近日,Imperva证实其云端防火墙产品Cloud Web Application Firewall(Cloud WAF)出现了用户数据外泄事件,导致部分用户的电子邮件帐号、加盐的杂凑密码、API密钥,甚至用户的SSL证书,不过已采取必要措施防止影响进一步扩大。
资料显示,Imperva是全球新型数据应用安全的技术领导者之一,其提供的数据库安全和审计解决方案,可为用户解决这一重要问题。而Cloud WAF的前身为Imperva在2015年买下的Incapsula,它是个云端防火墙服务,主要可对抗任何已知或未知的威胁,它允许用户自订规则,也提供机器人控制、帐号接管保护、后门保护与双因素身份认证等功能。
该公司将此安全漏洞归咎于Amazon Web Services(AWS)API密钥,该密钥是黑客从内部系统窃取的,而该内部系统仍然可以从Internet访问。
事后分析有点令人费解,但是我们在以下列表中总结了导致Imperva漏洞的一系列事件:
Imperva表示其在2017年经历了一段业务增长期。
结果,该公司开始采用云技术来扩展其业务和基础架构。
Imperva决定评估AWS的关系数据库服务(RDS)以扩展其用户数据库。
该公司将其客户数据库的快照上传到测试的AWS RDS实例。
但是在一次不相关的事件中,该公司保留了一个可从互联网访问的内部系统。
此内部系统存储了公司的AWS API密钥的副本。
黑客发现此服务器(称为“计算实例”)并偷走了API密钥。
黑客使用AWS API密钥访问Imperva的云基础架构,在那里他找到了该公司用于测试的AWS RDS服务。
Imperva并未提供上述事件的确切日期,因此我们还不知道黑客访问了Imperva的服务器有多少时间。
但是,该公司表示,在2018年10月的某个时候,入侵者开始下载他们在AWS RDS账户上上传的数据库快照的副本。
Imperva首席执行官克里斯·海伦(Chris Hylen)表示,几个月后,他们在2019年8月20日获悉黑客攻击事件,当时第三方与该公司联系,提供了被盗数据的副本,然后要求提供漏洞赏金。
该公司没有说这个第三方是合法的安全研究人员,还是黑客试图从他之前入侵的公司那里获得奖励。
在8月份的博客文章中,Imperva还没有透露受影响的用户数量。
Imperva首席执行官表示,在公司通知受影响的客户此安全漏洞后,客户更改了13,000个密码,旋转了13,500多个SSL证书,并重新生成了1,400多个Imperva API密钥。
只有在2017年9月15日之前与Imperva注册的客户才会受到影响-因为那是该公司上载到其AWS RDS测试帐户的数据库快照的日期。
Imperva表示,今天再也不会发生这种违规行为,因为在默认情况下,它们会将所有内部计算实例默认情况下移到VPN后面,这是与违规无关的安全升级。
尽管如此,该公司现在还是一长串的公司,这些公司的客户数据由于互联网上内部系统的意外暴露而被盗。
如何保护密钥安全?
密钥直接影响服务器安全,保护密钥的安全应该是企业的优先事项。企业应清楚企业拥有多少密钥和证书以及它们所在的位置和用途,针对各类网站、移动应用的密钥进行安全规范的管理,采取足够的安全措施、配合安全管理措施和技术手段、落实管理责任、制定应急响应措施,从而有效地防止密钥泄露。比如:
• 使用最小权限原则:对系统和网络的访问实施多因素身份验证;除了必要的网络端口之外,阻止其他所有网络端口;安装所有可用的安全更新并运行防病毒扫描程序。
• 密钥存储在安全的加密硬件设备中:密钥存储在通用计算机上容易受到攻击,加密的硬件设备不易受到攻击,并受到大多数重要应用程序的信任。
• 监控密钥和证书可信度并修复任何安全漏洞,使攻击者很难控制计算机系统和网络。
• 为密钥设置复杂的保护密码。
在互联互通的全球数字经济背景下,数据是企业最重要的战略资产。只有提升对数据价值的认识,对数据存储、使用和管理的方式予以高度重视并将其置于企业战略的核心,同时建立有效的数据保护策略,方能保障企业安全。
图片来自网络