摘要
11月30日��,萬豪國(guó)際集團(tuán)發(fā)布聲明稱��,公司旗下喜達(dá)屋酒店的一個(gè)客房預(yù)訂數(shù)據(jù)庫(kù)被黑客入侵,在2018年9月10日或之前曾在該酒店預(yù)定的最多約5億名客人的信息或被泄露。從萬豪事件披露的公告中我們可以看到,這是一起數(shù)據(jù)庫(kù)安全事件。此事件直接導(dǎo)致萬豪股價(jià)當(dāng)天下跌5.59%。
筆者就此檢索了喜達(dá)屋相關(guān)的安全事件�,發(fā)現(xiàn)喜達(dá)屋不是第一次出現(xiàn)大規(guī)模數(shù)據(jù)泄露問題���。3年前喜達(dá)屋已被爆出���,因POS惡意軟件入侵�,導(dǎo)致旗下54間酒店全部客戶信息泄露�����。筆者調(diào)研酒店業(yè)的整體安全情況��,發(fā)現(xiàn)酒店業(yè)整體安全情況普遍不容樂觀,數(shù)據(jù)泄露事件時(shí)有發(fā)生。
筆者嘗試從技術(shù)角度對(duì)此次萬豪泄露事件進(jìn)行分析���,但大量關(guān)鍵信息嚴(yán)重缺失,其中夾雜大量的個(gè)人推測(cè)�。希望本文能幫助酒店行業(yè)提高安全意識(shí)��。
事件分析
根據(jù)萬豪國(guó)際集團(tuán)發(fā)布的聲明,細(xì)讀后挖掘出時(shí)間線如下:
1.2018年09月08日 萬豪國(guó)際集團(tuán)發(fā)現(xiàn)喜達(dá)屋網(wǎng)絡(luò)被未經(jīng)授權(quán)訪問�。
2.聘請(qǐng)專家解決此次安全問題�。
3.2018年09月10日 阻斷攻擊�,防止數(shù)據(jù)泄露范圍擴(kuò)大。
4.發(fā)現(xiàn)盜取數(shù)據(jù)或從2014年開始
5.發(fā)現(xiàn)黑客復(fù)制并加密數(shù)據(jù)庫(kù)數(shù)據(jù)
6.2018年11月19日 萬豪國(guó)際確定喜達(dá)屋的賓客預(yù)訂數(shù)據(jù)庫(kù)信息被盜。
7.2018年11月30日 發(fā)布安全公告
根據(jù)萬豪國(guó)際的公告,此次攻擊至少?gòu)?014年開始���。而2015年喜達(dá)屋被POS惡意軟件入侵的調(diào)查報(bào)告中,指出POC惡意軟件入侵也是在2014年開始。所以有理由相信2014年喜達(dá)屋遭到了有組織的黑客入侵�,入侵規(guī)模和范圍都比喜達(dá)屋2015年發(fā)現(xiàn)的更嚴(yán)重���。同時(shí)此次事件爆發(fā)后萬豪國(guó)際首席執(zhí)行官Arne Sorenson表示萬豪目前正在逐漸淘汰喜達(dá)屋的系統(tǒng)。這也從側(cè)面印證了����,或許直到現(xiàn)在喜達(dá)屋系統(tǒng)中的后門和木馬也并未被全部發(fā)現(xiàn)并清理����,為了防止再次發(fā)生類似事件�����,萬豪決定徹底棄用喜達(dá)屋整套IT系統(tǒng)��。
萬豪是在9月8號(hào)發(fā)現(xiàn)的未授權(quán)訪問數(shù)據(jù)問題。9月10日就成功阻斷了入侵攻擊�����。安全專家花了2個(gè)多月時(shí)間完成對(duì)被盜取的加密數(shù)據(jù)進(jìn)行溯源工作,并恢復(fù)了一部分找到的數(shù)據(jù)���,嘗試給出了可能被盜取數(shù)據(jù)的范圍。
萬豪國(guó)際的公告中明確指出黑客在喜達(dá)屋的預(yù)訂數(shù)據(jù)庫(kù)中進(jìn)行了數(shù)據(jù)的復(fù)制和加密工作����。2014年黑客很可能已經(jīng)在數(shù)據(jù)庫(kù)中留有后門���。后門可能是一組觸發(fā)器和存儲(chǔ)過程構(gòu)成��。黑客的攻擊很可能如下圖所示:
圖中簡(jiǎn)單的把喜達(dá)屋的IT系統(tǒng)分為了內(nèi)網(wǎng)和外網(wǎng)兩部分(真實(shí)系統(tǒng)遠(yuǎn)比這個(gè)復(fù)雜)。黑客在2014年的攻擊中應(yīng)該已經(jīng)入侵到喜達(dá)屋的預(yù)定系統(tǒng)數(shù)據(jù)庫(kù)。在入侵后在數(shù)據(jù)庫(kù)中植入了后門。這些后門至少包含一個(gè)用于重復(fù)插入數(shù)據(jù)的觸發(fā)器和一個(gè)用于給數(shù)據(jù)加密的存儲(chǔ)過程���。兩者相互配合可以完成黑客在數(shù)據(jù)庫(kù)中復(fù)制且加密數(shù)據(jù)的目的。
圖中綠線是正常用戶的正常操作。正常用戶在訪問喜達(dá)屋的訂票系統(tǒng)后��,訂票系統(tǒng)經(jīng)過一系列過程把相關(guān)信息生成一條SQL記錄���。SQL記錄錄入到預(yù)訂系統(tǒng)數(shù)據(jù)庫(kù)的B表中���。但由于之前黑客已經(jīng)在里面部署了����,用于復(fù)制數(shù)據(jù)的觸發(fā)器C和提供加密功能的存儲(chǔ)過程���。于是神不知鬼不覺的B表的數(shù)據(jù)��,就被加密后復(fù)制到A表中了�。黑客就可以不定期的從A表中讀取B表的敏感數(shù)據(jù)��。
圖中紅線是黑客拿取數(shù)據(jù)的路線��。黑客沿著自己打通的內(nèi)網(wǎng)外系統(tǒng)去訪問數(shù)據(jù)庫(kù)中的表A。結(jié)果這次被萬豪的安全工具發(fā)現(xiàn)����。萬豪的安全工具很可能是基于訪問ip記錄��,發(fā)現(xiàn)的此次未授權(quán)訪問。
此事件中黑客把敏感數(shù)據(jù)加密���,然后傳出,更說明這是個(gè)有組織的黑客團(tuán)體行為���。加密敏感數(shù)據(jù),可以有效的延長(zhǎng)安全審計(jì)系統(tǒng)發(fā)現(xiàn)敏感數(shù)據(jù)被盜取的情況���。即便被捕獲異常流量,也給分析溯源帶來巨大難度���。其次加密敏感數(shù)據(jù)也有效的防止自身系統(tǒng)被其他黑客組織攻破,而失去敏感數(shù)據(jù)�。這個(gè)黑客團(tuán)體盡最大努力保證這份數(shù)據(jù)完全在自己的控制下。
黑客動(dòng)機(jī)分析
酒店業(yè)的數(shù)據(jù)盜取事件一直層出不窮。這和酒店業(yè)天生對(duì)外接口多且業(yè)務(wù)復(fù)雜,給黑客更多入侵的機(jī)會(huì)有一定關(guān)系�。但黑客組織一直盯著酒店業(yè)數(shù)據(jù)的主要原因�,不是酒店業(yè)易于入侵的IT環(huán)境�,而是酒店業(yè)數(shù)據(jù)中自帶的巨大經(jīng)濟(jì)效益。根據(jù)多年對(duì)黑客入侵趨勢(shì)的研究,如今的黑客攻擊都是以隱匿自己�、快速折現(xiàn)為目地�。恰好酒店業(yè)有一種數(shù)據(jù)滿足黑客上述要求����。
此次萬豪聲明外泄的數(shù)據(jù)包含:姓名、郵寄地址、電話號(hào)碼���、電子郵件地址、護(hù)照號(hào)碼、SPG俱樂部賬戶信息��、出生如期�、性別、到達(dá)與離開信息、預(yù)定日期和通信偏好、支付卡號(hào)和支付卡有效期�����。包含萬豪在內(nèi)大部分酒店把安全防護(hù)重點(diǎn)放在泄露的支付卡號(hào)和支付卡有效期這兩組數(shù)據(jù)上���,但實(shí)際上除非黑客只希望用這筆數(shù)據(jù)掙一次錢�,否則絕對(duì)不會(huì)嘗試盜刷信用卡或出售用戶數(shù)據(jù)。黑客隱藏了4年才被意外發(fā)現(xiàn)�,說明黑客之前并未大規(guī)模販賣盜取的個(gè)人信息和信用卡信息���。
從2013年開始黑市上的個(gè)人信息質(zhì)量大幅下降���。只有一些小型的黑客團(tuán)伙還在交易個(gè)人信息�。大型黑客團(tuán)伙已經(jīng)放棄通過倒賣個(gè)人信息牟利,而是通過對(duì)數(shù)據(jù)的深度挖掘和利用進(jìn)行牟利���。信用卡信息確實(shí)在黑市有很大市場(chǎng),但一旦盜刷�,很快會(huì)被用戶發(fā)現(xiàn)���。加上用戶安全意識(shí)的提高、以及銀行的各種措施,很可能盜刷失敗,還會(huì)暴露自己。
萬豪公布的被盜數(shù)據(jù)中的SPG俱樂部賬號(hào)信息才是黑客盜取的主要目標(biāo)�����。酒店為了吸引回頭客一般會(huì)給自己的會(huì)員提供忠誠(chéng)度積分���。忠誠(chéng)度積分可以用來進(jìn)行換住宿����、換機(jī)票、換購(gòu)物卡等一系列有價(jià)值的商品。忠誠(chéng)度積分一定會(huì)設(shè)計(jì)成被用戶易于使用���。大部分忠誠(chéng)度積分都是可以從用戶A轉(zhuǎn)移到用戶B處。SPG也不例外���,SPG的忠誠(chéng)度積分也可以兌換多種有價(jià)值的東西,同時(shí)支持積分轉(zhuǎn)移能力�����。SPG積分在Dream Market����、Olympus and Berlusconi Market等線上黑市都有巨大交易額,在黑市1個(gè)SPG積分價(jià)格在5美分左右(官網(wǎng)價(jià)格35美分)。獲得SPG俱樂部帳號(hào)和用戶電話號(hào)后,黑客可以很容易的把用戶的SPG積分轉(zhuǎn)移出來進(jìn)行出售�。大部分用戶搞不清楚自己具體的積分?jǐn)?shù)量���。所以只要黑客對(duì)著5億用戶每次只轉(zhuǎn)移有限的積分���,就可以穩(wěn)定持續(xù)的利用SPG忠誠(chéng)度積分賺錢�����,而不被發(fā)現(xiàn)。
解決之道
此次萬豪安全事件,歸根結(jié)底可能是2015年喜達(dá)屋未完全清理IT系統(tǒng)木馬后門導(dǎo)致。安全不是簡(jiǎn)單的邊界和外網(wǎng)安全,內(nèi)網(wǎng)安全尤其是數(shù)據(jù)庫(kù)安全更加關(guān)鍵����。
如果使用適當(dāng)?shù)陌踩ぞ邔?duì)數(shù)據(jù)庫(kù)定期掃描。應(yīng)該早就能發(fā)現(xiàn)黑客在預(yù)訂數(shù)據(jù)庫(kù)中殘留的木馬�����、后門�,也就不會(huì)發(fā)生現(xiàn)在的5億數(shù)據(jù)泄露事件。
首先萬豪應(yīng)該部署具有檢測(cè)數(shù)據(jù)庫(kù)中異常包��、存儲(chǔ)過程�����、觸發(fā)器����、各項(xiàng)參數(shù)以及后門的數(shù)據(jù)庫(kù)掃描類工具���。這些檢測(cè)語句可以幫助用戶早發(fā)現(xiàn)早鏟除潛在的數(shù)據(jù)庫(kù)木馬和后門��。
當(dāng)然只依賴于數(shù)據(jù)庫(kù)掃描類工具的定期巡檢是遠(yuǎn)遠(yuǎn)不夠的�。掃描類產(chǎn)品能發(fā)現(xiàn)的基本屬于已經(jīng)出現(xiàn)的安全威脅�����,對(duì)未知的安全威脅的探查能力可能不足�����。想要對(duì)未知的安全威脅做防護(hù)則需要具備能讀懂SQL語義的數(shù)據(jù)庫(kù)防火墻���。如果2014年喜達(dá)屋就部署了能讀懂SQL語義的數(shù)據(jù)庫(kù)防火墻相信,就不會(huì)被黑客植入木馬或后門�����。
能讀懂SQL的意思是���,基于SQL語法解析��,聯(lián)系上下文理解存儲(chǔ)過程或包中是否存在惡意行為����。數(shù)據(jù)庫(kù)防火墻能識(shí)別所有去向數(shù)據(jù)庫(kù) 觸發(fā)器�����、儲(chǔ)過程中的SQL�。通過SQL語法分析器�����,識(shí)別是否存在惡意行為���。數(shù)據(jù)庫(kù)防火墻在SQL語法分析器后不是單純的就單句SQL進(jìn)行行為分析�。而是對(duì)整個(gè)SQL語句包根據(jù)上下文環(huán)境的SQL行為進(jìn)行分析��。當(dāng)整個(gè)SQL語句包中存在命中安全規(guī)則的多個(gè)必要點(diǎn)時(shí)�����,則可以判斷該語句包存在惡意行為,會(huì)主動(dòng)阻斷該語句包�,并向相關(guān)人員進(jìn)行危險(xiǎn)告警�����。
數(shù)據(jù)庫(kù)防火墻���、數(shù)據(jù)庫(kù)漏掃����,從不同層面和角度防護(hù)數(shù)據(jù)庫(kù)被植入木馬或后門。數(shù)據(jù)庫(kù)防火墻利用SQL分析技術(shù),依托上下文SQL語境��,動(dòng)態(tài)抓出存在惡意行為的語句包進(jìn)行實(shí)施攔截����。數(shù)據(jù)庫(kù)漏掃依托授權(quán)檢測(cè)中針對(duì)數(shù)據(jù)庫(kù)中異常包、存儲(chǔ)過程、觸發(fā)器��、各項(xiàng)參數(shù)以及后門的檢測(cè)語句��,進(jìn)行對(duì)已知威脅的檢查�,防止數(shù)據(jù)庫(kù)中存在隱患�。
他們二者除了可以從不同維度防護(hù)針對(duì)數(shù)據(jù)庫(kù)的后門或木馬攻擊外,還可以通過相互聯(lián)動(dòng)增強(qiáng)兩者的實(shí)力。數(shù)據(jù)庫(kù)防火墻攔截下一個(gè)新型隱患�����,數(shù)據(jù)庫(kù)漏掃則根據(jù)這個(gè)新型的特征更新掃描檢測(cè)項(xiàng)���。一旦數(shù)據(jù)庫(kù)防火墻未發(fā)現(xiàn)����,但漏掃發(fā)現(xiàn)安全隱患,則數(shù)據(jù)庫(kù)防火墻根據(jù)隱患特征更新防護(hù)策略。優(yōu)化已有安全策略�,進(jìn)一步提高防護(hù)能力���。
那么�����,我們借“萬豪數(shù)據(jù)泄露事件”回望2018年,看看忽略了什么?又應(yīng)該重視什么�?
2018年年終將至��,對(duì)從事信息安全工作的人來說,讓我們印象更深刻的應(yīng)該還是2018年一起又一起起轟動(dòng)全球的“信息安全事件”。
2018年3月���,F(xiàn)acebook爆出史上最大規(guī)模數(shù)據(jù)泄露事件,牽出驚天丑聞。扎克伯格一度落下神壇��,成為俎上之肉�。
2018年8月,1.3億身份數(shù)據(jù)泄露事件將華住酒店集團(tuán)推上了風(fēng)口浪尖,當(dāng)然大家最關(guān)心的還是另外一個(gè)話題���,自己的開房記錄會(huì)不會(huì)被公開。
2018年10月,香港國(guó)泰及港龍航空的940萬名客戶資料外泄���,事件若牽涉歐洲公民,有可能被歐盟罰款約39億元港幣。
2018年11月,RushQL勒索病毒卷土重來���。時(shí)隔兩年,同一個(gè)勒索病毒竟然能把我們這么多企業(yè)擊倒兩次。
2018年12月1日�����,早晨起來第一個(gè)爆炸性新聞出爐���,萬豪酒店數(shù)據(jù)庫(kù)被入侵��,5億人私密信息或外泄�。消息公布后�,萬豪國(guó)際美股股盤前一度大跌逾5%!
自“斯諾登事件”以來��,信息安全對(duì)每個(gè)個(gè)體而言都已經(jīng)不再陌生��,全球的信息安全事業(yè)也可謂如火如荼���。以Facebook、萬豪���、華數(shù)、香港航空等這種體量的全球型公司�,在信息安全方面的投入不會(huì)小���,但是為什么“數(shù)據(jù)泄露”事件頻頻發(fā)生�,像夢(mèng)魘一樣時(shí)刻糾纏折磨著我們����。總結(jié)三點(diǎn)原因如下:
1����、技術(shù)演進(jìn)催生更多復(fù)雜場(chǎng)景��,相伴相生更多新問題。
隨著云計(jì)算����、大數(shù)據(jù)等新型IT技術(shù)的演進(jìn)�����,數(shù)據(jù)泄露的勢(shì)頭不僅沒有止步反而愈演愈烈。尤其在大數(shù)據(jù)場(chǎng)景下�,數(shù)據(jù)從多個(gè)渠道大量匯聚����,數(shù)據(jù)類型�����、用戶角色和應(yīng)用需求更加多樣化�����,訪問控制面臨諸多新的問題��。
2�、技術(shù)突飛猛進(jìn)��,組織�����、企業(yè)的信息安全意識(shí)卻慣之以“落后”�。
這并非單指用戶吝惜在“信息安全”上的投入��,而是對(duì)信息安全問題心存僥幸�����,重視結(jié)果忽視過程雖然花了大量資金購(gòu)置“安全產(chǎn)品”,卻往往只是在面臨檢查的時(shí)候拿出來用一用�����,用完了再束之高閣�����。將安全產(chǎn)品真正使用起來的用戶�����,太少,太少��。
例如�����,最近又一次爆發(fā)的RushQL勒索病毒。早在2016年這種病毒就爆發(fā)過一次席卷全球的沖擊波。雖然�����,檢測(cè)手段和解決方案在網(wǎng)絡(luò)上隨處可見�����,但時(shí)隔兩年�,同一個(gè)病毒再次爆發(fā)�����,再一次將一大批企業(yè)擊倒�。安華金和的數(shù)據(jù)庫(kù)防火墻產(chǎn)品����,專項(xiàng)增加了這種勒索病毒的防護(hù)規(guī)則,只要開啟防火墻規(guī)則就可以避免這種入侵行為����。但事實(shí)證明“歷史給人類最大的教訓(xùn)就是我們從來不從歷史中得到任何教訓(xùn)”�。
3���、安全市場(chǎng)亂象�,抓不住重點(diǎn)是根本。
“數(shù)據(jù)”是信息系統(tǒng)的核心資產(chǎn),而數(shù)據(jù)庫(kù)是“數(shù)據(jù)資產(chǎn)”的載體?���!?a href="http://www.wallpapic-fi.com/" target="_blank" title="數(shù)據(jù)庫(kù)安全" style="white-space: normal;">數(shù)據(jù)庫(kù)安全”理應(yīng)作為一門獨(dú)立的課程,引起用戶的重視�����。據(jù)《2017年全球數(shù)據(jù)泄露成本研究》報(bào)告顯示�,早期,惡意攻擊者的目標(biāo)是業(yè)務(wù)系統(tǒng)��,以導(dǎo)致業(yè)務(wù)中斷為目的�����。近年伴隨數(shù)據(jù)資產(chǎn)價(jià)值與日俱增����,惡意攻擊者的目標(biāo)越來越多的指向數(shù)據(jù)存儲(chǔ)的基礎(chǔ)設(shè)施——數(shù)據(jù)庫(kù)系統(tǒng)。換言之���,“數(shù)據(jù)庫(kù)安全”是“數(shù)據(jù)安全”的最后一層底線。如果數(shù)據(jù)庫(kù)被突破�����,數(shù)據(jù)安全便無從談起����。
在數(shù)據(jù)庫(kù)安全領(lǐng)域,主要包含了數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)脫敏��、數(shù)據(jù)庫(kù)加密等數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)����。專業(yè)的安全企業(yè)應(yīng)當(dāng)具備安全攻防的研究能力和技術(shù)積累,能夠?yàn)橛脩籼峁┘皶r(shí)有效的安全事件響應(yīng),在最短時(shí)間內(nèi)控制泄露規(guī)模和態(tài)勢(shì),并能夠通過分析攻擊樣本��,提供有效的安全加固策略�����。
最后,站在戰(zhàn)略層面總結(jié)數(shù)據(jù)安全技術(shù)保護(hù)��,要以數(shù)據(jù)安全治理的技術(shù)思路���,來踐行中國(guó)信息通信研究院給出的建議:
● 一是建立覆蓋數(shù)據(jù)收集����、傳輸、存儲(chǔ)�����、處理�、共 享、銷毀全生命周期的安全防護(hù)體系�,綜合利用數(shù)據(jù)源驗(yàn)證�、大規(guī)模傳輸加密���、非關(guān)系型數(shù)據(jù)庫(kù)加密存儲(chǔ)����、隱私保護(hù)、數(shù)據(jù)交易安全���、數(shù)據(jù)防泄露、追蹤溯源�、數(shù)據(jù)銷毀等技術(shù)����,與系統(tǒng)現(xiàn)有信息安全技術(shù)設(shè)施相結(jié)合��,建立縱深的防御體系����。
● 二是提升大數(shù)據(jù)平臺(tái)本身的安全防御能力���,引入用戶和組件的身份認(rèn)證���、細(xì)粒度的訪問控制���、數(shù)據(jù)操作安全審計(jì)�、數(shù)據(jù)脫敏等隱私保護(hù)機(jī)制�����,從機(jī)制上防止數(shù)據(jù)的未授權(quán)訪問和泄露����,同時(shí)增加大數(shù)據(jù)平臺(tái)組件配置和運(yùn)行過程中隱含的安全問題的關(guān)注�����,加強(qiáng)對(duì)平臺(tái)緊急安全事件的響應(yīng)能力��。
● 三是實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)檢測(cè)的轉(zhuǎn)變��,借助大數(shù)據(jù)分析、人工智能等技術(shù)�,實(shí)現(xiàn)自動(dòng)化威脅識(shí)別����、風(fēng)險(xiǎn)阻斷和攻擊溯源����,從源頭上提升大數(shù)據(jù)安全防御水平,提升對(duì)未知威脅的防御能力和防御效率��。
產(chǎn)品咨詢:4000 258 365 
