你最近暴露自己了吗？

by 约翰·博耶2023 年 9 月 14 日商业智能/分析0评论

我们正在谈论云中的安全性

过度接触

这么说吧，你担心暴露什么？你最有价值的资产是什么？您的社会安全号码？您的银行账户信息？私人文件，还是照片？你的加密种子短语？如果您管理一家公司，或负责数据的保管，您可能会担心相同类型的信息被泄露，但在 abroad呃规模。您的客户委托您保护他们的数据。

作为消费者，我们认为数据的安全是理所当然的。如今，数据越来越多地存储在云中。许多供应商提供的服务允许客户将数据从本地计算机备份到云端。把它想象成空中的虚拟硬盘。这被宣传为一种安全便捷的保护数据的方法。方便，是的。您可以恢复意外删除的文件。您可以恢复数据损坏的整个硬盘。

但这安全吗？我们为您提供一把锁和一把钥匙。密钥通常是用户名和密码。它是加密的并且只有您知道。这就是安全专家建议确保密码安全的原因。如果有人获得了您的密码，他们就拥有了您虚拟房屋的虚拟钥匙。

这一切你都知道。您的备份云服务密码长度为 16 个字符，包含大小写字母、数字和一些特殊字符。您每六个月更改一次，因为您知道这会让黑客变得更难。它与您的其他密码不同 - 您不会在多个站点使用相同的密码。可能会出什么问题？

一些公司提供他们所谓的“个人云”。西 Digital 是提供一种简单方法将数据备份到云中个人空间的公司之一。它是通过互联网提供的网络存储。它插入您的 Wi-Fi 路由器，以便您可以从网络内的任何位置访问它。方便的是，因为它还连接到互联网，您可以从互联网上的任何地方访问您的个人数据。 便利伴随着风险。

妥协的立场

今年早些时候，黑客闯入西方国家 Digital的系统并能够下载大约 10 Tb 的数据。随后，黑邮者持有这些数据以索取赎金，并试图通过谈判达成一项价值 10,000,000 美元以上的协议，以安全归还数据。数据就像石油。或者也许黄金是一个更好的比喻。其中一名不愿透露姓名的黑客发表了讲话。哈！ TechCrunch 在他正在进行这笔生意交易时采访了他。有趣的是，被泄露的数据包括西方数据 Digital的代码签名证书。这相当于视网膜扫描的技术。该证书旨在明确识别所有者或持有者的身份。通过这种虚拟视网膜扫描，无需密码即可访问“安全”数据。也就是说，有了这个证书，这个黑帽商人就可以走进企业的大门了。 digital 宫。

西式 Digital 对于黑客声称他们仍在 WD 网络中的说法，WD 拒绝发表评论。这位未透露姓名的黑客对西方公司的代表表示失望 Digital 不会回他的电话。正式地，在新闻稿，西方 Digital 宣布，“根据迄今为止的调查，公司认为未经授权的一方从其系统中获取了某些数据，并正在努力了解这些数据的性质和范围。” 那么，西方 Digital 是妈妈，但黑客却在胡言乱语。至于他们是如何做到的，黑客描述了他们如何利用已知漏洞并能够以全局管理员的身份访问云中的数据。

根据角色的性质，全局管理员可以访问所有内容。他不需要你的密码。他有万能钥匙。

西式 Digital 并不孤单

A 去年发现，83% 的受访公司 超过一个 数据泄露，其中 45% 是基于云的。这美国的一次数据泄露损失达 9.44 万美元。成本分为四个成本类别——业务损失、检测和升级、通知和违规后响应。（我不确定数据赎金属于哪个类别。尚不清楚是否有任何受访者支付了赎金要求。）组织识别和响应数据泄露所需的平均时间约为 9 个月。那么，在西方的几个月后，这并不奇怪。 Digital 他们首先承认数据泄露，但仍在调查中。

很难确切地说有多少家公司发生过数据泄露事件。我知道一家大型私营公司遭到勒索软件攻击。业主拒绝协商，也没有付款。相反，这意味着丢失电子邮件和数据文件。他们选择从未受感染的备份中重建所有内容并重新安装软件。停机时间很长，生产力下降。此事件从未出现在媒体上。那家公司很幸运，因为 66% 遭受勒索软件攻击的中小型公司最终会在 6 个月内倒闭。

30,000 个网站至少从2010年开始，每天
4 万个文件被盗每天
22 亿条记录突破在2021

如果您曾经与第一资本、万豪、Equifax、Target 或 Uber 有过业务往来或使用过其服务，您的密码可能已被泄露。这些大公司中的每一家都遭受了严重的数据泄露。

第一资本：一名黑客通过利用公司云基础设施中的漏洞获得了 100 亿客户和申请人的访问权限。
万豪酒店：一次数据泄露泄露了 500 亿客户的信息（该泄露事件在 4 年内未被发现）。
Equifax：云中 147 亿客户的个人信息被泄露。
目标：网络犯罪分子获取了 40 万个信用卡号码。
Uber：黑客入侵了开发人员的笔记本电脑，并获得了 57 万用户和 600,000 万司机的访问权限。
LastPass的^{^[1]}：黑客在这家密码管理公司的云存储泄露中窃取了 33 万客户的保管库数据。攻击者使用从其开发人员环境中窃取的“云存储访问密钥和双存储容器解密密钥”获得了对 Lastpass 云存储的访问权限。

您可以在此网站上检查您是否遭遇数据泄露：我被刺了吗？输入您的电子邮件地址，它会显示该电子邮件地址已发现多少次数据泄露事件。例如，我输入我的一个个人电子邮件地址，发现它是 25 起不同数据泄露事件的一部分，其中包括 Evite 、Dropbox、Adobe、LinkedIn 和 Twitter。

阻止不受欢迎的追求者

西方可能永远不会公开承认 Digital 究竟发生了什么。该事件确实说明了两件事：云中数据的安全性取决于其保管者，而密钥的保管者需要特别小心。套用彼得·帕克原则，拥有 root 访问权限意味着巨大的责任。

更准确地说，root 用户和全局管理员并不完全相同。两者都有很大的权力，但应该是分开的账户。 root用户拥有并有权访问最低级别的企业云帐户。因此，该帐户可以删除所有数据、虚拟机、客户信息——企业在云中保护的所有内容。在AWS中，只有 10任务，包括设置和关闭真正需要 root 访问权限的 AWS 账户。

应该创建管理员帐户来执行管理任务（废话）。通常有多个管理员帐户，这些帐户通常是基于个人的，与单个根帐户不同。由于管理员帐户与个人绑定，因此您可以轻松监控谁在环境中进行了哪些更改。

最小的权限以获得最大的安全性

数据泄露调查研究了 28 个因素对数据泄露严重程度的影响。人工智能安全、DevSecOps 方法、员工培训、身份和访问管理、MFA、安全分析的使用都对减少事件中的平均美元金额产生了积极影响。然而，合规性失败、安全系统复杂性、安全技能短缺和云迁移是导致数据泄露平均成本净增加较高的因素。

当您迁移到云时，您需要比以往更加警惕地保护数据。以下是一些降低风险并运行更安全环境的其他方法保安立场：

1. 多重身份验证： 对 root 和所有管理员帐户实施 MFA。更好的是，使用物理硬件 MFA 设备。潜在的黑客不仅需要帐户名和密码，还需要生成同步代码的物理 MFA。

2. 少量的力量： 限制谁有权访问 root。一些安全专家建议用户数量不要超过 3 个。认真管理 root 用户访问。如果您在其他地方执行身份管理和下线，请在此处执行。如果信任圈中的某个人离开组织，请更改 root 密码。恢复 MFA 设备。

3. 默认帐户权限： 配置新用户帐户或角色时，请确保默认情况下向他们授予最低权限。从最小访问策略开始，然后根据需要授予其他权限。提供最低安全性来完成任务的原则是一个将通过 SOC2 安全合规标准的模型。这个概念是任何用户或应用程序都应该具有执行所需功能所需的最低安全性。被泄露的特权越高，风险就越大。相反，暴露的特权越低，风险就越低。

4. 审核权限： 定期审核和检查分配给云环境中的用户、角色和帐户的权限。这确保个人只有必要的权限来执行其指定的任务。

5. 身份管理和即时特权：识别并撤销任何过多或未使用的权限，以最大限度地降低未经授权的访问风险。仅当用户需要执行特定任务或在有限时间内时才向用户提供访问权限。这可以最大限度地减少攻击面并减少潜在安全威胁的机会窗口。

6. 嵌入式凭证：禁止在脚本、作业或其他代码中硬编码未加密的身份验证（用户名、密码、访问密钥）。相反，看看秘密经理您可以使用它以编程方式检索凭据。

7. 基础设施即代码 (IaC) 配置：使用 AWS CloudFormation 或 Terraform 等 IaC 工具配置云基础设施时，请遵循安全最佳实践。避免默认授予公共访问权限，并将对资源的访问限制为仅受信任的网络、用户或 IP 地址。利用细粒度的权限和访问控制机制来强制执行最小权限原则。

8. 记录操作：启用对云环境中的操作和事件的全面日志记录和监控。捕获并分析任何异常或潜在恶意活动的日志。实施强大的日志管理以及安全信息和事件管理 (SIEM) 解决方案，以及时检测和响应安全事件。

9. 定期漏洞评估：定期执行漏洞评估和渗透测试，以识别云环境中的安全漏洞。及时修补并修复任何发现的漏洞。跟踪云提供商发布的安全更新和补丁，并确保及时应用它们以防范已知威胁。

10. 教育和培训：促进安全意识文化，并定期向员工提供关于最小特权原则重要性的培训。向他们介绍与过多特权相关的潜在风险以及访问和管理云环境中的资源时应遵循的最佳实践。

11. 补丁和更新：通过定期更新所有服务器软件来减少漏洞。保持您的云基础设施和相关应用程序处于最新状态，以防范已知漏洞。云提供商经常发布安全补丁和更新，因此及时了解他们的建议至关重要。