一座設定不當的雲端 ElasticSearch資料庫暴露了將近 750 萬筆的 Adobe Creative Cloud使用者記錄,裡面包含了電子郵件地址、會員編號、已安裝 Adobe產品和訂閱狀態資訊,以及它們是否為 Adobe員工。
這起資料庫外洩事件是由安全研究人員Bob Diachenko 與 Comparitech合作發現,Adobe在10月19日被通報並進行了保護動作。
Adobe Creative Cloud是一項訂閱服務,讓使用者可以將Adobe創意應用程式用於影片、設計、攝影和網頁工作上。
根據 Diachenko 的說法,這座 ElasticSearch 資料庫可能失去安全防護約一個星期。誰曾經存取過該資料庫的資訊也尚屬未知。
繼續閱讀隨著過去幾年加密貨幣挖礦惡意程式的興起,網路罪犯正在持續嘗試不同種類的變現方案。其中一種日益猖獗的方式,便是鎖定雲端基礎架構,尤其是企業的雲端基礎架構。根據 AT&T 的報告指出,針對企業雲端基礎架構的網路犯罪就有以下四種:遭入侵的容器管理平台、惡意 Docker 映像、API 金鑰竊取,以及控制面板漏洞攻擊。
1.濫用遭入侵的容器管理平台。容器是一種開發人員用來裝載所有應用程式元件的技術,這些元件包括管理介面、檔案、程式碼以及程式庫等。網路罪犯會應用以上元件的弱點,或利用不當設定的容器來部署惡意程式。在 2018 年 2 月便有這樣的例子,當時一家電動車製造商的 Kubernetes 基礎架構遭到攻擊者盜用。攻擊者之後便使用遭入侵的容器來執行加密貨幣挖礦作業。
此外,攻擊者還透過濫用開放式 API 和未驗證的管理介面來入侵這些平台。
繼續閱讀資安研究人員指出,在超過1,000個開放原始碼的無伺服器應用程式中,有21%具有嚴重漏洞或設定錯誤。他們還指出有6%將敏感資料(如API金鑰和帳號密碼)儲存在可公開存取的檔案庫中。
[專家見解:轉向無伺服器雲端應用程式]
“無伺服器”有點不精確。應用程式在第三方雲端基礎設施上運行(如Amazon Web Service(AWS)的Lambda,微軟的 Azure Functions和Google的Cloud Functions)。它們沒有使用專屬伺服器、虛擬機或容器(container);只有應用程式的程式碼在雲端伺服器上執行直到完成任務。
無伺服器應用程式體現了新興的功能即服務(FaaS)模型,將雲端運算轉變成一個平台,企業可以用來開發、部署和管理其應用程式,無需建立自己的基礎設施。
透過“無伺服器”,開發人員和企業受益於其靈活性和自動化能力。它也可以是推出應用程式的一種可擴展且高經濟效益的方式,因為不需要配置或維護專屬伺服器,安裝/管理軟體或運行環境。
[InfoSec指南:緩解Web注入攻擊]
安全研究人員指出,大多數漏洞和弱點是因為實際應用程式中所用的不安全程式碼等問題所造成。他們發現這些是開放原始碼無伺服器應用程式最常見的安全問題:
全球最大無人機製造商之一大疆創新 (DJI) 被資安研究人員發現其 HTTPS 憑證竟大剌剌地存放在 GitHub 開放原始碼儲存庫 (Repository) 上長達四年。
研究人員 Kevin Finisterre 在一個公開的 GitHub 儲存庫上發現 DJI 的金鑰。該儲存庫中包含了 AWS 帳號登入憑證、AES 加密金鑰,以及公開的 AWS S3 儲存貯體 (Bucket)。Finisterre 指出,儲存庫內甚至還有個人身分識別資訊 (PII)。
DJI 已公開承認此事,並表示將評估及解決此問題,而受影響的 HTTPS 憑證也已在 9 月撤銷。該公司幾個月前公布了一項臭蟲懸賞計畫,不論個人或團隊,只要能夠找到 DJI 軟體的問題,就能獲得獎賞。Finisterre 也參加了這項懸賞計畫,並且原本有機會獲得 3 萬美元的獎金,但因不認同該計畫的某些條款而決定將發現的結果公開,並撰寫了一份長達 18 頁的報告 (PDF)。
這已經不是第一次因為雲端服務組態設定不當而導致資料可能遭到外洩。許多使用雲端的企業皆未徹底做好安全措施,甚至犯了一些明顯錯誤,因而使得資料暴露在外。所以可見,像雲端服務組態設定這麼簡單的問題,都可能導致資料外洩。
企業須了解,雲端基礎架構的安全,不單只是服務供應商的責任,雙方都必須共同分擔,因此企業與供應商應共同配合,這包括所有存放在雲端的一切在內。企業若能落實這份共同安全責任,就能避免發生前述的尷尬情況及相關損失。
趨勢科技 Hybrid Cloud Security 雲端解決方案,融合了跨世代的威脅防禦技巧,專為保護實體、虛擬及雲端工作負載而設計,能協助企業履行其共同分攤的安全責任。此外,更內含趨勢科技Deep Security這套領先市場的伺服器防護,隨時隨地保護著全球數以百萬計的實體、虛擬及雲端伺服器。
原文出處:Drone Manufacturer DJI Leaves SSL Key Exposed on Public Repository
IDC最新報告指出趨勢科技市占率已達30.3%,成長速度超越市場
全球資安軟體及解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布再度榮獲產業分析機構 IDC 評選為全球伺服器防護市場領導廠商。趨勢科技已經第六年蟬聯全球伺服器防護市場龍頭;不僅伺服器防護市場規模在 2014 年已突破 8 億美元,在該市場的營收市占率達到 30.3%,雙雙超越市場與競爭對手的成長速度。
趨勢科技雲端及資料中心防護資深副總裁 Bill McGee 表示:「隨著虛擬化、雲端和混合式部署不斷帶動現代化安全防護的需求,IDC 預測伺服器防護市場的重要性將日益增加。我們在該市場的領導地位,充分展現了我們對該領域的專注,為滿足客戶在混合式雲端的需求,提供一套完整的安全控管,不僅透過集中管理與自動化減輕對營運環境的衝擊,並支援 VMware、Amazon Web Services 及 Microsoft Azure 等主流平台。」
趨勢科技領先市場的趨勢科技Deep Security平台能保護虛擬桌面、虛擬伺服器、雲端以及混合式架構,防範零時差惡意程式和其他威脅,同時能消除資源利用率不佳與緊急修補對營運所造成的衝擊。
IDC 防護產品與服務計劃副總裁 Chris Christiansen 指出:「今日企業在挑選防護解決方案時,在乎的是能解決其所有重要問題的完整防護功能。趨勢科技已連續六年蟬聯伺服器防護市場領導者,與如此值得信賴的伺服器防護領導廠商合作,絕對是明智的抉擇。」
趨勢科技Deep Security平台提供了軟體與服務兩種部署方式,客戶可選擇最適合其資料中心及雲端策略的採購方式。此外,在趨勢科技深耕雲端市場的努力下,趨勢科技Deep Security也在 AWS 和 Azure 市集上架,為客戶提供更多元的採購彈性。
MEDHOST 公司 IT 與託管式服務副總裁 Todd Forgie 表示:「幾乎所有資安廠商每天都必須面對敵人的強大火力,因此我們需要像趨勢科技這樣的合作夥伴來提供必要的反擊能力。趨勢科技能偵測其他解決方案無法偵測的疫情,這正是為何我們當初決定選擇趨勢科技為唯一資安廠商,而且我們從未遲疑。」 繼續閱讀