2021年1月,路由器厂商Ubiquiti遭遇勒索攻击事件,不明身份的攻击者从Ubiquiti的网络中窃取了数千兆字节的文件,并试图向Ubiquiti勒索50枚比特币(根据当时比特币价格,约为190万美元)作为赎金,以交换这部分加密数据以及用于窃取数据的后门漏洞。勒索未果后,攻击者向公众公开了这部分数据和相关漏洞。
事件发酵后,Ubiquiti向用户发送了一封声明邮件,表示其第三方云供应商托管的系统遭到了未经授权的访问,因此用户需要注意数据泄露的风险,但并未透露更多信息,也没有说明何时发生了泄露和导致这次安全事件发生的原因。
但随后就有网络安全行业相关人士表示,该漏洞实际远比Ubiquiti描述的更加严重,利用该漏洞,不法分子可以完全访问该公司的AWS服务器,甚至进一步拿到系统底层最高权限,访问或远程控制使用用户在Ubiquiti的云服务中注册并设置的设备。
Ubiquiti的一名员工也站出来向媒体爆料,声称Ubiquiti的这种轻描淡写的做法,指责该公司严重违反了“客户知情权”。受这一爆料引发的舆论影响,Ubiquiti的股价直线下跌了近20%,导致市值超过4亿美元的财务损失。
时隔2年,一名Ubiquiti前员工被指控与 2021 年底备受瞩目的 Ubiquiti 数据盗窃和勒索有关,这起发生在Ubiquiti身上的数据泄露事件再度引发了圈内的关注。
检察官声称,36岁的尼古拉斯·夏普(Nickolas Sharp)利用内部员工访问权限从Ubiquiti的AWS和GitHub实例中窃取数据,然后“冒充匿名黑客”试图敲诈勒索,最终还策划了一场针对该公司的诽谤运动,冒充匿名举报人对该公司错误地淡化攻击的严重性做出虚假声明,导致该公司市值暴跌。
联邦调查局在对夏普住所以及电子设备进行搜查取证时发现,夏普在2021年1月使用他的家庭互联网连接从 Ubiquiti 的 AWS 服务器下载了一个管理密钥,该密钥使他能够“远程访问Ubiquiti基础设施内的其他凭据”。
随后,夏普使用他的云管理员凭据从 Ubiquiti的AWS基础设施和GitHub存储库窃取了机密文件,并通过SSH克隆了数百个存储库。在窃取数据时,他试图使用Surfshark VPN服务隐藏他的家庭IP地址,但他的位置在互联网暂时中断后暴露。为了进一步隐藏他的恶意活动,夏普还修改了Ubiquiti服务器上的日志保留策略和其他文件,以避免暴露身份。
但试图瞒天过海的夏普最终还是露出了马脚,在数据泄露过程中的一个短暂实例中,夏普IP地址被记录下来,通过SSH连接使用GitHub Account-1克隆存储库。
在铁证面前,夏普承认了联邦调查局控诉的包括将程序传输到受保护计算机故意造成损害、电汇欺诈罪以及向联邦调查局做出虚假陈述在内的三项罪名,判决生效后,他将面临最高35年的监禁。
据调研机构Ponemon的调查,组织内部员工行为是最常见的内部威胁形式,占数据泄露事件的64%,而外部攻击行为只占23%。“IBM X-Force威胁情报指数”调查报告也显示,数据泄露事件的60%源于组织内部威胁。
放眼国内,由内部人员造成的数据泄露事件也早已屡见不鲜:
2014年初至2016年,上海市疾控中心工作人员窃取30万余条新生儿信息并出售牟利。
2016 年,智联招聘经营方公司员工向外兜售用户简历信息超15万条。
2017年,58同城客服人员勾结外人,盗窃1176个账户贩卖获利,造成客户损失上百万元。
2019年,河南开封市社区、物流等多部门内鬼通过微信群贩卖公民个人信息超1亿条。
……
然而一直以来,企业都将安全防御的重点放在来自外部的攻击和入侵方面,在边界构筑坚固堡垒的同时,却忽视了对内部薄弱环节的关注。在之前的采访中,多位数据安全领域专家都曾表示,内鬼泄露正在成为企业数据安全防护的最大缺口。
在一个大型企业内部,研发、运维等等岗位工作人员的工作与数据几乎无法分离开,研发的过程中必然需要调用数据接口,运维的过程中也必须操作数据库去做一些部署或者备份的工作,这些都是属于数据安全需要管控的范畴。由此可见,数据安全不仅要防外,更要防内。
美创科技解决方案专家吴慧此前告诉安全419,相较未知攻击者而言,内部人员首先接触数据更容易,外部攻击想要窃取数据,是一种偏“暴力”的行为,渗透、破解等操作总会残留下踪迹。
但是内部人员本身已经拥有合法的权限,可以直接登录数据库,一些看似合法的账户,却神不知鬼不觉地做了不合法的事情,系统往往难以判别实质性的合法与非法。如果权限足够高,甚至可以把数据库全盘拖出,这是SQL注入等外部攻击难以比肩的。
此外,内部的数据泄露往往难以追溯。企业的数据库通常都存在公用账户,许多数据库在设计之初就拥有DBA(Database Administrator)这样的高权限账号,多个内部人员都可以合法接触到与实际职能权限并不匹配的数据,一旦发生泄露想要追责并不容易。“如果采用比较严谨的权限管控,可能需要企业安排专人进行账号维护,但很多企业并没有这份心思,甚至认为这会阻碍业务操作的便捷和效率。”
熠数信息CTO方伟则指出,当前数据安全、个人信息保护已经成为了网络攻防对抗最前沿的战场。而外部攻击造成的威胁只占其中一小部分,大多数企业数据泄露事件都来源于内部。包括员工的误操作、内部员工与外部人员之间相互勾结、员工离职前恶意下载数据,以及员工的一些恶意操作的行为等等造成数据泄露,已经构成了当前最突出的数据安全问题。
除此之外,还有一些隐藏在企业内部,已经被外部攻击者获取到相应权限的肉鸡,他们也会进行一些数据窃取,数据破坏这类的行为,也是一个当前最常见的数据安全风险之一。因此,识别异常的用户以及识别出用户的异常成为了当前数据安全领域的一个严峻挑战。
那么企业应该如何有效的防范内鬼泄密呢?从技术实现路径上看,将数据脱敏保护与零信任、多因素身份认证、最小权限访问控制等安全机制相融合,或许是一条有效路径。
具体而言就是,不信任任何访问,对每次访问做到严格鉴权监控。通过多因素认证验证访问者真实身份之后,再开放系统访问权限,并做好全程访问过的实时风控,对访问者真实身份(身份识别/多因素认证)、访问频次/地点/行为特征等进行实时预判,以在第一时间发现风险并切断访问来源。
据此前采访了解,目前业内主流的零信任厂商和数据安全厂商均已围绕内部数据泄露场景打造了相关成熟的解决方案,推荐相关甲方用户关注了解。如持安科技(持安零信任数据安全解决方案)、易安联(核心数据防泄漏解决方案),数据安全厂商如美创科技(数据防泄漏系统)、数安行(零信任数据运营安全平台)、熠数信息(内部数据泄露审计方案)等。
我们必须认识到,内部管控以及数据安全保护是一个长期持续的、系统性的工程,需要我们从制度、技术和意识等层面建立安全机制并不断完善,与其亡羊补牢,不如未病早治疗。
