萬豪國際泄露事件後續——簡單調查分析與建議

0x00、事件描述

事情發生的太突然，美國媒體也毫不留情的報道，說到嚴重性，yahoo泄露的30億用戶數據，也就是黑客拿來撞撞庫而已，電子郵件詐騙（成功概率比較低）。這次公告的泄密內容包含：姓名、郵寄地址、手機號（詐騙）、email、護照號（偽造）、SPG俱樂部賬號、出生日期、到達和離去的時間（查出軌）、支付卡信息、cvv號（請注意國外信用卡都是沒有密碼的，知道cvv通過偽造卡就可以直接刷的）。這全球5億賬號價值很高。還有一點，公告當中還強調支付卡號、cvv是用AES-128做的加密、需要兩項密鑰才能打開，但是他沒有提及流動的數據如何加密的。

就像漏洞一樣，我們已經把這次數據泄露安全事件定級為最高等級。所以我們有必要分析一下，數據是如何被泄密以及針對ToB企業如何防範泄密。

0x01、IT基礎架構調查

由於目前還沒有更多的技術細節曝光，我們先假定由外部黑客入侵導致數據泄露的場景做應急響應分析。在做具體安全事件調查之前，我們要先了解一下萬豪的IT基礎架構。通過簡單的測試和vmware官網宣傳資料（萬豪客戶案例），我們了解到了以下信息：

網路與安全

1、Akamai至少使用了以下產品

·CDN

·DDoS Protection

·CloudWAF （主站輸入xss簡單測試，被攔截）

IT基礎架構

1、私有雲-VMWare

·VMware NSX 簡化私有雲網路管理，實現更高級別的安全性（估計開了分散式防火牆、安全組、ACL等安全措施）

·VMware Horizon Air 虛擬桌面和應用程序

·VMware AirWatch EMM管理套件，主要是針對萬豪手機App做加速安全管理等。

·VMware Cloud Foundation / VMware vSphere Hypervisor IaaS虛擬化管理

2、公有雲-IBM softlayer

·Infrastructure-as-a-Service，提供彈性伸縮的計算、網路等資源調度。

·託管DevOps服務，軟體開發上線在公有雲上

·Big Insights IBM分析軟體

3、混合雲管理

·通過VPN、或者CASB（Cloud Access Security Brokers）等登陸管理。

軟體架構

·PMS酒店管理系統：opera

·CRS：中央預訂系統，自己開發

·辦公電腦殺毒軟體SEP（Symantec）

數據安全

·KMS

·HSM（根據公告描述，應該使用了硬體加密機或者軟體加密系統）

·資料庫審計（發現異常告警）

整體架構圖

0x02、如何防範數據泄露？

通過上面的分析大家基本上了解萬豪的IT基礎架構、防入侵架構和基本的數據安全。但是為什麼還被入侵呢？

我們有了DLP、KMS/HSM、資料庫審計，怎麼到頭來數據還是被入侵泄露呢？個人理解原因有以下幾個方面：

1、公司沒對信息安全建設特別是數據安全重視程度，提升到應有的高度，因為數據泄露會影響公司的公信力，股票會大跌。

2、做信息安全切記不是為了過合規而做合規，PCI-DSS確實要求存儲的金融數據（信用卡）要加密。（注意：靜態加密）

3、入侵檢測沒有專業的公司或者有專業的軟體（態勢感知系統-數據安全部分）處理。酒店行業目前還沒看到有什麼專家改變行業的安全現狀。

從現有的資料分析，我們發現一個嚴重的問題，落盤的數據，靜態加密已經做的很好了。但是大家有沒有考慮過業務系統在數據處理的時候是要解密敏感數據，所以數據在流動的過程中，很有可能被黑客竊取。

我們防禦的整體思路如下：

1、尋找敏感數據

·自定義，由用戶的業務人員對數據進行分級

·利用AI技術對現有數據掃描做分類，最簡單分為涉密、不涉密兩類

2、數據訪問關聯到人

·任何一個可以接觸到敏感數據的人都要監控起來

·對全網做30天的數據訪問做風險評估，看看數據是如何使用，並且數字化。

3、做好業務API調用審計

·不僅僅是只在資料庫審計那邊做API調用審計，針對所有API做審查，因為這些介面很有可能是流動者解密後的敏感數據

4、數據安全態勢感知

·對所有基礎安全數據做關聯分析，包括黑客入侵檢測設備告警：HIDS、NIDS、EDR、NTA、威脅情報、沙箱等，數據安全相關的告警：KMS API調用、資料庫審計日誌、業務系統API調用日誌，以及在數據基礎建設和做的機器學習分析告警結果，都要綜合關聯才有可能發現黑客入侵併且盜用敏感數據的蛛絲馬跡。

如何很不幸，你在暗網看到了自己的數據被銷售，那需要做的就是及時快速的分析，做到GDPR要求的72小時數據泄露披露。把損失降到最小。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！