你最近暴露自己了嗎？

by 約翰·博耶2023 年 9 月 14 日商業智能/分析0評論

我們正在談論云中的安全性

過度接觸

這麼說吧，你擔心暴露什麼？你最有價值的資產是什麼？您的社會安全號碼？您的銀行賬戶信息？私人文件，還是照片？你的加密種子短語？如果您管理一家公司，或負責數據的保管，您可能會擔心相同類型的信息被洩露，但在 abroad呃規模。您的客戶委託您保護他們的數據。

作為消費者，我們認為數據的安全是理所當然的。如今，數據越來越多地存儲在雲中。許多供應商提供的服務允許客戶將數據從本地計算機備份到雲端。把它想像成空中的虛擬硬盤。這被宣傳為一種安全便捷的保護數據的方法。方便，是的。您可以恢復意外刪除的文件。您可以恢復數據損壞的整個硬盤。

但這安全嗎？我們為您提供一把鎖和一把鑰匙。密鑰通常是用戶名和密碼。它是加密的並且只有您知道。這就是安全專家建議確保密碼安全的原因。如果有人獲得了您的密碼，他們就擁有了您虛擬房屋的虛擬鑰匙。

這一切你都知道。您的備份雲服務密碼長度為 16 個字符，包含大小寫字母、數字和一些特殊字符。您每六個月更改一次，因為您知道這會讓黑客變得更難。它與您的其他密碼不同 - 您不會在多個站點使用相同的密碼。可能會出什麼問題？

一些公司提供他們所謂的“個人云”。西 Digital 是提供一種簡單方法將數據備份到雲中個人空間的公司之一。它是通過互聯網提供的網絡存儲。它插入您的 Wi-Fi 路由器，以便您可以從網絡內的任何位置訪問它。方便的是，因為它還連接到互聯網，您可以從互聯網上的任何地方訪問您的個人數據。 便利伴隨著風險。

妥協的立場

今年早些時候，黑客闖入西方國家 Digital的系統並能夠下載大約 10 Tb 的數據。隨後，黑郵者持有這些數據以索取贖金，並試圖通過談判達成一項價值 10,000,000 美元以上的協議，以安全歸還數據。數據就像石油。或者也許黃金是一個更好的比喻。其中一名不願透露姓名的黑客發表了講話。哈！ TechCrunch的在他正在進行這筆生意交易時採訪了他。有趣的是，被洩露的數據包括西方數據 Digital的代碼簽名證書。這相當於視網膜掃描的技術。該證書旨在明確識別所有者或持有者的身份。通過這種虛擬視網膜掃描，無需密碼即可訪問“安全”數據。也就是說，有了這個證書，這個黑帽商人就可以走進企業的大門了。 digital 宮。

西式 Digital 對於黑客聲稱他們仍在 WD 網絡中的說法，WD 拒絕發表評論。這位未透露姓名的黑客對西方公司的代表表示失望 Digital 不會回他的電話。正式地，在新聞稿, 西餐 Digital 宣布，“根據迄今為止的調查，公司認為未經授權的一方從其係統中獲取了某些數據，並正在努力了解這些數據的性質和範圍。” 那麼，西方 Digital 是媽媽，但黑客卻在胡言亂語。至於他們是如何做到的，黑客描述了他們如何利用已知漏洞並能夠以全局管理員身份訪問云中的數據。

根據角色的性質，全局管理員可以訪問所有內容。他不需要你的密碼。他有萬能鑰匙。

西式 Digital 並不孤單

A 調查去年發現，83% 的受訪公司 超過一個 數據洩露，其中 45% 是基於雲的。這平均美國的一次數據洩露損失達 9.44 萬美元。成本分為四個成本類別——業務損失、檢測和升級、通知和違規後響應。（我不確定數據贖金屬於哪個類別。尚不清楚是否有任何受訪者確實支付了贖金要求。）組織識別和響應數據洩露所需的平均時間約為 9 個月。那麼，在西方的幾個月後，這並不奇怪。 Digital 他們首先承認數據洩露，但仍在調查中。

很難確切地說有多少家公司發生過數據洩露事件。我知道一家大型私營公司遭到勒索軟件攻擊。業主拒絕協商，也沒有付款。相反，這意味著丟失電子郵件和數據文件。他們選擇從未受感染的備份中重建所有內容並重新安裝軟件。停機時間很長，生產力下降。此事件從未出現在媒體上。那家公司很幸運，因為企業排放佔全球 66% 遭受勒索軟件攻擊的中小型公司最終會在 6 個月內倒閉。

30,000 個網站黑客攻擊每天
4 萬個文件被盜每天
22 億條記錄突破在2021

如果您曾經與第一資本、萬豪、Equifax、Target 或 Uber 有過業務往來或使用過其服務，您的密碼可能已被洩露。這些大公司中的每一家都遭受了嚴重的數據洩露。

第一資本：一名黑客通過利用公司雲基礎設施中的漏洞獲得了 100 億客戶和申請人的訪問權限。
萬豪酒店：一次數據洩露洩露了 500 億客戶的信息（該洩露事件在 4 年內未被發現）。
Equifax：雲中 147 億客戶的個人信息被洩露。
目標：網絡犯罪分子獲取了 40 萬個信用卡號碼。
Uber：黑客入侵了開發人員的筆記本電腦，並獲得了 57 萬用戶和 600,000 萬司機的訪問權限。
LastPass的^{^[1]}：黑客在這家密碼管理公司的雲存儲洩露中竊取了 33 萬客戶的保管庫數據。攻擊者使用從其開發人員環境中竊取的“雲存儲訪問密鑰和雙存儲容器解密密鑰”獲得了對 Lastpass 雲存儲的訪問權限。

您可以在此網站上檢查您是否遭遇數據洩露：我被逮捕了嗎？輸入您的電子郵件地址，它會顯示該電子郵件地址已發現多少次數據洩露事件。例如，我輸入我的一個個人電子郵件地址，發現它是 25 起不同數據洩露事件的一部分，其中包括 Evite 、 Dropbox、Adobe、LinkedIn 和Twitter。

阻止不受歡迎的追求者

西方可能永遠不會公開承認 Digital 究竟發生了什麼。該事件確實說明了兩件事：雲中數據的安全性取決於其保管者，而密鑰的保管者需要特別小心。套用彼得·帕克原則，擁有 root 訪問權限意味著巨大的責任。

更準確地說，root 用戶和全局管理員並不完全相同。兩者都有很大的權力，但應該是分開的賬戶。 root用戶擁有並有權訪問最低級別的企業雲帳戶。因此，該帳戶可以刪除所有數據、虛擬機、客戶信息——企業在雲中保護的所有內容。在AWS中，只有 10任務，包括設置和關閉真正需要 root 訪問權限的 AWS 賬戶。

應該創建管理員帳戶來執行管理任務（廢話）。通常有多個管理員帳戶，這些帳戶通常是基於個人的，與單個根帳戶不同。由於管理員帳戶與個人綁定，因此您可以輕鬆監控誰在環境中進行了哪些更改。

最小的權限以獲得最大的安全性

數據洩露調查研究了 28 個因素對數據洩露嚴重程度的影響。人工智能安全、DevSecOps 方法、員工培訓、身份和訪問管理、MFA、安全分析的使用都對減少事件中的平均美元金額產生了積極影響。然而，合規性失敗、安全系統複雜性、安全技能短缺和雲遷移是導致數據洩露平均成本淨增加較高的因素。

當您遷移到雲時，您需要比以往更加警惕地保護數據。以下是一些降低風險並運行更安全環境的其他方法安全立場：

1. 多重身份驗證： 對 root 和所有管理員帳戶實施 MFA。更好的是，使用物理硬件 MFA 設備。潛在的黑客不僅需要帳戶名和密碼，還需要生成同步代碼的物理 MFA。

2. 少量的力量： 限制誰有權訪問 root。一些安全專家建議用戶數量不要超過 3 個。認真管理 root 用戶訪問。如果您在其他地方執行身份管理和下線，請在此處執行。如果信任圈中的某個人離開組織，請更改 root 密碼。恢復 MFA 設備。

3. 默認帳戶權限： 配置新用戶帳戶或角色時，請確保默認情況下向他們授予最低權限。從最小訪問策略開始，然後根據需要授予其他權限。提供最低安全性來完成任務的原則是一個將通過 SOC2 安全合規標準的模型。這個概念是任何用戶或應用程序都應該具有執行所需功能所需的最低安全性。被洩露的特權越高，風險就越大。相反，暴露的特權越低，風險就越低。

4. 審核權限： 定期審核和檢查分配給雲環境中的用戶、角色和帳戶的權限。這確保個人只有必要的權限來執行其指定的任務。

5. 身份管理和即時特權：識別並撤銷任何過多或未使用的權限，以最大限度地降低未經授權訪問的風險。僅當用戶需要執行特定任務或在有限時間內時才向用戶提供訪問權限。這可以最大限度地減少攻擊面並減少潛在安全威脅的機會窗口。

6. 嵌入式憑證：禁止在腳本、作業或其他代碼中硬編碼未加密的身份驗證（用戶名、密碼、訪問密鑰）。相反，看看秘密經理您可以使用它以編程方式檢索憑據。

7. 基礎設施即代碼 (IaC) 配置：使用 AWS CloudFormation 或 Terraform 等 IaC 工具配置雲基礎設施時，請遵循安全最佳實踐。避免默認授予公共訪問權限，並將對資源的訪問限制為僅受信任的網絡、用戶或 IP 地址。利用細粒度的權限和訪問控制機制來強制執行最小權限原則。

8. 記錄操作：啟用對雲環境中的操作和事件的全面日誌記錄和監控。捕獲並分析任何異常或潛在惡意活動的日誌。實施強大的日誌管理以及安全信息和事件管理 (SIEM) 解決方案，以及時檢測和響應安全事件。

9. 定期漏洞評估：定期執行漏洞評估和滲透測試，以識別雲環境中的安全漏洞。及時修補並修復任何發現的漏洞。跟踪雲提供商發布的安全更新和補丁，並確保及時應用它們以防範已知威脅。

10. 教育背景和工作經驗：促進安全意識文化，並定期向員工提供關於最小特權原則重要性的培訓。向他們介紹與過多特權相關的潛在風險以及訪問和管理雲環境中的資源時應遵循的最佳實踐。

11. 補丁和更新：通過定期更新所有服務器軟件來減少漏洞。保持您的雲基礎設施和相關應用程序處於最新狀態，以防範已知漏洞。雲提供商經常發布安全補丁和更新，因此及時了解他們的建議至關重要。