【趕上車】雲環境設定失誤 黑客輕易盜取1TB機密數據
網絡安全公司 Sysdig 為客戶調查一宗入侵事故時發現,黑客利用客戶的 AWS 雲端應用服務設定漏洞,乘機在雲環境安裝挖礦程式,更進一步利用 call API 功能取得帳戶登入資料,繼而入侵至受害企業的雲端架構,最終盜取近 1TB 機密資料。雖然大家都趕著數碼轉型,但如未充分理解安全盲點就移雲,好易出事。
近年不少企業都趕忙數碼轉型,採用更多雲端服務,不過,由於現有的 IT 員工未必熟悉雲環境,因此在設定上有可能出現安全漏洞。Sysdig 早前處理一項網絡安全事故,發現入侵的黑客非常熟悉雲環境,令他們可以憑著客戶一個對外開放的雲端應用服務漏洞入侵,而且更滲透至雲端架構,盜取到大量機密資料。
專家解釋,黑客首先入侵了客戶在 AWS 上掛載的 Kubernetes,並在內裡安裝了一個挖礦程式。之後黑客便利用特製程式碼取得企業其中一個帳戶登入資料,再以 call API 功能盜取更多帳戶資料及在雲環境部署了一個後門,讓他們可以持續登入帳戶。
而在這次事件中,黑客更可憑著帳戶可使用 AWS Lambda 自動化管理程序,修改更多設定甚至自設超級帳戶,可以存取 S3 上的資料,因此黑客最終可通過 Terraform 基礎設施編碼工具,取得近 1TB 的客戶機密數據及運行記錄。
雖然 Sysdig 未有透露該客戶有否被黑客勒索,但如事件公開,相信會令客戶的商譽大受打擊。
由此可見,單單一個設定失誤已可對企業造成極大損失,因此對於如何安全地使用雲端服務,Sysdig 安全專家有以下建議:
1.將所有管理雲端應用服務的軟件保持在最新系統版本,堵塞已知漏洞
2.啟用 IMDS v2,因為 v1 可更容易讓外人通過 call API 取得敏感資料
3.嚴謹管理每個帳戶的使用權限,避免接觸到不必要的資料
4.減少可被存取的資料,特別是重要數據以免被篡改
5.移取閒置或已離職的員工帳戶及權限
6.採用金鑰管理服務,例如 AWS KMS、Azure Key Vault,可減少帳戶被盜用風險
7.啟用全面的偵測及警報系統,以第一時間揪出可疑活動及即時根據 playbook 回應事件
相關文章:【貪字得個貧】挖礦軟件植入盜版Final Cut Pro 專攻macOS用家
