原始碼洩露的量級一直在重新整理“史上最大規模”。
據外媒報導,上週包括微軟、Adobe、AMD、任天堂、華為海思、聯想在內、橫跨不同領域的50多家全球知名企業的原始碼遭到洩露,且原始碼遭洩露企業的名單還在不斷增加中。
雖然很多遭洩露的原始碼已由其原始開發人員公開發布,或在很久以前進行了最後更新,且Kottmann也應部分企業的要求刪除了程式碼,但仍有部分原始碼存在硬編碼憑證,能夠被不法分子用來建立後門程式,從而發動更加強大的惡意攻擊。
不少安全專家將此次事件定義為有史以來最大範圍的一次原始碼洩露事件,並表示:“在網際網路上失去對原始碼的控制,就像把銀行的設計圖交給搶劫犯一樣。”
01
象徵“產品生命線”的原始碼為何被洩露?原始碼指的是編寫的最原始程式的程式碼,主要物件是面向開發者。而人們平常使用的應用程式都是經過原始碼編譯打包以後釋出呈現的。
對於一家企業來說,旗下產品的原始碼就相當於產品的生命線。如果產品的原始碼被其他開發者所掌握,除了能將產品完美“復刻”外,還可以透過閱讀原始碼的方式找到程式中存在的漏洞從而發起攻擊。所以每當有原始碼被公開,都將為企業帶來巨大的損失。
儘管開發團隊還在加緊排查此次原始碼外洩的主要原因,但有技術人員指出,目前有不少企業所使用的DevOps工具中存在配置錯誤、配置不當的情況,會導致原始碼或其他重要資料洩露。
作為一款雲原生、API所驅動的開發工具,DevOps憑藉高效、便捷、可靠等優勢,被雲上企業廣泛應用於業務開發和部署的過程中。但由於企業缺乏對異常API呼叫、SecretKey洩漏等雲原生安全問題的檢測手段,加上研發人員不當配置的因素,導致企業的原始碼面臨洩露的風險。
今年年初,某母嬰零售企業的研發人員為方便開發,把程式碼上傳到開原始碼庫-GitHub進行託管,其中有部分程式碼包含了公有云物件儲存桶的域名。但因為安全配置不當,該儲存桶開放了公有的讀寫許可權,留下了安全隱患。
不法駭客爬取了這段程式碼和域名,並透過域名輕鬆訪問了該儲存桶。不巧的是,儲存桶內還儲存了公有云上資料庫的外網訪問域名以及埠。同時由於該企業的雲資料庫安全配置不當,導致埠直接暴露在網際網路上,不法分子隨即對資料庫進行爆破攻擊,不費吹灰之力就獲得了該企業的大量資料和原始碼,給企業和消費者都造成了嚴重的損失。
隨著產業網際網路發展的步伐逐步加快,將有越來越多的企業在將業務和資料遷徙至雲上的同時,將業務的開發工具切換成雲原生的DevOps,以保證雲上業務的開發效率並進一步實現自身數字化轉型的目標。但如果缺乏對於雲原生安全問題的檢測和應對手段,企業就可能因遭到惡意攻擊,導致核心資料和原始碼被竊取的嚴重後果。
02
不當雲配置成為導致雲上安全事件發生的主要原因騰訊安全在7月舉辦的“產業安全公開課·雲原生專場”中,騰訊安全高階工程師耿琛在直播中分享了自己的觀點:實際上安全配置風險是導致雲上安全事件發生的主要原因,也是雲上企業最容易忽略的安全問題。
資料顯示,大概有42%的雲基礎設施存在配置風險,76%的雲上企業暴露22埠。“如果企業的22埠暴露在外,且存在弱口令的話,駭客就能夠很輕易的攻陷企業的雲上設施。” 耿琛表示。
除了需要關注木馬、漏洞等傳統安全威脅外,雲上企業還需要具備針對異常API呼叫、SecretKey洩露等雲原生安全問題的檢測能力和手段。耿琛指出,現階段駭客組織在攻擊雲上業務和系統的時候,會嘗試在GitHub這類開源,對平臺上洩露的金鑰進行抓取。如果企業的API金鑰洩露,那麼其雲上系統將毫無安全可言。
03
構建雲原生安全體系或是破局之道儘管本次原始碼大規模洩露的真正原因還在排查中,原始碼洩露最終會對哪家企業造成何種程度的損失我們也無從得知。但本次事件仍為所有云上企業敲響了警鐘,不當雲配置和缺乏針對雲原生安全問題檢測手段,會成為原始碼或其他核心資料洩露的直接原因。
隨著我國企業數字化轉型程式的不斷加速,未來將會有更多企業遷移至雲上,但傳統安全體系不僅無法適應雲上環境,更缺乏對雲原生安全問題的應對手段。對此,耿琛建議企業應該以雲原生的思路構建雲的安全體系來應對雲環境中的安全問題,而不是簡單的將傳統安全體系搬到雲上。
“依照我們的實踐經驗,構建雲原生安全運營體系需要雲原生為中心,以安全左移、資料驅動及自動化為基本支撐。”耿琛表示,企業如果想要避免因不當雲配置或雲原生安全問題造成損失,最重要的就是安全左移和自動化這兩點。
安全左移,指的是雲原生安全運營體系首先應該具備事前感知安全威脅和配置風險檢查能力,以構建安全預防體系的方式提升整體安全水平;而自動化則要求雲原生安全運營體系需要具備對雲原生安全問題自動檢測、響應和處置的能力。
但是對於中小型企業來說,自行搭建雲原生安全運營體系的難度較大,可以使用市面上較為成熟的安全產品。例如騰訊安全運營中心就可以透過自動化配置檢查功能對雲上配置風險進行自動化識別和評估,幫助企業杜絕不當雲配置所帶來的安全隱患。
此外,針對SecretKey洩露及異常API呼叫等雲原生安全問題,騰訊安全運營中心中整合的Cloud UBA架構和洩露監測模組,會保持對使用者異常行為和網路黑市的檢測,減少因金鑰洩露而導致的安全事故。