iT邦幫忙

2023 iThome 鐵人賽

DAY 7
0
Security

【 30 天成為 DAM 達人】系列 第 7

Day 7 實務篇:近年資料外洩事件 Part I - 配置管理不當

  • 分享至 

  • xImage
  •  

很快在前五天,我們把資料安全的前世今生做了簡單的梳理,
讓我們對於資料安全之前的資料應用,以及它所對應的解決問題,
都能夠有一個基本概念的了解,也知道資料價值的體現,是支撐資料安全的基本動力。
繼很快地第一章節「資料安全面面觀」就告一段落,
接下來這個區塊我們會進入到「關於資料外洩這些事」的章節,
我們接下來會花三天的篇幅時間,把最近發生的資料外洩事件,
且有經過官方正式發布的事件,來看看發生在台灣的資料外洩事件是怎麼回事。

雲端環境的資料外洩

年初有租賃業者經外部研究機構調查發現,
在雲端所屬的資料庫含有幾十萬甚至上百萬的客戶個人資料,
包含手機、照片、駕照等客戶隱私資料的雲端資料庫,
可透過正常連線存取其中的大量資料內容。
而後續檢討原因,則是發現屬於管理設定配置不當導致的事件。

為什麼會被關注?

雲端資產設定配置不當,其實不是資安威脅的新鮮事,
只要是 IT 應用基本上都會牽涉到因為設定導致的失誤或意外,
但這起事件幾個關鍵的地方則有幾個有趣的地方:

1. 它發生在雲端環境
採用雲端應用服務 SaaS 或是 IaaS 已經是很普遍的應用實例,
但雲上的環境的安全配置,要考慮的跟傳統地端環境差異很大,
傳統地端資安有防火牆、階層式架構的配置,
一切網路連線的放行與否,以及資料庫資產是否被放置在 Intra / DMZ 區域,
都會有既有防護措施可以偵測、告警與阻止。

但雲端環境的應用,卻牽涉到原先運算、儲存、網路的構建,
一切都虛擬化成 Configuration 層級,
某個程度簡化了整個 IT 部署的成本與複雜度,
但也讓沒有良好架構經驗的 IT 使用人員,容易著了威脅的道。
因此這起事件引發矚目的是,它不像人為盜竊資料般的束手無策,
而是如果有適當的偵測機器去執行弱點掃描、滲透測試或威脅評估,
也許就能提前示警給組織內部,先行執行相關應處措施。

2. 它是經典的案例縮影
本次事發公司存有的資料量,以台灣的量體而言實屬不小,
具備一定規模的客戶群資料基本上都在上頭了,
而且為了網路實名制認證需要,身份證、駕照、照片、信用卡資料,基本上都儲存其中。
在目前台灣法規要求下,後續相關主管機關也僅裁罰數十萬的罰款,
也凸顯出目前在整體環境的資料安全保護的法規要求,
並無法更鼓勵企業在應用上雲之前,提前部署與考量雲端安全的,
而這也代表許多提供網路服務的企業,
在法規的強制面沒有完善、檢測的工具也尚未普及化,
更多的可能是規模沒這麼大、但也同時握有你我資料的企業,
也可能沒配合適當的管理設定與相關保護措施。

3. 時代的進程與位置
當與生活相關的服務都跟網路以及安全發生關連的時候,
代表這類的科技技術已然走到十分成熟的位置,
誠然相應的管理機制、指引、建議措施尚未成熟完備,
但此次事件引起的效應與主管機關開始重視監管力道也逐漸升溫,
固然資料外洩導致隱性的傷害不太容易估計,
後續也有可能採用這些資料可能延伸的網路釣魚、社交工程,
但每次危機發生的同時,也是推動當下時代往前一步思考的動力。

事件後續與關鍵應用

這邊有 IThome 詳細的完整報導
其實可以知道相關後續處理已在執行,
也相信相關業者會持續強化在雲端環境的安全設計與規劃,
在今天這起的資料外洩事件裡,
我們看到了雲端帶來的彈性、可用、易用與方便管理的優勢特性,
但也因為從傳統架構拉到直接可以第一線存取的架構變革,
也讓「管理配置」導致的資安事件開始在雲端頻頻發生,
因此除了強調「共享責任模型」的雲端安全原則之外,
設定層級的確認、檢查與告警,也是在原則之下,有更多安全工具可以著墨的地方。


上一篇
Day 6 前導篇:資料使用與安全的交集
下一篇
Day 8 實務篇:近年資料外洩事件 Part II - 供應鏈管理
系列文
【 30 天成為 DAM 達人】30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言