ตุลาคม 28, 2022
โดย Thyaga Vasudevan - VP of Product Management, Skyhigh Security
เรียกว่า "BlueBleed" การละเมิดล่าสุดของ Microsoft ที่ค้นพบโดยผู้ให้บริการข่าวกรองภัยคุกคาม SOCRadar ให้ความกระจ่างเกี่ยวกับความเสี่ยงของที่เก็บข้อมูลบนคลาวด์ที่กําหนดค่าไม่ถูกต้อง และแสดงให้เห็นว่าบริษัทต่างๆ ไม่สามารถพึ่งพาผู้ให้บริการคลาวด์ (CSP) โดยสิ้นเชิงในการจัดหาและรับผิดชอบต่อการรับประกันความปลอดภัย ข้อผิดพลาดในการกําหนดค่าผิดพลาดยังคงเป็นสาเหตุของการละเมิด ตามรายงานการตรวจสอบการละเมิดข้อมูลของ Verizon 2022 ซึ่งแสดงให้เห็นว่าเป็นสาเหตุของการละเมิด 13% ของปีที่ผ่านมา เนื่องจากการกําหนดค่าที่ไม่ถูกต้องเป็นผลมาจากความผิดพลาดของมนุษย์ จึงควรสันนิษฐานว่าไม่มี CSP ใดที่ปลอดภัยทั้งหมด
เกิดอะไรขึ้น
ในการตอบสนองเมื่อวันที่ 19 ตุลาคม Microsoft Security Response Center (MSRC) กล่าวว่ามี "การกําหนดค่าผิดพลาดโดยไม่ได้ตั้งใจ" ซึ่งนําไปสู่ "ศักยภาพในการเข้าถึงข้อมูลลูกค้าโดยไม่ผ่านการรับรองความถูกต้อง" ซึ่งองค์กรกล่าวว่ามี "ชื่อ ที่อยู่อีเมล เนื้อหาอีเมล ชื่อบริษัท และหมายเลขโทรศัพท์ และอาจรวมไฟล์ที่แนบมาที่เกี่ยวข้องกับธุรกิจระหว่างลูกค้าและ Microsoft หรือคู่ค้าที่ได้รับอนุญาตของ Microsoft" MSRC ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับจํานวนบริษัทที่ได้รับผลกระทบและเห็นได้ชัดว่ามองข้ามเหตุการณ์ดังกล่าว
จากข้อมูลของ SOCRadar ในการติดตามโพสต์ต้นฉบับในวันถัดไปการละเมิดเกี่ยวข้องกับถังคลาวด์ขนาดใหญ่หกถังซึ่งประกอบด้วยข้อมูลที่ละเอียดอ่อนของ บริษัท 150,000 แห่งใน 123 ประเทศ บัคเก็ตที่ใหญ่ที่สุดที่กําหนดค่าไม่ถูกต้องมีข้อมูล 2.4 TB ที่เป็นของเอนทิตี 65,000 แห่งใน 111 ประเทศ
เมื่อวันที่ 20 ตุลาคม Kevin Beaumont นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงรายงานว่าบัคเก็ตของ Microsoft ได้รับการจัดทําดัชนีสาธารณะและสามารถอ่านได้เป็นเวลาหลายเดือนโดยบริการต่างๆ เช่น Grayhat Warfare เขาอ้างว่าคําแถลงอย่างเป็นทางการของ MSRC แสดงให้เห็นว่า "ไม่รู้ว่าการรักษาความปลอดภัยทางไซเบอร์ทํางานอย่างไรในโลกแห่งความเป็นจริง" และความล้มเหลวที่ชัดเจนในการแจ้งหน่วยงานกํากับดูแลและการปฏิเสธที่จะบอกลูกค้าว่าข้อมูลใดที่ถูกนํามานั้นมี "จุดเด่นของการตอบสนองที่ไม่เรียบร้อยที่สําคัญ"
บทความเมื่อวันที่ 21 ตุลาคมโดย The Hacker News รายงานว่า: "ไม่มีหลักฐานว่าผู้คุกคามเข้าถึงข้อมูลอย่างไม่เหมาะสมก่อนที่จะมีการเปิดเผย" แต่กล่าวต่อไปว่าการรั่วไหลดังกล่าวสามารถใช้ประโยชน์เพื่อวัตถุประสงค์ที่เป็นอันตรายได้
ทําไมมันถึงสําคัญ
ข้อมูลที่รั่วไหลอาจรวมถึงข้อมูลที่ละเอียดอ่อนบางอย่างเกี่ยวกับโครงสร้างพื้นฐานและการกําหนดค่าเครือข่ายของลูกค้าของ Microsoft และผู้มีโอกาสเป็นลูกค้า แฮกเกอร์ที่กําลังมองหาช่องโหว่ในโครงสร้างพื้นฐานขององค์กรที่ได้รับผลกระทบอาจพบว่าข้อมูลนี้มีค่าและสามารถใช้เพื่อใช้ประโยชน์จากเครือข่ายของตนได้
คุณสามารถทําอะไรกับมันได้บ้าง
เริ่มต้นด้วยการตระหนักว่า CSP มีศักยภาพในการเพิ่มพื้นที่การโจมตีขององค์กรของคุณ คุณควรตรวจสอบข้อตกลงระดับการให้บริการ (SLA) กับ CSP ของคุณอย่างรอบคอบเพื่อทําความเข้าใจว่าใครเป็นผู้รับผิดชอบอะไรและเพื่อชี้แจงความรับผิดชอบของแต่ละฝ่าย โดยทั่วไปจะระบุไว้ใน Shared Responsibility Model ซึ่งเป็นเฟรมเวิร์กความปลอดภัยและการปฏิบัติตามข้อกําหนดที่แบ่งความรับผิดชอบด้านความปลอดภัยสําหรับทุกแง่มุมของสภาพแวดล้อมระบบคลาวด์ ซึ่งรวมถึงฮาร์ดแวร์โครงสร้างพื้นฐานปลายทางข้อมูลการกําหนดค่าการตั้งค่าระบบปฏิบัติการการควบคุมเครือข่ายและสิทธิ์การเข้าถึง ในทางปฏิบัติ ทั้ง CSP และลูกค้ามีบทบาทในการรับรองความปลอดภัย แต่มีทรัพย์สินบางอย่างที่ฝ่ายหนึ่งมีอํานาจควบคุมโดยตรงและรับผิดชอบอย่างเต็มที่ เนื่องจากอีกฝ่ายหนึ่งจะไม่สามารถมองเห็นทรัพย์สินเหล่านั้นได้ รูปแบบการรักษาความปลอดภัยที่ใช้ร่วมกันนี้มีความซับซ้อน แต่ให้ประโยชน์ของประสิทธิภาพการป้องกันที่เพิ่มขึ้นและความเชี่ยวชาญ
งานและฟังก์ชันด้านความปลอดภัยจะแตกต่างกันไปตามรูปแบบการให้บริการคลาวด์: Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) หรือ Infrastructure-as-a-Service (IaaS) แม้ว่าสภาพแวดล้อม IaaS และ PaaS จะช่วยให้ลูกค้ามีทางเลือกและความยืดหยุ่นมากขึ้น แต่ก็มีความเสี่ยงด้านความปลอดภัยมากขึ้นหากไม่ได้กําหนดค่าอย่างเหมาะสม
จากข้อมูลของ Cloud-Native: The Infrastructure-as-a-Service Adoption and Risk Report พบว่า 99% ของการกําหนดค่า IaaS ผิดพลาดไม่มีใครสังเกตเห็นSecurity Service Edge(SSE) ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยตรวจจับการกําหนดค่าที่มีความเสี่ยงก่อนที่จะกลายเป็นภัยคุกคามในการผลิต ด้วยการเน้นการค้นพบด้านความปลอดภัยก่อนที่จะกลายเป็นเหตุการณ์ด้านความปลอดภัย SSE ยังสามารถช่วยปรับปรุงการปฏิบัติตามกรอบการกํากับดูแลและลดโอกาสที่ข้อมูลจะสูญหายการละเมิดหรือค่าปรับที่เกี่ยวข้องกับการควบคุมความปลอดภัยที่ไม่เหมาะสม
เวลาจะบอกได้ว่าการรั่วไหลของ BlueBleed จะเป็นอย่างไร หากคุณไม่ต้องการเสี่ยงที่จะได้รับผลกระทบจากการละเมิดดังกล่าว Skyhigh'sSecurity Service Edgeเทคโนโลยีสามารถช่วยได้ ความสามารถ CSPM ที่ตระหนักถึงข้อมูลที่เป็นเอกลักษณ์ช่วยให้ลูกค้าสามารถตรวจจับการกําหนดค่าที่ไม่ถูกต้องและช่วยชี้ให้เห็นพื้นที่สําคัญเหล่านั้นในโครงสร้างพื้นฐานคลาวด์สาธารณะที่มีข้อมูลที่ละเอียดอ่อนซึ่งเสี่ยงต่อการรั่วไหลของข้อมูลมากที่สุด
กลับไปที่บล็อก