全球50家知名企業原始碼批次外洩,只因一個問題被忽視?
原始碼洩露的量級一直在重新整理“史上最大規模”。
不少安全專家將此次事件定義為有史以來最大範圍的一次原始碼洩露事件,並表示:“在網際網路上失去對原始碼的控制,就像把銀行的設計圖交給搶劫犯一樣。”
01象徵“產品生命線”的原始碼為何被洩露?
原始碼指的是編寫的最原始程式的程式碼,主要物件是面向開發者。而人們平常使用的應用程式都是經過原始碼編譯打包以後釋出呈現的。
對於一家企業來說,旗下產品的原始碼就相當於產品的生命線。如果產品的原始碼被其他開發者所掌握,除了能將產品完美“復刻”外,還可以透過閱讀原始碼的方式找到程式中存在的漏洞從而發起攻擊。所以每當有原始碼被公開,都將為企業帶來巨大的損失。
儘管開發團隊還在加緊排查此次原始碼外洩的主要原因,但有技術人員指出,目前有不少企業所使用的DevOps工具中存在配置錯誤、配置不當的情況,會導致原始碼或其他重要資料洩露。
作為一款雲原生、API所驅動的開發工具,DevOps憑藉高效、便捷、可靠等優勢,被雲上企業廣泛應用於業務開發和部署的過程中。但由於企業缺乏對異常API呼叫、SecretKey洩漏等雲原生安全問題的檢測手段,加上研發人員不當配置的因素,導致企業的原始碼面臨洩露的風險。
今年年初,某母嬰零售企業的研發人員為方便開發,把程式碼上傳到開原始碼庫-GitHub進行託管,其中有部分程式碼包含了公有云物件儲存桶的域名。但因為安全配置不當,該儲存桶開放了公有的讀寫許可權,留下了安全隱患。
不法駭客爬取了這段程式碼和域名,並透過域名輕鬆訪問了該儲存桶。不巧的是,儲存桶內還儲存了公有云上資料庫的外網訪問域名以及埠。同時由於該企業的雲資料庫安全配置不當,導致埠直接暴露在網際網路上,不法分子隨即對資料庫進行爆破攻擊,不費吹灰之力就獲得了該企業的大量資料和原始碼,給企業和消費者都造成了嚴重的損失。
02不當雲配置成為導致雲上安全事件發生的主要原因
騰訊安全在7月舉辦的“產業安全公開課·雲原生專場”中,騰訊安全高階工程師耿琛在直播中分享了自己的觀點:實際上安全配置風險是導致雲上安全事件發生的主要原因,也是雲上企業最容易忽略的安全問題。
資料顯示,大概有42%的雲基礎設施存在配置風險,76%的雲上企業暴露22埠。“如果企業的22埠暴露在外,且存在弱口令的話,駭客就能夠很輕易的攻陷企業的雲上設施。” 耿琛表示。
03構建雲原生安全體系或是破局之道
儘管本次原始碼大規模洩露的真正原因還在排查中,原始碼洩露最終會對哪家企業造成何種程度的損失我們也無從得知。但本次事件仍為所有云上企業敲響了警鐘,不當雲配置和缺乏針對雲原生安全問題檢測手段,會成為原始碼或其他核心資料洩露的直接原因。
隨著我國企業數字化轉型程式的不斷加速,未來將會有更多企業遷移至雲上,但傳統安全體系不僅無法適應雲上環境,更缺乏對雲原生安全問題的應對手段。對此,耿琛建議企業應該以雲原生的思路構建雲的安全體系來應對雲環境中的安全問題,而不是簡單的將傳統安全體系搬到雲上。
“依照我們的實踐經驗,構建雲原生安全運營體系需要雲原生為中心,以安全左移、資料驅動及自動化為基本支撐。”耿琛表示,企業如果想要避免因不當雲配置或雲原生安全問題造成損失,最重要的就是安全左移和自動化這兩點。
安全左移,指的是雲原生安全運營體系首先應該具備事前感知安全威脅和配置風險檢查能力,以構建安全預防體系的方式提升整體安全水平;而自動化則要求雲原生安全運營體系需要具備對雲原生安全問題自動檢測、響應和處置的能力。
但是對於中小型企業來說,自行搭建雲原生安全運營體系的難度較大,可以使用市面上較為成熟的安全產品。例如騰訊安全運營中心就可以透過自動化配置檢查功能對雲上配置風險進行自動化識別和評估,幫助企業杜絕不當雲配置所帶來的安全隱患。
此外,針對SecretKey洩露及異常API呼叫等雲原生安全問題,騰訊安全運營中心中整合的Cloud UBA架構和洩露監測模組,會保持對使用者異常行為和網路黑市的檢測,減少因金鑰洩露而導致的安全事故。
相關文章
- 被忽視的開發安全問題
- 建立 UIWindow 被忽視的一個坑UI
- 阿里雲40家知名企業原始碼洩露,阿里雲該背責嗎?阿里原始碼
- 企業不可忽視的資料儲存和資料安全問題!
- 企業原始碼管理的安全問題原始碼
- 安卓效能優化之被忽視的記憶體洩露安卓優化記憶體洩露
- 解碼Redis最易被忽視的CPU和記憶體佔用高問題Redis記憶體
- Android 效能優化之被忽視的記憶體洩漏Android優化記憶體
- 企業如何有效防止原始碼洩露及篡改?原始碼
- 一點被忽視的模型使用方法模型
- spring rest 容易被忽視的後端服務 chunked 效能問題SpringREST後端
- sql 一個說起來都知道,工作中容易忽視的問題SQL
- 回覆關於原始碼沙盒防洩密的四個問題原始碼
- MySQL 你可能忽視的選擇問題MySql
- 遊戲陪玩原始碼前端開發,不容忽視的五個要點遊戲原始碼前端
- 關於原始碼防洩密的本質問題原始碼
- 關於原始碼防洩漏的本質問題原始碼
- Struts原始碼研究發現的一個問題原始碼
- 我在開發中常忽視的安全問題
- 虛擬機器中的活動目錄:可能被忽視很久的問題和答案(1)虛擬機
- 前端程式設計師經常忽視的一個JavaScript面試題前端程式設計師JavaScript面試題
- JS敏感資訊洩露:不容忽視的WEB漏洞JSWeb
- 資料洩露和資料處理不一致是兩個機器學習容易被忽視的錯誤 - jeande_d機器學習
- 不可忽視的前端安全問題——XSS攻擊前端
- 企業建站 把握三大網站許可權不容忽視網站
- 企業雲盤如何解決設計行業資料洩露問題行業
- 遊戲市場一塊被忽視的拼圖——俄語區遊戲
- 被忽視的大型網際網路企業安全隱患:第三方開源WiKi程式
- 智慧建築業不可忽視的五個方面(轉)
- 使用React Hooks你可能會忽視的作用域問題ReactHook
- 直播帶貨原始碼的下一個發展方向:企業直播原始碼
- 記一次檔案亂碼導致PHP原始碼被直接輸出問題PHP原始碼
- 企業雲盤幫你解決資料被盜問題
- Web開發和設計上容易被忽視的8個錯誤Web
- 一鍵訪問Google和YouTube等國外知名網站Go網站
- 那些容易被忽視的 JavaScript 細節總結JavaScript
- 專案開發中容易被忽視的部分
- 50多家知名企業原始碼遭洩露;俄黑客竊取2.13億賬戶資料被判刑;花唄部分使用者接入央行徵信原始碼黑客