由于关键云资源配置不当而导致的不幸事件再次浮出水面, 涉及微软人工智能研究人员的重大数据泄露 上周的头条新闻.
由于Wiz Research的不懈努力,这一漏洞引起了公众的注意, 揭示受影响组织内部的关键安全漏洞. 在这次事件中, 微软的人工智能研究团队无意中暴露了惊人的38tb高度敏感的私人数据. 这次巨大的数据泄露涉及范围广泛的机密信息, 包括微软员工的个人电脑备份, 授权访问微软服务的密码, 秘密钥匙和超过30个的惊人收藏,来自359名微软员工的000条内部微软团队消息.
共享访问签名(SAS)令牌配置错误,进一步加剧了这一漏洞的严重性, 无意中为恶意参与者提供了广泛的权限. 因此, 攻击者不仅能够查看所有存储的文件,而且还拥有随意删除和操作现有文件的能力.
SAS令牌,通常用作已签名的url 在Azure存储环境中,旨在促进对数据的控制和粒度访问. 然而, 这一事件清楚地提醒我们,当授予过多权限且有效期没有得到充分控制时,这些令牌会带来固有的安全风险. 在微软的案例中, SAS令牌的有效期过长, 延续到2051年. 另外, 与SAS令牌相关的一个重大挑战是缺乏全面的监控工具, 这使得有效地跟踪它们的发行和使用变得具有挑战性.
那么,我们能从这次事件中吸取什么宝贵的教训呢? 这里有几个值得考虑:
- 需要细致的云配置: 该事件强调了精心配置云资源及其相关工作负载以最大限度地减少安全漏洞的重要性.
- 持续配置审计的重要性: 定期检查和审计云配置对于防止此类事件至关重要. 这些定期评估有助于识别和纠正潜在的安全漏洞.
- 安装自动化保安工具: 自动扫描和监控工具的部署是至关重要的. 这些工具可以迅速检测并减轻错误配置和漏洞, 大大减少了曝光窗口.
- 强大的数据丢失预防(DLP): 实施强大的DLP解决方案对于检测和防止未经授权的数据泄漏或共享至关重要, 从而保护敏感信息.
- 优先考虑端到端加密: 采用端到端加密作为数据保护的基本保障. 加密的数据, 运输中的和静止的, 帮助阻止未经授权的访问, 即使在有漏洞的情况下.
- 数据保留合规性所需的尽职调查: 定义并遵守与相关数据保护法规相一致的数据保留政策. 这种主动的方法确保了合规性并降低了数据暴露风险.
- 合并红队测试: 计划并执行红队演习,作为安全策略的一部分. 这些网络攻击模拟有助于识别可能被恶意行为者利用的漏洞和弱点.
- 考虑一个零信任安全模型: 考虑采用 零信任模型, 它在没有实体或流程的前提下运行, 无论是内部还是外部, 应该是值得信任的. 每个访问请求都经过精心验证,增强了整体安全态势.
总之, 微软意外泄露数据的事件清楚地提醒我们,数据安全面临的威胁无处不在, 即使在大型和复杂的组织中. 通过内化这些重要的经验教训, 组织可以加强他们的防御, 在日益数字化和互联的世界中,降低风险,更好地保护他们的宝贵资产.
