從“萬豪洩露事件”看資料安全整個大環境
11月30日,萬豪國際集團釋出宣告稱,公司旗下喜達屋酒店的一個客房預訂資料庫被黑客入侵,在2018年9月10日或之前曾在該酒店預定的最多約 5億 名客人的資訊或被洩露。從萬豪事件披露的公告中我們可以看到,這是一起資料庫安全事件。此事件直接導致萬豪股價當天下跌 5.59% 。
筆者就此檢索了喜達屋相關的安全事件,發現喜達屋不是第一次出現大規模資料洩露問題。3年前喜達屋已被爆出,因POS惡意軟體入侵,導致旗下 54間 酒店全部客戶資訊洩露。筆者調研酒店業的整體安全情況,發現酒店業整體安全情況普遍不容樂觀,資料洩露事件時有發生。
筆者嘗試從技術角度對此次萬豪洩露事件進行分析,但大量關鍵資訊嚴重缺失,其中夾雜大量的個人推測。希望本文能幫助酒店行業提高安全意識。
事件分析
根據萬豪國際集團釋出的宣告,細讀後挖掘出時間線如下:
根據萬豪國際的公告,此次攻擊至少從2014年開始。而2015年喜達屋被POS惡意軟體入侵的調查報告中,指出POC惡意軟體入侵也是在2014年開始。所以有理由相信2014年喜達屋遭到了有組織的黑客入侵,入侵規模和範圍都比喜達屋2015年發現的更嚴重。同時此次事件爆發後萬豪國際執行長Arne Sorenson表示萬豪目前正在逐漸淘汰喜達屋的系統。這也從側面印證了,或許直到現在喜達屋系統中的後門和木馬也並未被全部發現並清理,為了防止再次發生類似事件,萬豪決定徹底棄用喜達屋整套IT系統。
萬豪是在9月8號發現的未授權訪問資料問題。9月10日就成功阻斷了入侵攻擊。安全專家花了2個多月時間完成對被盜取的加密資料進行溯源工作,並恢復了一部分找到的資料,嘗試給出了可能被盜取資料的範圍。
萬豪國際的公告中明確指出黑客在喜達屋的預訂資料庫中進行了資料的複製和加密工作。2014年黑客很可能已經在資料庫中留有後門。後門可能是一組觸發器和儲存過程構成。黑客的攻擊很可能如下圖所示:
圖中簡單的把喜達屋的IT系統分為了內網和外網兩部分(真實系統遠比這個複雜)。黑客在2014年的攻擊中應該已經入侵到喜達屋的預定系統資料庫。在入侵後在資料庫中植入了後門。這些後門至少包含一個用於重複插入資料的觸發器和一個用於給資料加密的儲存過程。兩者相互配合可以完成黑客在資料庫中複製且加密資料的目的。
圖中綠線是正常使用者的正常操作。正常使用者在訪問喜達屋的訂票系統後,訂票系統經過一系列過程把相關資訊生成一條SQL記錄。SQL記錄錄入到預訂系統資料庫的B表中。但由於之前黑客已經在裡面部署了,用於複製資料的觸發器C和提供加密功能的儲存過程。於是神不知鬼不覺的B表的資料,就被加密後複製到A表中了。黑客就可以不定期的從A表中讀取B表的敏感資料。
圖中紅線是黑客拿取資料的路線。黑客沿著自己打通的內網外系統去訪問資料庫中的表A。結果這次被萬豪的安全工具發現。萬豪的安全工具很可能是基於訪問ip記錄,發現的此次未授權訪問。
此事件中黑客把敏感資料加密,然後傳出,更說明這是個有組織的黑客團體行為。加密敏感資料,可以有效的延長安全審計系統發現敏感資料被盜取的情況。即便被捕獲異常流量,也給分析溯源帶來巨大難度。其次加密敏感資料也有效的防止自身系統被其他黑客組織攻破,而失去敏感資料。這個黑客團體盡最大努力保證這份資料完全在自己的控制下。
黑客動機分析
酒店業的資料盜取事件一直層出不窮。這和酒店業天生對外介面多且業務複雜,給黑客更多入侵的機會有一定關係。但黑客組織一直盯著酒店業資料的主要原因,不是酒店業易於入侵的IT環境,而是酒店業資料中自帶的巨大經濟效益。根據多年對黑客入侵趨勢的研究,如今的黑客攻擊都是以隱匿自己、快速折現為目地。恰好酒店業有一種資料滿足黑客上述要求。
此次萬豪宣告外洩的資料包含:姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶資訊、出生如期、性別、到達與離開資訊、預定日期和通訊偏好、支付卡號和支付卡有效期。包含萬豪在內大部分酒店把安全防護重點放在洩露的支付卡號和支付卡有效期這兩組資料上,但實際上除非黑客只希望用這筆資料掙一次錢,否則絕對不會嘗試盜刷信用卡或出售使用者資料。黑客隱藏了4年才被意外發現,說明黑客之前並未大規模販賣盜取的個人資訊和信用卡資訊。
從2013年開始黑市上的個人資訊質量大幅下降。只有一些小型的黑客團伙還在交易個人資訊。大型黑客團伙已經放棄通過倒賣個人資訊牟利,而是通過對資料的深度挖掘和利用進行牟利。信用卡資訊確實在黑市有很大市場,但一旦盜刷,很快會被使用者發現。加上使用者安全意識的提高、以及銀行的各種措施,很可能盜刷失敗,還會暴露自己。
萬豪公佈的被盜資料中的SPG俱樂部賬號資訊才是黑客盜取的主要目標。酒店為了吸引回頭客一般會給自己的會員提供忠誠度積分。忠誠度積分可以用來進行換住宿、換機票、換購物卡等一系列有價值的商品。忠誠度積分一定會設計成被使用者易於使用。大部分忠誠度積分都是可以從使用者A轉移到使用者B處。
SPG也不例外,SPG的忠誠度積分也可以兌換多種有價值的東西,同時支援積分轉移能力。SPG積分在Dream Market、Olympus and Berlusconi Market等線上黑市都有巨大交易額,在黑市1個SPG積分價格在 5美分左右 (官網價格 35美分 )。獲得SPG俱樂部帳號和使用者電話號後,黑客可以很容易的把使用者的SPG積分轉移出來進行出售。大部分使用者搞不清楚自己具體的積分數量。所以只要黑客對著5億使用者每次只轉移有限的積分,就可以穩定持續的利用SPG忠誠度積分賺錢,而不被發現。
解決之道
此次萬豪安全事件,歸根結底可能是2015年喜達屋未完全清理IT系統木馬後門導致。安全不是簡單的邊界和外網安全,內網安全尤其是資料庫安全更加關鍵。
如果使用適當的安全工具對資料庫定期掃描。應該早就能發現黑客在預訂資料庫中殘留的木馬、後門,也就不會發生現在的5億資料洩露事件。
首先萬豪應該部署具有檢測資料庫中異常包、儲存過程、觸發器、各項引數以及後門的資料庫掃描類工具。這些檢測語句可以幫助使用者早發現早剷除潛在的資料庫木馬和後門。
當然只依賴於資料庫掃描類工具的定期巡檢是遠遠不夠的。掃描類產品能發現的基本屬於已經出現的安全威脅,對未知的安全威脅的探查能力可能不足。想要對未知的安全威脅做防護則需要具備能讀懂SQL語義的資料庫防火牆。如果2014年喜達屋就部署了能讀懂SQL語義的資料庫防火牆相信,就不會被黑客植入木馬或後門。
能讀懂SQL的意思是,基於SQL語法解析,聯絡上下文理解儲存過程或包中是否存在惡意行為。資料庫防火牆能識別所有去向資料庫 觸發器、儲過程中的SQL。通過SQL語法分析器,識別是否存在惡意行為。資料庫防火牆在SQL語法分析器後不是單純的就單句SQL進行行為分析。而是對整個SQL語句包根據上下文環境的SQL行為進行分析。當整個SQL語句包中存在命中安全規則的多個必要點時,則可以判斷該語句包存在惡意行為,會主動阻斷該語句包,並向相關人員進行危險告警。
資料庫防火牆、資料庫漏掃,從不同層面和角度防護資料庫被植入木馬或後門。資料庫防火牆利用SQL分析技術,依託上下文SQL語境,動態抓出存在惡意行為的語句包進行實施攔截。資料庫漏掃依託授權檢測中針對資料庫中異常包、儲存過程、觸發器、各項引數以及後門的檢測語句,進行對已知威脅的檢查,防止資料庫中存在隱患。
他們二者除了可以從不同維度防護針對資料庫的後門或木馬攻擊外,還可以通過相互聯動增強兩者的實力。資料庫防火牆攔截下一個新型隱患,資料庫漏掃則根據這個新型的特徵更新掃描檢測項。一旦資料庫防火牆未發現,但漏掃發現安全隱患,則資料庫防火牆根據隱患特徵更新防護策略。優化已有安全策略,進一步提高防護能力。
那麼,我們借“萬豪資料洩露事件”回望2018年,看看忽略了什麼?又應該重視什麼?
2018年年終將至,對從事資訊保安工作的人來說,讓我們印象更深刻的應該還是2018年一起又一起起轟動全球的“資訊保安事件”:
- 2018年3月,Facebook爆出史上最大規模資料洩露事件,牽出驚天醜聞。扎克伯格一度落下神壇,成為俎上之肉。
- 2018年8月,1.3億身份資料洩露事件將華住酒店集團推上了風口浪尖,當然大家最關心的還是另外一個話題,自己的開房記錄會不會被公開。
- 2018年10月,香港國泰及港龍航空的940萬名客戶資料外洩,事件若牽涉歐洲公民,有可能被歐盟罰款約39億元港幣。
- 2018年11月,RushQL勒索病毒捲土重來。時隔兩年,同一個勒索病毒竟然能把我們這麼多企業擊倒兩次。
- 2018年12月1日,早晨起來第一個爆炸性新聞出爐,萬豪酒店資料庫被入侵,5億人私密資訊或外洩。訊息公佈後,萬豪國際美股股盤前一度大跌逾5%!
自“斯諾登事件”以來,資訊保安對每個個體而言都已經不再陌生,全球的資訊保安事業也可謂如火如荼。以Facebook、萬豪、華數、香港航空等這種體量的全球型公司,在資訊保安方面的投入不會小,但是為什麼“資料洩露”事件頻頻發生,像夢魘一樣時刻糾纏折磨著我們。總結三點原因如下:
1、技術演進催生更多複雜場景,相伴相生更多新問題
隨著雲端計算、大資料等新型IT技術的演進,資料洩露的勢頭不僅沒有止步反而愈演愈烈。尤其在大資料場景下,資料從多個渠道大量匯聚,資料型別、使用者角色和應用需求更加多樣化,訪問控制面臨諸多新的問題。
2、技術突飛猛進,組織、企業的資訊保安意識卻慣之以“落後”
這並非單指使用者吝惜在“資訊保安”上的投入,而是對資訊保安問題心存僥倖,重視結果忽視過程雖然花了大量資金購置“安全產品”,卻往往只是在面臨檢查的時候拿出來用一用,用完了再束之高閣。將安全產品真正使用起來的使用者,太少,太少。
例如,最近又一次爆發的RushQL勒索病毒。早在2016年這種病毒就爆發過一次席捲全球的衝擊波。雖然,檢測手段和解決方案在網路上隨處可見,但時隔兩年,同一個病毒再次爆發,再一次將一大批企業擊倒。安華金和的資料庫防火牆產品,專項增加了這種勒索病毒的防護規則,只要開啟防火牆規則就可以避免這種入侵行為。但事實證明“歷史給人類最大的教訓就是我們從來不從歷史中得到任何教訓”。
3、安全市場亂象,抓不住重點是根本
“資料”是資訊系統的核心資產,而資料庫是“資料資產”的載體。“資料庫安全”理應作為一門獨立的課程,引起使用者的重視。據《2017年全球資料洩露成本研究》報告顯示,早期,惡意攻擊者的目標是業務系統,以導致業務中斷為目的。近年伴隨資料資產價值與日俱增,惡意攻擊者的目標越來越多的指向資料儲存的基礎設施——資料庫系統。換言之,“資料庫安全”是“資料安全”的最後一層底線。如果資料庫被突破,資料安全便無從談起。
在資料庫安全領域,主要包含了資料庫審計、資料庫防火牆、資料庫脫敏、資料庫加密等資料庫安全防護技術。專業的安全企業應當具備安全攻防的研究能力和技術積累,能夠為使用者提供及時有效的安全事件響應,在最短時間內控制洩露規模和態勢,並能夠通過分析攻擊樣本,提供有效的安全加固策略。
最後,站在戰略層面總結資料安全技術保護,要以資料安全治理的技術思路,來踐行中國資訊通訊研究院給出的建議:
- 一是建立覆蓋資料收集、傳輸、儲存、處理、共 享、銷燬全生命週期的安全防護體系,綜合利用資料來源驗證、大規模傳輸加密、非關係型資料庫加密儲存、隱私保護、資料交易安全、資料防洩露、追蹤溯源、資料銷燬等技術,與系統現有信息安全技術設施相結合,建立縱深的防禦體系。
- 二是提升大資料平臺本身的安全防禦能力,引入使用者和元件的身份認證、細粒度的訪問控制、資料操作安全審計、資料脫敏等隱私保護機制,從機制上防止資料的未授權訪問和洩露,同時增加大資料平臺元件配置和執行過程中隱含的安全問題的關注,加強對平臺緊急安全事件的響應能力。
- 三是實現從被動防禦到主動檢測的轉變,藉助大資料分析、人工智慧等技術,實現自動化威脅識別、風險阻斷和攻擊溯源,從源頭上提升大資料安全防禦水平,提升對未知威脅的防禦能力和防禦效率。