2018年已接近尾声,我们不得不面对全球各地深受数据泄露事件的困扰事实。据《2018数据泄露损失研究》评估显示,大型数据泄露代价高昂,百万条记录可致损失4000万美元,5000万条记录可致损失3.5亿美元。遭遇数据泄露事件的公司企业平均要损失386万美元,同比去年增加了6.4%。
2018年8月,CSA发布了《云计算的顶级威胁:深度分析》英文版,通过对这些顶级威胁进行更细致、更全面的案例分析,为组织提供一个清晰的理解,即如何在应用真实的场景中应用经验教训和概念来避免更严重的安全事件的发生。
中国云安全联盟C-CSA组织专家对该案例分析进行解读和翻译,旨在为国内企业提供参考和行动指引。
本案例分析试图通过引用顶级威胁(Top Threats)中引用九个经典案例来连接安全分析的所有要点,这九个案例的每一个都以参考图表和详细叙述的形式进行说明。参考图表中包含威胁主题的类型:来自内部用户还是外部攻击者,威胁的类型是拒绝服务还是共享的技术漏洞等,脆弱性、技术和业务影响以及通过何种措施来检测、控制和预防此类威胁的再次发生。
以下简要地为大家展示九个案例分析的细节:
1. Linkedin–因黑客窃取了领英员工的认证凭证,进入内网后,拿到了数据库的用户名和密码,造成用户数据泄露和账户劫持。
预防控制措施:组织需采取合适的步骤来验证和管理用户身份,需要日志记录和行为异常分析的技术手段,同时需对包含用户凭证的数据库进行散列和“加盐”处理。
2. MongoDB–网络安全专家发现存储在AWS上MongoDB中的,9300万墨西哥选民的个人识别信息(PII)和投票记录处在危险中。因为MongoDB数据库缺省安装在浏览时访问不需要任何授权和访问控制。
预防控制措施:提供和实施MongoDB上与识别和访问控制相关的政策和策略。同时定期检查来识别访问权限的异常,检查违规行为并确保用户根据工作职能设定了“最小权限”。
3. Dirty Cow–恶意的内/外部人员,企图通过已有用户账户获取管理员权限。
预防控制措施:用户接入要求—访问授权必须使用需要知道、需要访问协议来实现。用户访问授权—通过禁用直接交互登录来防止潜在风险。用户ID凭证管理功能应基于角色的权限管理,或采用双因素/多因素认证来增强访问的安全性。此外,管理员权限应在常规账户访问和敏感的根或系统账户之间做分离处理。
4. Zynga–恶意内部员工根据指定的访问权限下载高度机密的商业文件,并将他们从公司本地的笔记本电脑中删除,泄露给竞争对手。许多内部威胁案件都是在雇员雇佣关系终止后发生,主要是由于未及时撤销访问控制的权限所致。
预防措施:为离职员工实施单独的政策和程序来保障数据的安全和完整。实施职责分离原则,在需要知道的基础上隔离机密数据的访问以及限制复制/下载特权,将对防止数据泄露损失方面起很大作用。
5. Net Traveler–外部小组向员工发送了一封仿冒的“钓鱼”电子邮件。
预防措施:应当实施支持业务流程和技术措施来确保安装更新的防病毒软件。必须为所有同组织有关的员工、承包商和第三方用户建立安全和隐私意识培训计划。
6. Yahoo–攻击者利用了组织管理不善的密码安全策略。
预防措施:加强企业信息安全管理程序(ISMP)的政策、沟通和风险管理。
7. Zetpto–员工打开一条包含.wsf或.docm附件的垃圾信息。
预防措施:加强对恶意软件的检测。通过实施适当的职责分离来限制破坏活动的影响范围,按功能或组织将关键业务集分组隔离,能阻碍恶意软件向整个网络的传播。
8. DynDNS–攻击者通过利用Mirai恶意软件感染了物联网设备,控制了僵尸网络,然后利用该僵尸网络发起了分布式恶意攻击。
预防措施:优化网络架构整体设计,使它能快速有效的识别、隔离以及重路由。应对内部网络及客户终端进行审计,这也包含对客户端恶意软件的识别。
9. Cloudbleed–外部恶意攻击者发送超文本传输协议(HTTP)请求给Cloudflare有漏洞的服务。
预防措施:对敏感信息进行加密保护,基于数据机密等级来进行分级保护。
我们可以看到九个案例中,有内部人员作案,也有外部人员攻击所致,但是九个案例中有五个案例都是因为缺乏完善的身份、凭证和访问管理措施导致数据泄露,可见其重要性。案例分析全文有对九个顶级威胁的详细剖析,包括威胁的起因,带来的影响等,同时提供了相应的补救措施,对组织极具参考价值。面对如此严峻的安全形势,国家,企事业单位,个人都应提高对云安全、数据安全的重视,加强对自身数据的保护措施。
感谢C-CSA专家委员会专家们对本报告的辛勤付出:
组长:顾伟
组员:陈皓 、郭鹏程、刘广坤、李岩 、马韶华 、欧建军 、姚凯 、周钰
C-CSA工作人员:史晓婧、胡锦涵
来源:freebuf.com 2018-12-03 15:08:40 by: 云安全联盟CSA
请登录后发表评论
注册