Bài học rút ra từ các vi phạm hàng đầu về bảo mật trên nền tảng đám mây
27/12/2021 15:16 869 lần Chuyên mục: Tin bảo mật , Tin tức & Sự kiện

Cùng Mi2 tìm hiểu về các vi phạm hàng đầu liên quan đến các lỗ hổng trong hệ thống bảo mật trên nền tảng đám mây, cũng như các bài học mà người quản trị dữ liệu cho doanh nghiệp.có thể né tránh.

Bảo mật trên nền tảng đám mây
Bảo mật trên nền tảng đám mây

1. Cơ sở dữ liệu nội bộ bị cấu hình sai

Vào tháng 1 năm 2020, Microsoft ghi nhận đã có một một sự cố xảy ra tại cơ sở dữ liệu phân tích hỗ trợ nội bộ của họ.

Một thay đổi trong nhóm bảo mật trên nền tảng đám mây của cơ sở dữ liệu vào ngày 05 tháng 12 năm 2021 là nguyên nhân dẫn đến việc các quy tắc bảo mật bị cấu hình sai. Theo đó, có 250 triệu hồ sơ các trường hợp hỗ trợ đã bị xâm phạm, bao gồm email và địa chỉ IP cũng như chi tiết của các trường hợp hỗ trợ.

Cấu hình sai dẫn đến các cuộc tấn công mạng
Cấu hình sai dẫn đến các cuộc tấn công mạng

Microsoft đảm bảo với khách hàng rằng các trường hợp bị xâm phạm trên không làm lộ bất kỳ thông tin nào thuộc trong dịch vụ đám mây thương mại. Đồng thời hầu hết dữ liệu của các trường hợp đó đều đã được tự động biên tập lại để tránh rò rỉ thông tin cá nhân của người dùng.

Tuy nhiên, bất kỳ sự thất thoát dữ liệu khách hàng nào cũng đều để lại những hậu quả nghiêm trọng, chẳng hạn như tạo cơ hội cho các tác nhân nguy hại (hacker) thực hiện các cuộc tấn công qua mạng trong tương lai.

Nhóm Ứng phó Sự cố (CPIRT) của Check Point đã chứng kiến ​​một số cuộc tấn công qua mạng thành công với lý do giả mạo vô cùng cấp thiết như “Hộp thư hỗ trợ CNTT của bạn đã đầy” hoặc “Thư thoại mới: Không thể truy cập tài nguyên.”

Với hình thức xâm phạm này, các tác nhân nguy hại có quyền truy cập vào lịch sử vé hỗ trợ có thể thực hiện các cuộc tấn công, lừa đảo qua mạng có chủ đích phù hợp với các giao tiếp hợp pháp trước đó với các nhà cung cấp.

Vụ việc là một hồi chuông cảnh tỉnh cho Microsoft cũng như tất cả chúng ta rằng các quy tắc bảo mật trên nền tảng đám mây dành cho tài nguyên nội bộ phải được kiểm tra nghiêm ngặt như quy tắc sử dụng cho các tài nguyên bên ngoài.

Hơn nữa, chúng ta cần lưu ý rằng sự tiết lộ thông tin trên đã được phát hiện bởi một bên thứ ba. Cần hơn ba tuần để khắc phục vấn đề cấu hình bị sai. Do đó, sở hữu các biện pháp toàn diện để phát hiện quy tắc bảo mật bị cấu hình sai  và cảnh báo các nhóm bảo mật trong thời gian thực là rất quan trọng để có thể ngăn chặn vi phạm xảy ra.

2. Cơ sở dữ liệu không được bảo vệ, dữ liệu không được mã hóa

Vào ngày 30 tháng 1 năm 2020, một nhà nghiên cứu về bảo mật trên nền tảng đám mây đã  phát hiện ra một cơ sở dữ liệu không được bảo vệ bằng mật khẩu mà bất kỳ ai sử dụng Internet cũng có thể truy cập được.

Một phần của nền tảng giáo dục của tập đoàn là cơ sở dữ liệu chứa email của người dùng ở dạng văn bản thuần túy cũng như địa chỉ IP, cổng, đường dẫn và thông tin lưu trữ mà những tác nhân nguy hại có thể khai thác để truy cập sâu hơn vào hệ thống. Hơn nữa, nhật ký sản xuất, kiểm tra, lỗi, CMS và phần mềm trung gian không được mã hóa cũng bị tiết lộ tạo ra nhiều backdoor khả thi cho kẻ xấu truy cập vào. 

Estée Lauder đã khắc phục sự cố trên vào cùng ngày khi phát hiện và đảm bảo với khách hàng rằng không có dữ liệu người tiêu dùng nào bị xâm phạm. Mặc dù thiệt hại là tối thiểu nhưng vẫn có ít nhất ba bài học quan trọng có thể rút ra từ vi phạm này:

  • Phát hiện và quản lý tài sản hiệu quả là rất quan trọng đối trong việc bảo mật. Bất kỳ tài sản không được bảo vệ nào đều có thể là điểm tấn công tuyệt vời cho các tác nhân nguy hại. Trường hợp nêu trên là một ví dụ điển hình về các cơ hội kẻ xấu tấn công phi kỹ thuật và lừa đảo giả mạo qua mạng trong tương lai.
  • Cẩn thận với sự nhanh chóng và dễ dàng mà tài nguyên đám mây có thể được cung cấp. Việc nâng cao các phương pháp bảo mật trên nền tảng đám mây tốt nhất như bảo vệ bằng mật khẩu sẽ không bao giờ là dư thừa.
  • Dữ liệu phải luôn được mã hóa dù chỉ là cơ sở dữ liệu phi sản xuất.

3. Năm tỷ bản ghi được tiếp xúc trong quá trình bảo trì định kỳ

Vụ vi phạm lớn này xảy ra vào tháng 3 năm 2020 khi một nhà cung cấp dịch vụ tạm thời để lộ 5 tỷ bản ghi trong quá trình bảo trì định kỳ. Nhà thầu đã đóng các thiết bị tường lửa trong khoảng 10 phút để tăng tốc độ di chuyển cơ sở dữ liệu Elasticsearch, mở ra một cửa sổ cho dịch vụ lập chỉ mục Binary Edge thực hiện lập chỉ mục tất cả dữ liệu. Trong 10 phút đó, một nhà nghiên cứu về bảo mật trên nền tảng đám mây đã có thể truy cập cơ sở dữ liệu thông qua một cổng không được bảo vệ, mặc dù anh ấy chỉ thành công trong việc trích xuất một tập hợp con rất nhỏ của các bản ghi.

Cơ sở dữ liệu chứa đựng những email và mật khẩu từ các vụ vi phạm dữ liệu đã bị công khai, dữ liệu đã được sử dụng để thông báo cho khách hàng của Keepnet nếu họ bị xâm phạm. Không có dữ liệu công ty hoặc khách hàng nào bị lộ và bản thân các bản ghi đều từ các nguồn thông tin tình báo về mối đe dọa có sẵn công khai.

Với sự tinh vi và nhanh nhẹn của các tác nhân nguy hại, vi phạm Keepnet nhấn mạnh tầm quan trọng của việc thường xuyên cảnh giác, ngay cả khi bảo trì định kỳ và trong quá trình vận hành. Một trong những bài học kinh nghiệm mà công ty đúc kết được sau vụ việc tại một tuyên bố công khai là: “Chúng tôi đã thêm (một) dịch vụ tình báo về mối đe dọa an toàn thông tin mạng vào hệ thống giám sát 24/7 của mình và liên tục tiến hành quét lỗ hổng.”

Không bảo mật trên nền tảng đám mây là mục tiêu tấn công của tin tặc
Mục tiêu tấn công của tin tặc

Theo kinh nghiệm của CPIRT, những kẻ tấn công thường giành được quyền truy cập và tràn vào hệ thống vì các biện pháp kiểm soát bảo mật trên nền tảng đám mây đã bị vô hiệu hóa.Trên thực tế, các tác nhân nguy hại tìm kiếm các hệ thống có thành tích đặc biệt với ít hoặc không có các biện pháp kiểm soát an ninh. Một kiến ​​trúc bảo mật thích hợp nên xem xét các yêu cầu về thành tích trong giai đoạn lập kế hoạch và thiết kế ban đầu. Khoản đầu tư trả trước này giúp tiết kiệm thời gian và tài nguyên quản lý bảo mật trong dài hạn.

4. Máy chủ đám mây bị cấu hình sai làm rò rỉ thông tin khách

Vào tháng 7 năm 2020, MGM Grand Hotels đã thừa nhận việc 142 triệu hồ sơ chứa thông tin cá nhân của khách bị rò rỉ và đang bị rao bán trên dark web. Dữ liệu bị tấn công bao gồm địa chỉ nhà, thông tin liên lạc, ngày tháng năm sinh, số bằng lái xe và số hộ chiếu. May mắn thay, nó không bao gồm thông tin tài chính, ID hoặc chi tiết đặt phòng.

Có thể đây là một phần của vụ vi phạm tương tự vào tháng 7 năm 2019 đã trở nên nổi tiếng vào tháng 2 năm 2020 khi 10,6 triệu bản ghi được cung cấp dưới dạng tải xuống miễn phí trên một diễn đàn hack. Thật không may, dữ liệu được tiết lộ ở đây lại cung cấp cho các tác nhân đe dọa mọi thứ họ cần để thực hiện tấn công, lừa đảo trực tuyến trong tương lai.

Các trường hợp nêu trên đều xảy ra do máy chủ bảo mật trên nền tảng đám mây bị cấu hình sai, dẫn đến bị truy cập mà không cần sự cho phép. Xét đến hầu hết các cấu hình bị thiết lập sai đều là do lỗi của con người càng cho thấy rõ hơn tầm quan trọng của quy trình bảo mật tự động trong việc củng cố tình hình an ninh của doanh nghiệp.

5. Warner Media Group (WMG) bị tấn công thu thập dữ liệu

Vào tháng 9 năm 2020, Warner Media Group (WMG) thông báo rằng họ là nạn nhân của cuộc tấn công thu thập dữ liệu bởi sự cố bảo mật trên nền tảng đám mây Magecart kéo dài ba tháng trên nhiều trang web thương mại điện tử của một nhà cung cấp dịch vụ bên ngoài. Từ ngày 25 tháng 4 đến ngày 5 tháng 8 năm 2020, một tin tặc đã lấy cắp thông tin cá nhân (tên, địa chỉ email, số điện thoại, địa chỉ thanh toán và giao hàng) và thông tin thẻ tín dụng (số thẻ, CVC, ngày hết hạn) được nhập vào các trang web này khi mua hàng.

Trong một vụ kiện tập thể chống lại WMG sau khi vụ việc xảy ra, các  nguyên đơn đã viết  “Việc vi phạm này được cho là đã diễn ra mà không bị phát hiện trong hơn ba tháng chứng tỏ Warner Media Group đã thiếu cẩn trọng để đảm bảo an toàn thông tin cho khách hàng của mình”. Bài học xương máu mà WMG rút ra từ vụ việc là khả năng tìm kiếm và tình báo mối đe dọa mới nhất có thể đã phát hiện ra vấn đề nhanh hơn hoặc thậm chí ngăn chặn trước. Và điều tra về mối đe dọa dựa trên số liệu nâng cao là chìa khóa để rút ngắn thời gian khắc phục.

6. Hồ sơ đăng ký tài khoản người dùng của Spotify bị tiết lộ

Vào tháng 12 năm 2020, Spotify thông báo rằng một số lượng hồ sơ đăng ký tài khoản bảo mật đã vô tình bị tiết lộ cho các đối tác kinh doanh của Spotify. Thông tin người dùng nhạy cảm mà họ có thể có quyền truy cập bao gồm địa chỉ email, tên hiển thị ưu tiên, mật khẩu, giới tính và ngày sinh. Vi phạm xảy ra do một lỗ hổng trong hệ thống bảo mật trên nền tảng đám mây đã bắt đầu từ tháng 4 nhưng mãi đến tháng 11 mới bị phát hiện.

Quét tự động và kiểm tra thâm nhập thường xuyên có thể giúp xác định các loại điểm yếu này của hệ thống và có thể ngăn chặn vi phạm. Giữ an toàn cho các tài sản đám mây không chỉ là thách thức của riêng Spotify. Trong số 300 CISO của Mỹ đã tham gia  cuộc khảo sát IDC Cloud Security vào tháng 6 năm 2020, các mối quan tâm hàng đầu đối với môi trường sản xuất đám mây là bảo mật bị cấu hình sai (67%), thiếu khả năng hiển thị khi truy cập các hoạt động và cài đặt (64%) cũng như lỗi quản lý danh tính và truy cập (IAM) (61%). Các ưu tiên bảo mật cloud hàng đầu của họ là giám sát tuân thủ (78%), ủy quyền và quản lý quyền (75%) và quản lý cấu hình bảo mật (73%). Trước những thách thức và ưu tiên này, các doanh nghiệp đang tìm kiếm các bên thứ ba là  nhà cung dịch vụ cấp bảo mật để bổ sung các công cụ và dịch vụ cho các nhà cung cấp đám mây của họ, cũng như cung cấp các giải pháp bảo mật trên nền tảng đám mây tự động và nhất quán.

7. Sử dụng giải pháp bảo mật Cloud toàn diện Check Point Infinity

Check Point Infinity
Check Point Infinity

Bảo mật Cloud toàn diện với Check Point Infinity là một giải pháp bảo mật toàn diện với một kiến trúc hợp nhất, giúp giám sát và vận hành đầy đủ một hệ thống bảo mật cho doanh nghiệp từ Cloud đến Network, Endpoint và cả các thiết bị IoT/Mobile.

CheckPoint Infinity đem đến một khái niệm quản trị tập trung mới, nhiều ưu điểm vượt trội và giúp đơn giản hóa quá trình vận hành các giải pháp bảo mật khác nhau trên cùng một giải pháp quản lý tập trung.

Dựa vào đó người vận hành và quản trị hệ thống bảo mật dễ dàng thấy rõ được bức tranh tổng thể về các rủi ro an toàn thông tin trong doanh nghiệp và mức độ an toàn và khả năng phòng vệ chủ động hơn đáp ứng được kỉ nguyên an ninh mạng trong thời kì 4.0.ổng

Trên đây là một số các thông tin mà Mi2 muốn chia sẻ về bảo mật trên nền tảng đám mây, hy vọng bài viết giúp các nhà quản trị dữ liệu có cái nhìn tổng quát hơn về vai trò, cũng như ảnh hưởng của việc bảo mật thông tin bên trong doanh nghiệp.

BÌNH CHỌN:

Hãy bình chọn 5 sao nếu bạn thấy nội dung hữu ích

Xếp hạng 0 / 5. Số phiếu 0

 
 

Privacy Preference Center