来自 网络 2021-06-10 13:13 的文章

免备案高防cdn_阿里云盾_限时优惠

免备案高防cdn_阿里云盾_限时优惠

将此共享按钮添加到FaceBookShare到TwitterTwitterShare到LinkedInLinkedInShare到电子邮件2017年11月30日出版作者Oleg Kolesnikov,Securonix威胁研究团队介绍就在大约一周前,我们获悉了一次新的网络攻击,这次涉及领先的共享应用程序和公司Uber。Uber透露,它向黑客支付了10万美元,以便他们删除从Uber数据存储中窃取的敏感数据。这些黑客未经授权访问了Uber软件工程师使用的GitHub私人存储库,然后使用该存储库中的凭证访问AWS上的Uber数据存储实例。这是一个正在进行的工作总结,总结了我们目前所知道的情况,以及我们对一些可能的缓解措施和Securonix预测指标的建议,这些指标可用于检测这种攻击以及这种攻击的潜在未来变体。图1:Uber Github存储库源代码凭据示例总结——TL;DR据《黑客2》报道,上周"黑客事件"的细节并不明显,也就是说,Uber在源代码中泄露的Amazon AWS S3凭证在github上可用,然后被攻击者用来从Uber的Amazon AWS S3帐户窃取敏感数据。尽管如此,黑客攻击还是产生了相对重大的影响。你需要知道的是:影响:2016年10月,5000万优步客户和700万优步司机的个人识别信息(PII)被曝光,cc防御软件都有哪些,这是此次攻击的一部分。暴露的数据包括姓名、电子邮件地址、电话号码和大约60万个驾照号码。随后,优步秘密向肇事者支付了10万美元,让他们保持沉默,并删除被盗的用户数据。2017年11月21日,优步公开报道了这起黑客攻击事件。渗透向量:根据Uber的说法,使用的主要攻击向量涉及Amazon AWS S3凭证,这些凭证被攻击者暴露在Uber github存储库中,随后用于访问包含敏感数据的Amazon AWS S3存储帐户。有一些未经证实的报告称,使用的存储库是一个私有存储库。2014年5月,Uber也经历了类似的安全事件,其中一名对手使用github发布的访问密钥访问Amazon AWS S3数据存储,影响了超过10万名Uber驱动程序的敏感数据。去年8月,优步同意进行20年的隐私审计,以解决联邦贸易委员会(FTC)有关2014年事件的数据处理不当调查。Other/GDPR:虽然Uber可能因美国的这一违规行为而被罚款的金额可能会相当有限,dnspod防御ddos,但值得一提的是,欧盟的通用数据保护条例(GDPR)将于2018年5月生效,其对处理个人数据的公司的影响将是巨大的。根据该规定,优步在欧盟面临的违约金估计为6.5亿美元(占其2016年65亿美元收入数字的4%),多少cc的防御,并有72小时的强制披露窗口。图2:Github repo中标识的AWS/自定义凭据示例Uber攻击/数据泄露-观察结果/工件声名狼藉的MITRE CWE-798,或硬编码凭证的使用,经常涉及到源代码存储库/版本控制系统(VCS)凭证泄漏,多年来一直是SANS最危险的25个软件错误之一。尽管如此,我们仍然看到这一问题影响到企业,最近的一次是Uber,并导致重大违规行为,暴露了重要的客户数据。如图1和图2所示,攻击者很容易从包括Uber在内的不同组织的github存储库中获取泄露的凭证,并且有许多自动化工具可用于此目的,包括上图[5]中所示的truffllehog工具。到目前为止,除了Uber[7,3],这个问题还影响了其他一些个人和组织。访问包含Uber攻击者使用的敏感信息的相应Amazon S3存储桶也非常简单,可以使用github源代码泄漏的信息或使用简单的AWS S3 bucket bruteforce工具(如lazys3)来完成图3:扫描其他Github存储库中的凭证–Lyft净网络是,通过开发人员在github等代码存储库中发布的AWS证书,然后访问不安全的AWS S3存储桶,这仍然是一个令人不安的趋势。预防-塞库洛尼建议以下是Securonix的一些建议,有助于防止、检测和减轻组织内部的此类违规行为:使用工具防止将敏感信息提交到github存储库中,防御cc的软件,例如git机密-https://github.com/awslates/git-secrets使用钩子/API来检测例如拉取请求,并检查是否有泄露的凭证/机密,即回购主管-https://github.com/michenriksen/gitrob或者吉特霍恩-https://github.com/ezekg/git-hound定期扫描您的组织可能公开的凭据,例如使用truffleHog实用程序并删除/重置受影响的凭据:$卷曲-shttps://api.github.com/orgs//回购\?每页\=200 | grep clone|url | awk-F''''{print$4}'| xargs-n1-p4 truflehog–regex–entropy=False检查与存储库中通常泄漏的凭据相关联的regex模式。例如:"内部子域":重新编译("([a-z0-9]+[.]*supersecretinternal[.]com)","松弛令牌":重新编译('(xox[p | b | o | a]-[0-9]{12}-[0-9]{12}-[a-z0-9]{32})',"RSA私钥":重新编译('-–开始RSA私钥-–'),"Facebook Oauth":重新编译('[f | f][a | a][c | e][b | o][o | o][k][k].[\'|"]][0-9a-f]{32}[\'|"]'),"Twitter Oauth":重新编译('[t | t][w | i | i][t | t][t | e][r | r].[\'|"][0-9a-zA-Z]{35,44}[\'|"]'),"谷歌Oauth":重新编译('("客户机密码":"[a-zA-Z0-9-{24}")),"AWS API密钥":重新编译('AKIA[0-9A-Z]{16}'),#[a | a][w | s].*AKIA[0-9A-Z]{16}'),"Heroku API密钥":重新编译('[h | h][e|e][r|r][o|o][k|u][u].[0-9A-F]{8}-[0-9A-F]{4}-[0-9A-F]{4}-[0-9A-F]{12}'),"一般机密":重新编译('[s | s][e | e][c | c][r | r][e|e][t|t].[\'|"][0-9a-zA-Z]{32,45}[\'|"]')看到了吗https://github.com/dxa4481/truflehog更多细节。遵循有关从存储库中删除敏感数据的Github建议,例如使用git filter branch和BFG Repo Cleaner从Github历史记录中删除不需要的/敏感数据,包括凭据[4]。遵守云提供商的IAM最佳实践。对于亚马逊IAM:授予最低特权定期轮换安全凭证创建并使用IAM用户而不是根帐户为特权用户启用多因素身份验证(MFA)使用策略条件进一步限制特权访问等等(详见[6])使用github-dorks,主动搜索源代码库中可能暴露给攻击者的敏感信息(参见https://github.com/techgaun/github-dorks更多详情/自动化):假设某些凭证迟早会在源代码中泄露=>对您的AWS日志/数据源执行行为分析,以识别可能与泄漏凭证相关的异常情况(见下文);检测–Securonix行为分析/安全分析1.1推荐数据源为了使您能够涵盖Uber漏洞中涉及github到AWS攻击路径的一些关键向量,建议考虑的一些数据源包括:#1–CLO–云服务/警报日志,ddos防御为什么那么贵,例如Amazon AWS CloudTrail/CloudWatch/Macie、EC2、IAM、S3访问等。#2–WEB–WEB服务器日志(Apache Tomcat、Webserver/IIS等);#3–SSH–Sshd访问日志,如用于git/repo活动;#4–OCU–与开发活动/签入/签出/拉入等相关的其他/自定义日志。1.2条。相关高级行为分析/预测指标的一些示例以下是一些相关的Securonix行为分析/预测指标的高级示例,这些指标旨在提高与违规行为相关的恶意活动的早期检测机会,类似于影响Uber的违规行为:#1–可疑云活动(AWS S3和EC2)Bucket分析的可疑云活动峰值AWS S3增加可疑云活动罕见的AWS S3源地址用于Bucket分析可疑云活动罕见的AWS S3操作用于Bucket分析可疑云活动罕见的AWS S3访问用户代理用于Bucket分析可疑云活动日AWS S3访问桶分析AccessKeyId分析的可疑云活动峰值AWS EC2 StartInstances增加等。#2–可疑的Web服务器活动(Apache软件版本控制系统(AS/VCS))可疑的Apache软件版本控制系统活动峰值检出/克隆增加供用户分析可疑的Apache软件版本控制系统活动日检查/克隆供用户分析可疑的Apache软件版本控制系统活动罕见的签出/克隆源IP地址供用户分析等。必须记住,根据软件版本控制系统和组织使用的云基础设施(如Microsoft Azure、Slack tokens、Google OAUTH等),还需要考虑许多其他攻击向量和日志源/数据源。工具书类[1] 杰里米·卡恩。Uber Hack显示了软件代码共享服务的漏洞。2017年11月22日。https://www.bloomberg.com/news/articles/2017-11-22/uber-hack-shows-vulnerability-of-software-code-sharing-services。上次访问时间:2017年11月28日。[2] 达拉·科斯洛沙希。Uber 2016数据安全事件。2017年11月21日。https://www.uber.com/newsroom/2016数据事件/。上次访问时间:2017年11月28日。[3] 达伦·保利。Dev把AWS密钥放在Github上。然后坏事发生了。2015年1月6日。https://www.theregister.co.uk/2015/01/06/dev_blunder_显示了使用_keysluring_bots/的_github_crawling_。上次访问时间:2017年11月28日。[