9月12日,一个与乌克兰有关的威胁组织Fortibitch在勒索谈判失败后,在黑客论坛BreachForums上泄露了Fortinet的440GB数据。
Fortinet是全球第三大网络安全公司,其在当天的声明中证实了此次数据泄露。
未经授权访问SaaS环境
Fortinet本身并未指明泄露的来源。但在9月12日的一份咨询报告中,该公司表示有人“未经授权访问了存储在Fortinet的第三方基于云的共享文件驱动器实例上的有限数量的文件”。
这家全球市值最大的安全供应商之一确认,这一问题影响了其全球超过775,000名客户中的不到0.3%,也就是约2,325家客户。
Fortinet表示,它没有看到围绕被泄露数据的恶意活动迹象。“Fortinet立即执行了客户保护计划,并与客户进行了适当的直接沟通,支持他们的风险缓解计划”。
“该事件未涉及任何数据加密、部署勒索软件或访问Fortinet的企业网络。”Fortinet表示,它预期该事件不会对其运营或财务产生任何重大影响。
威胁组织在黑客论坛上发帖称Fortinet切断了谈判并拒绝支付赎金,Fortinet并未确认或否认黑客是否曾就被盗数据与公司接触。
在威胁情报公司CloudSEK的一份报告中,该公司表示,观察到一名使用Fortibitch别名的威胁行为者泄露了似乎包括客户数据、财务和营销文件、产品信息、印度的人力资源数据和员工数据在内的企业数据。
CloudSEK印证了Fortinet被盗数据并非关键数据的说法。据其推测,如果数据具有任何真正的价值,黑客会首先尝试出售数据,而不是将其公之于众。
黑客的帖子还对Fortinet收购Lacework(云安全初创公司)和NextDLP(云安全网络服务商)进行了一些无上下文的引用。它还提到了一些其他威胁行为者,其中最有趣的是一个被追踪为DC8044的乌克兰组织。
“Fortibitch和DC8044之间没有直接联系,但语气暗示两者之间有历史,”CloudSEK表示,“根据现有信息,我们可以大致确定,威胁行为者位于乌克兰。”
预警:云数据暴露风险
尽管Fortinet的泄露并不太严重,但它提醒了企业组织在使用软件即服务(SaaS)和其他云服务时,缺乏适当的防护措施会加剧数据暴露风险。
信息防泄露软件开发商Metomic最近对约650万个Google Drive文件的扫描显示,超过40%的文件包含敏感数据,包括员工数据和包含密码的电子表格。
通常,组织在Google Drive文件上存储数据时保护措施很少。超过三分之一(34.2%)的扫描文件与外部电子邮件地址共享,超过350,000个文件已被公开共享。
Metomic的首席执行官兼创始人Rich Vibert表示,组织在保护云环境中的数据时会犯三个基本错误:不使用多因素认证(MFA)来控制对SaaS应用的访问;给予员工对应用内部文件夹和敏感资产的过多访问权限;以及存储敏感数据的时间太长。
目前尚不清楚黑客是如何从Fortinet的SharePoint环境中访问数据的。但CloudSEK的威胁情报记者Koushik Pal表示,一个可能的情景是,攻击者通过网络钓鱼等渠道获得了有效的登录凭证,然后登录并从SharePoint和类似环境中窃取数据。Pal指出,信息窃取者也是一个“非常常见”的攻击向量。
重新思考云安全
“通常,开发人员应该使用环境变量、库或加密存储来处理敏感信息,并避免在源代码中硬编码凭据。”Pal表示。
但在实操中,开发人员经常将API密钥、用户名和密码等访问凭据硬编码到源代码中,并无意中将代码推送到公共或未加密的私有存储库,从而使其相对容易地被访问。
“组织应强制实施MFA(多因素身份验证)以访问SharePoint和其他关键系统,以防止凭据泄露后未经授权的访问,”Pal解释道,“定期监控存储库以查找暴露的凭据、敏感数据或配置错误,并在所有团队中实施安全最佳实践。”
Synopsys软件完整性集团的网络安全高级经理Akhil Mittal表示,Fortinet经历的事件表明,组织完全依赖云服务提供商来保护其云资产的安全是一个错误,组织应该重新思考如何在共享驱动器中存储客户数据,确保将关键信息与不太敏感的文件分开。
在传输和静态状态下对敏感数据进行加密也是一个好主意,即使攻击者获得了访问权限,也可以减轻损害。
Mittal认为,持续监控云资产是保护它们的基础。他补充称:“将零信任原则应用于第三方平台也确保了不会自动信任任何外部服务,降低了未经授权访问的风险。”
(来源:赛博研究院)