全與開發(fā)之間的密切合作。編寫了安全策略，卻沒有人能夠找到它們，沒有人閱讀它們并把將其應(yīng)用到實際過程中。安全和運(yùn)營應(yīng)為開發(fā)人員構(gòu)建支持平臺，以便將可靠和安全的代碼順利地轉(zhuǎn)移到生產(chǎn)環(huán)境。沒有 CTO 和技術(shù)領(lǐng)導(dǎo)的支持，就不會有健康的安全計劃。而沒有開發(fā)團(tuán)隊的支持，它將無法運(yùn)作。

技術(shù)領(lǐng)導(dǎo)者的關(guān)鍵點(diǎn)

你的員工可能不會談?wù)撨@些，所以這幾點(diǎn)請免費(fèi)從我這里拿走并實踐吧!

首先了解你的安全狀況：你有什么數(shù)據(jù)?誰想要它?它有多重要?你能做些什么來保護(hù)它?如果被盜，你會怎么樣?

這與你的工具無關(guān)：如果你的安全團(tuán)隊可以使用它們來實施安全策略，那么它們就毫無用處。

這與你是否擁有才華橫溢的安全團(tuán)隊無關(guān)：沒有高層的全力支持，無法應(yīng)對永無止境的安全挑戰(zhàn)。

這不完全是可以立即獲得的利潤，單次安全泄露意味著損失數(shù)百萬美元和公司聲譽(yù)受損。

建立健康的安全文化，讓每個人都對安全事件負(fù)責(zé)。每個人在實施安全措施時都會受到歡迎，因為他們在發(fā)布新服務(wù)時會受到稱贊。

通過鼓勵團(tuán)隊范圍的協(xié)作，雇傭有安全經(jīng)驗的專業(yè)人士，并改變組織安全文化。

通過編寫安全策略，將其提交到托管與應(yīng)用程序代碼的相同 Git 倉庫來簡化安全性。

 

 

即使本次調(diào)查沒有從技術(shù)角度提供足夠多的細(xì)節(jié)。 我們從安全工程師的角度來看，受感染的服務(wù)器、權(quán)限過度寬松的 IAM 角色、訪問包含數(shù)據(jù)的 S3 存儲桶策略問題都導(dǎo)致了此次數(shù)據(jù)泄露事件的發(fā)生。

實施步驟：

攻擊者破壞了配置錯誤的 Web 應(yīng)用程序防火墻后面的 EC2 實例。

受感染的服務(wù)器可以大量訪問云存儲桶(可怕的做法)。

聰明的攻擊者不會從元數(shù)據(jù)服務(wù)中提取角色憑據(jù)，并使用這些憑據(jù)進(jìn)行 API 調(diào)用(如果已安裝 AWS CLI)。(如果啟用了 AWS Guard Duty 警報，則會觸發(fā)警報)只有攻擊者可以直接從受感染的 EC2 運(yùn)行該命令，他們可以訪問并運(yùn)行 S3 數(shù)據(jù)同步。

 

 

最壞的情況下，你可以擁有 s3 資源的最后一個

我并不是說上圖是最確切的，但考慮到本次攻擊者能夠完成的事情，實際情況應(yīng)該八九不離十。

通過這些簡單的方法可以預(yù)防這種攻擊：

最低權(quán)限：為什么要讓 EC2 實例訪問大量存儲桶。我們需要制定細(xì)粒度權(quán)限策略，這樣你就可以讓代碼只訪問特定存儲桶。

健康安全組 / 防火墻：你的安全組或防火墻絕不應(yīng)允許從入站流量到可直接訪問敏感數(shù)據(jù)。

監(jiān)控：Capital One 承認(rèn)他們的日志顯示了有問題的服務(wù)器與 Tor 出口節(jié)點(diǎn)進(jìn)行的通信。那么，誰在看那些東西?

只有那些簡單的安全措施就能防止這種違規(guī)行為?是的，我說過。

我能自動完成上述安全操作嗎?是的。請使用 Capital One Cloud Custodian!

編寫云托管策略，創(chuàng)建該策略標(biāo)記允許的 AWS Config 安全規(guī)則。

使用 Cloud Custodian 創(chuàng)建響應(yīng)以下 Gurd Duty 發(fā)現(xiàn)的策略：“通過啟動實例角色，專門為 EC2 例創(chuàng)建憑據(jù)管理從外部 IP 地址的濫用。”

編寫云托管策略，該策略針對 Tor 出口節(jié)點(diǎn)通信的事件可作出安全應(yīng)急反應(yīng)。

寫在最后

我真的希望看到 Capital One 站出來分享案例細(xì)節(jié)、知識經(jīng)驗，因為這對整個安全社區(qū)都有重要價值，而不是停留在他們的云優(yōu)先策略上。類似事件可能發(fā)生在我們每個人身上，我們能做的就是應(yīng)對安全挑戰(zhàn)，并建立強(qiáng)大的云安全社區(qū)。

原文鏈接：What’s in Your Bucket?

作者：Ammar Alim

翻譯：王文剛

來源：InfoQ

標(biāo)簽： 數(shù)據(jù)泄露 數(shù)據(jù)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。