雖然很多遭泄露的源代碼已由其原始開發(fā)人員公開發(fā)布��,或在很久以前進行了最后更新,且Kottmann也應部分企業(yè)的要求刪除了代碼���,但仍有部分源代碼存在硬編碼憑證���,能夠被不法分子用來創(chuàng)建后門程序,從而發(fā)動更加強大的惡意攻擊����。
不少安全專家將此次事件定義為有史以來最大范圍的一次源代碼泄露事件����,并表示:“在互聯網上失去對源代碼的控制�����,就像把銀行的設計圖交給搶劫犯一樣����?����!?/p>
象征“產品生命線”的源代碼�����,為何被泄露�����?
源代碼指的是編寫的最原始程序的代碼��,主要對象是面向開發(fā)者。而人們平常使用的應用程序都是經過源碼編譯打包以后發(fā)布呈現的��。
對于一家企業(yè)來說�����,旗下產品的源代碼就相當于產品的生命線���。如果產品的源代碼被其他開發(fā)者所掌握���,除了能將產品完美“復刻”外,還可以通過閱讀源代碼的方式找到程序中存在的漏洞從而發(fā)起攻擊��。所以每當有源代碼被公開�,都將為企業(yè)帶來巨大的損失。盡管開發(fā)團隊還在加緊排查此次源代碼外泄的主要原因���,但有技術人員指出��,目前有不少企業(yè)所使用的DevOps工具中存在配置錯誤����、配置不當的情況�����,會導致源代碼或其他重要數據泄露。
作為一款云原生����、API所驅動的開發(fā)工具,DevOps憑借高效���、便捷�����、可靠等優(yōu)勢�,被云上企業(yè)廣泛應用于業(yè)務開發(fā)和部署的過程中�����。但由于企業(yè)缺乏對異常API調用�����、SecretKey泄漏等云原生安全問題的檢測手段����,加上研發(fā)人員不當配置的因素,導致企業(yè)的源代碼面臨泄露的風險�����。
今年年初�����,某母嬰零售企業(yè)的研發(fā)人員為方便開發(fā)���,把代碼上傳到開源代碼庫-GitHub進行托管�����,其中有部分代碼包含了公有云對象存儲桶的域名��。但因為安全配置不當���,該存儲桶開放了公有的讀寫權限,留下了安全隱患�����。
不法黑客爬取了這段代碼和域名����,并通過域名輕松訪問了該存儲桶�����。不巧的是����,存儲桶內還保存了公有云上數據庫的外網訪問域名以及端口���。同時由于該企業(yè)的云數據庫安全配置不當����,導致端口直接暴露在互聯網上����,不法分子隨即對數據庫進行爆破攻擊,不費吹灰之力就獲得了該企業(yè)的大量數據和源代碼�,給企業(yè)和消費者都造成了嚴重的損失
隨著產業(yè)互聯網發(fā)展的步伐逐步加快��,將有越來越多的企業(yè)在將業(yè)務和數據遷徙至云上的同時�����,將業(yè)務的開發(fā)工具切換成云原生的DevOps,以保證云上業(yè)務的開發(fā)效率并進一步實現自身數字化轉型的目標����。但如果缺乏對于云原生安全問題的檢測和應對手段,企業(yè)就可能因遭到惡意攻擊����,導致核心數據和源代碼被竊取的嚴重后果。
不當云配置成為導致�����,云上安全事件發(fā)生的主要原因
騰訊安全在7月舉辦的“產業(yè)安全公開課·云原生專場”中�����,騰訊安全高級工程師耿琛在直播中分享了自己的觀點:實際上安全配置風險是導致云上安全事件發(fā)生的主要原因��,也是云上企業(yè)最容易忽略的安全問題���。
數據顯示�����,大概有42%的云基礎設施存在配置風險����,76%的云上企業(yè)暴露22端口?��!叭绻髽I(yè)的22端口暴露在外�,且存在弱口令的話���,黑客就能夠很輕易的攻陷企業(yè)的云上設施��?!?耿琛表示��。
除了需要關注木馬�、漏洞等傳統安全威脅外,云上企業(yè)還需要具備針對異常API調用�、SecretKey泄露等云原生安全問題的檢測能力和手段。耿琛指出���,現階段黑客組織在攻擊云上業(yè)務和系統的時候����,會嘗試在GitHub這類開源����,對平臺上泄露的密鑰進行抓取。如果企業(yè)的API密鑰泄露�����,那么其云上系統將毫無安全可言���。
構建云原生安全體系����,或是破局之道
盡管本次源代碼大規(guī)模泄露的真正原因還在排查中����,源代碼泄露最終會對哪家企業(yè)造成何種程度的損失我們也無從得知。但本次事件仍為所有云上企業(yè)敲響了警鐘��,不當云配置和缺乏針對云原生安全問題檢測手段����,會成為源代碼或其他核心數據泄露的直接原因。
隨著我國企業(yè)數字化轉型進程的不斷加速�����,未來將會有更多企業(yè)遷移至云上,但傳統安全體系不僅無法適應云上環(huán)境����,更缺乏對云原生安全問題的應對手段。對此���,耿琛建議企業(yè)應該以云原生的思路構建云的安全體系來應對云環(huán)境中的安全問題���,而不是簡單的將傳統安全體系搬到云上。
“依照我們的實踐經驗�,構建云原生安全運營體系需要云原生為中心,以安全左移�����、數據驅動及自動化為基本支撐�����?�!惫㈣”硎?��,企業(yè)如果想要避免因不當云配置或云原生安全問題造成損失����,最重要的就是安全左移和自動化這兩點�。
安全左移,指的是云原生安全運營體系首先應該具備事前感知安全威脅和配置風險檢查能力�����,以構建安全預防體系的方式提升整體安全水平���;而自動化則要求云原生安全運營體系需要具備對云原生安全問題自動檢測����、響應和處置的能力�。
但是對于中小型企業(yè)來說,自行搭建云原生安全運營體系的難度較大�����,可以使用市面上較為成熟的安全產品���。例如騰訊安全運營中心就可以通過自動化配置檢查功能對云上配置風險進行自動化識別和評估���,幫助企業(yè)杜絕不當云配置所帶來的安全隱患���。
此外,針對SecretKey泄露及異常API調用等云原生安全問題���,騰訊安全運營中心中集成的Cloud UBA架構和泄露監(jiān)測模塊����,會保持對用戶異常行為和網絡黑市的檢測����,減少因密鑰泄露而導致的安全事故。
