一、事件描述

事情發(fā)生的太突然，美國媒體也毫不留情的報(bào)道，說到嚴(yán)重性，yahoo泄露的30億用戶數(shù)據(jù)，也就是黑客拿來撞撞庫而已，電子郵件詐騙(成功概率比較低)。這次公告的泄密內(nèi)容包含：姓名、郵寄地址、手機(jī)號(hào)(詐騙)、email、護(hù)照號(hào)(偽造)、SPG俱樂部賬號(hào)、出生日期、到達(dá)和離去的時(shí)間(查出軌)、支付卡信息、cvv號(hào)(請(qǐng)注意國外信用卡都是沒有密碼的，知道cvv通過偽造卡就可以直接刷的)。這全球5億賬號(hào)價(jià)值很高。還有一點(diǎn)，公告當(dāng)中還強(qiáng)調(diào)支付卡號(hào)、cvv是用AES-128做的加密、需要兩項(xiàng)密鑰才能打開，但是他沒有提及流動(dòng)的數(shù)據(jù)如何加密的。

就像漏洞一樣，我們已經(jīng)把這次數(shù)據(jù)泄露安全事件定級(jí)為最高等級(jí)。所以我們有必要分析一下，數(shù)據(jù)是如何被泄密以及針對(duì)ToB企業(yè)如何防范泄密。

二、IT基礎(chǔ)架構(gòu)調(diào)查

由于目前還沒有更多的技術(shù)細(xì)節(jié)曝光，我們先假定由外部黑客入侵導(dǎo)致數(shù)據(jù)泄露的場(chǎng)景做應(yīng)急響應(yīng)分析。在做具體安全事件調(diào)查之前，我們要先了解一下萬豪的IT基礎(chǔ)架構(gòu)。通過簡單的測(cè)試和vmware官網(wǎng)宣傳資料(萬豪客戶案例)，我們了解到了以下信息：

1. 網(wǎng)絡(luò)與安全

Akamai至少使用了以下產(chǎn)品：

• CDN
• DDoS Protection
• CloudWAF (主站輸入xss簡單測(cè)試，被攔截)

2. IT基礎(chǔ)架構(gòu)

私有云-VMWare：

• VMware NSX 簡化私有云網(wǎng)絡(luò)管理，實(shí)現(xiàn)更高級(jí)別的安全性(估計(jì)開了分布式防火墻、安全組、ACL等安全措施)
• VMware Horizon Air 虛擬桌面和應(yīng)用程序
• VMware AirWatch EMM管理套件，主要是針對(duì)萬豪手機(jī)App做加速安全管理等。
• VMware Cloud Foundation / VMware vSphere Hypervisor IaaS虛擬化管理

公有云-IBM softlayer：

• Infrastructure-as-a-Service，提供彈性伸縮的計(jì)算、網(wǎng)路等資源調(diào)度。
• 托管DevOps服務(wù)，軟件開發(fā)上線在公有云上
• Big Insights IBM分析軟件

混合云管理：

• 通過VPN、或者CASB(Cloud Access Security Brokers)等登陸管理。

3. 軟件架構(gòu)

• PMS酒店管理系統(tǒng)：opera
• CRS：中央預(yù)訂系統(tǒng)，自己開發(fā)
• 辦公電腦殺毒軟件SEP(Symantec)

4. 數(shù)據(jù)安全

• KMS
• HSM(根據(jù)公告描述，應(yīng)該使用了硬件加密機(jī)或者軟件加密系統(tǒng))
• 數(shù)
• 據(jù)庫審計(jì)(發(fā)現(xiàn)異常告警)

5. 整體架構(gòu)圖

三、如何防范數(shù)據(jù)泄露?

通過上面的分析大家基本上了解萬豪的IT基礎(chǔ)架構(gòu)、防入侵架構(gòu)和基本的數(shù)據(jù)安全。但是為什么還被入侵呢?

我們有了DLP、KMS/HSM、數(shù)據(jù)庫審計(jì)，怎么到頭來數(shù)據(jù)還是被入侵泄露呢?個(gè)人理解原因有以下幾個(gè)方面：

• 公司沒對(duì)信息安全建設(shè)特別是數(shù)據(jù)安全重視程度，提升到應(yīng)有的高度，因?yàn)閿?shù)據(jù)泄露會(huì)影響公司的公信力，股票會(huì)大跌。
• 做信息安全切記不是為了過合規(guī)而做合規(guī)，PCI-DSS確實(shí)要求存儲(chǔ)的金融數(shù)據(jù)(信用卡)要加密。(注意：靜態(tài)加密)
• 入侵檢測(cè)沒有專業(yè)的公司或者有專業(yè)的軟件(態(tài)勢(shì)感知系統(tǒng)-數(shù)據(jù)安全部分)處理。酒店行業(yè)目前還沒看到有什么專家改變行業(yè)的安全現(xiàn)狀。

從現(xiàn)有的資料分析，我們發(fā)現(xiàn)一個(gè)嚴(yán)重的問題，落盤的數(shù)據(jù)，靜態(tài)加密已經(jīng)做的很好了。但是大家有沒有考慮過業(yè)務(wù)系統(tǒng)在數(shù)據(jù)處理的時(shí)候是要解密敏感數(shù)據(jù)，所以數(shù)據(jù)在流動(dòng)的過程中，很有可能被黑客竊取。

我們防御的整體思路如下：

1. 尋找敏感數(shù)據(jù)

• 自定義，由用戶的業(yè)務(wù)人員對(duì)數(shù)據(jù)進(jìn)行分級(jí)
• 利用AI技術(shù)對(duì)現(xiàn)有數(shù)據(jù)掃描做分類，最簡單分為涉密、不涉密兩類

2. 數(shù)據(jù)訪問關(guān)聯(lián)到人

• 任何一個(gè)可以接觸到敏感數(shù)據(jù)的人都要監(jiān)控起來
• 對(duì)全網(wǎng)做30天的數(shù)據(jù)訪問做風(fēng)險(xiǎn)評(píng)估，看看數(shù)據(jù)是如何使用，并且數(shù)字化。

3. 做好業(yè)務(wù)API調(diào)用審計(jì)

• 不僅僅是只在數(shù)據(jù)庫審計(jì)那邊做API調(diào)用審計(jì)，針對(duì)所有API做審查，因?yàn)檫@些接口很有可能是流動(dòng)者解密后的敏感數(shù)據(jù)

4. 數(shù)據(jù)安全態(tài)勢(shì)感知

• 對(duì)所有基礎(chǔ)安全數(shù)據(jù)做關(guān)聯(lián)分析，包括黑客入侵檢測(cè)設(shè)備告警：HIDS、NIDS、EDR、NTA、威脅情報(bào)、沙箱等，數(shù)據(jù)安全相關(guān)的告警：KMS API調(diào)用、數(shù)據(jù)庫審計(jì)日志、業(yè)務(wù)系統(tǒng)API調(diào)用日志，以及在數(shù)據(jù)基礎(chǔ)建設(shè)和做的機(jī)器學(xué)習(xí)分析告警結(jié)果，都要綜合關(guān)聯(lián)才有可能發(fā)現(xiàn)黑客入侵并且盜用敏感數(shù)據(jù)的蛛絲馬跡。

如何很不幸，你在暗網(wǎng)看到了自己的數(shù)據(jù)被銷售，那需要做的就是及時(shí)快速的分析，做到GDPR要求的72小時(shí)數(shù)據(jù)泄露披露。把損失降到最小。