云泄露:簡單的云服務器配置操作,蘊含巨大商業風險
什么是云泄漏?
技術在改變著人們的生活:移動支付、共享經濟、電子商務、在線醫療…讓人們的生活更加便捷,生活質量進一步提升。但同時,數據泄漏事件似乎在不斷的發生,銀行卡賬號、個人身份信息、醫療記錄、出行記錄在隨著數字化生活給人們帶去便利的同時,也被大量的企業、服務機構獲取,使用。 隨著意識的提高,人們越來越重視個人隱私保護。“黑客”、“網絡攻擊”、“違規”、“泄漏”,這些詞不斷挑動著人們的神經。其中,有一種較為特殊的“泄漏”,一旦發生可能會涉及到大量的數據,給相關用戶和企業造成巨大的損失,我們稱之為云泄露。 云泄漏是指存儲在云服務器中的敏感數據毫無防備的暴露在互聯網上。云服務商在互聯網上為企業提供了私有空間來部署系統、存儲數據。大多數云服務商會提供選項允許企業將自己的存儲空間面向互聯網開放。若管理員在處理數據時修改了權限,云服務器和互聯網之間的邊界就消失了,意味著所有人都可以訪問這些數據。2017年版《OWASP Top 10 》顯示,“安全配置錯誤”在10項最嚴重的web應用程序安全風險中排在第五位。無論是錯誤的配置還是云中脆弱的服務器,都會將隱私數據至于危險的境地。而專門有一類人,出于獲取利益的目的,在持續的搜尋著云泄漏,將會擴大云泄露的影響。 2017年5月,因AWS S3存儲桶權限設置失當導致至少220萬道瓊斯公司客戶信息半公開,讓免費AWS賬戶都可以訪問里面內容。同年7月,Verizon公司超過1400萬用戶個人資料因第三方供應商云服務器安全配置不當遭到外泄,數據所屬的云儲備被配置為允許公開訪問并可完全下載。同年9月,因承包商問題,導致美國陸軍及NSA情報平臺絕密文件暴露在Amazon S3服務器上。這些都是典型的云泄漏事件。云泄漏是企業及組織面臨的獨特風險,出現錯誤的簡單性與它可能導致后果的嚴重程度形成巨大的反差。
云泄露的嚴重性
云泄露中最常見的數據分為兩類: 1. 個人信息 身份信息(姓名、性別、年齡、地址、電話號碼…)活動信息(訂單、生活軌跡、瀏覽習慣…),銀行卡信息、醫療記錄…這一類信息極具價值,買賣公民信息的黑市在互聯網平臺并不鮮見。當下,政府及監管機構非常關注公民個人信息的保護,在今年5月1日實施的《信息安全技術個人信息安全規范》,從國家標準層面,明確了企業收集、使用、分享個人信息的合規要求,為企業制定隱私政策及個人信息管理規范指明了方向。在同月生效的《通用數據保護條例》中,也將對個人信息的保護提升到了新的高度,影響行業廣泛,對涉事企業處罰力度大。 2. 企業信息 企業內部的文件、郵件、備忘;合作伙伴、供應商信息;項目信息等。財務信息;設計;知識產權信息;代碼等。一旦這些信息暴露,被競爭對手或有不良企圖的人獲得,將會給企業帶來致命的傷害。 數據泄露,可能會讓公民面臨詐騙、騷擾、甚至人身安全威脅,可能讓企業面臨來自競爭對手的致命打擊、來自監管機構的高額處罰,及無法估量的名譽損失。可以說,云泄露可給相關各方帶來巨大的傷害。
如何防止云泄露?
云泄漏并非由外部攻擊造成,而是由日常工作中的操作導致的。企業在使用云服務時,應意識到其風險的存在。企業在對云服務配置時,應該持續驗證每一步操作以保證風險的可見。 企業除了規范流程,降低由操作錯誤導致數據外泄的同時,也應當關注到為企業處理數據的第三方合作伙伴,企業作為數據的責任人,一旦出現泄漏,與第三方需要承擔同樣的責任。這使得評估和優化第三方合作伙伴網絡風險與企業內部的風險控制同樣重要。2018年6月,“安全值”聯合“供應鏈安全聯盟”發布了《第三方安全風險管理能力框架》,文中提到“第三方是組織的擴展,其行為可以直接影響到合規性和品牌聲譽。這就要求企業對幾十個,幾百個甚至數千個第三方進行調查,評估和后續跟進,并對風險采取行動。第三方風險管理能力將應用于從合同簽訂之前到合同執行過程中一直到合同完成之后整個生命周期,并且在數字化環境下,風險控制需要得到領導充分的重視和支持,經多個業務和職能部門的協同來完成。” 僅僅關注企業自身的內部風險,卻把同樣的數據毫無措施的交由第三方合作伙伴,這是毫無意義的。合作伙伴的選擇和評估應該與企業在保護其內部資產和信息時一樣謹慎。 來源:安全牛
