日前,密码管理供应商LastPass公布了关于其数据泄露事件的调查新进展。据其透露,这是一起“二次协同攻击”事件。LastPass在2022年8月、12月先后披露的两起违规事件,这两起事件的攻击链有关联。
在此次攻击事件中,LastPass发现恶意黑客潜伏在其内网长达两个月的时间内,持续访问并窃取了亚马逊AWS云存储中的敏感数据。据了解,从云存储中导出的敏感数据是其基本客户帐户信息,如公司名称、用户名、地址、电子邮件地址、电话号码,以及客户访问LastPass服务的IP地址等。
根据LastPass最近发布的公告,仅有四名工程师能够访问LastPass AWS云存储服务所需的解密密钥,因此恶意黑客将矛头指向了其中一名工程师。(云备份包括未加密的客户帐户信息以及使用256位AES加密保护的敏感字段)
恶意黑客的攻击方式就是利用去年8月首次入侵时窃取的信息,还利用一个第三方媒体软件包中的远程代码执行漏洞,在一名高级DevOps工程师的计算机上成功安装了键盘记录器。据LastPass表示,二次协同攻击利用到了首轮违规中外泄的数据,并访问了该公司经过加密的Amazon S3存储桶。
上述提到的第三方媒体软件包启用了远程代码执行功能,攻击者借此能在工程师的设备上植入键盘记录器恶意软件。在工程师通过MFA(多因素身份认证)进行身份验证后,攻击者能够捕获工程师输入的主密码,继而获取了该DevOps工程师对LastPass公司保险库的访问权限。
由于恶意黑客窃取并使用了有效的访问凭证,LastPass的调查人员很难检测到对方活动,导致其顺利地从LastPass的云存储服务器处访问并窃取到大量数据。恶意黑客甚至持续驻留达两个月以上,从2022年8月12日一直到2022年10月26日。直到恶意黑客尝试用云身份和访问管理(IAM)角色执行未授权操作时,LastPass才最终通过AWS GuardDuty警报检测到这些异常行为。
在企业的日常工作中,开发、运维、测试等IT人员经常会使用到一些第三方软件或第三方工具包来辅助完成自己的工作,但是这些第三方软件并不能完全受到使用者或使用组织的管控,经常带来一些不可控的安全风险,造成使用者组织的数据泄露。正如上述事件。
面对第三方软件可能带来的安全威胁,企业应该如何管控第三方软件,以保护企业的数据安全?
一方面,当企业采购第三方软件时,为降低第三方软件风险,应对软件安全性进行测试、数据加密、访问控制和监控。现在,越来越多的软件开发商允许最终用户对软件做一些分析。
一旦企业获得了分析软件的权利,开发人员和IT安全团队需要做一个应用程序评估,并检查软件中存在的漏洞,无论是通过静态分析还是通过监测开发商的支持论坛,或者通过跟踪软件修改的智能服务。
然后公司就可以作出明智的决定,是否修复软件漏洞,或者如果修复漏洞不实际的话,使用运行时分析产品来硬化应用程序,以防止任何对关键漏洞的利用。同时,企业也应定期对采购的软件或工具包进行安全检测,或对第三软件进行持续的安全监控。
另一方面,也应对工作人员做一些行为管控。人类永远都是攻击的目标。企业有必要采取一些安全措施,对员工行为进行安全管控。例如,禁止员工使用来源不明或未经安全检测的第三方软件或工具包;引入严格的数据访问控制,强制执行最小特权原则,以降低社会工程等攻击手段的威胁;由外部组织对员工进行安全意识培训,等等。