摘要
11月30日�,萬(wàn)豪國(guó)際集團(tuán)發(fā)布聲明稱�����,公司旗下喜達(dá)屋酒店的一個(gè)客房預(yù)訂數(shù)據(jù)庫(kù)被黑客入侵�,在2018年9月10日或之前曾在該酒店預(yù)定的最多約5億名客人的信息或被泄露。從萬(wàn)豪事件披露的公告中我們可以看到����,這是一起數(shù)據(jù)庫(kù)安全事件。此事件直接導(dǎo)致萬(wàn)豪股價(jià)當(dāng)天下跌5.59%�����。
筆者就此檢索了喜達(dá)屋相關(guān)的安全事件�����,發(fā)現(xiàn)喜達(dá)屋不是第一次出現(xiàn)大規(guī)模數(shù)據(jù)泄露問(wèn)題。3年前喜達(dá)屋已被爆出�����,因POS惡意軟件入侵��,導(dǎo)致旗下54間酒店全部客戶信息泄露��。筆者調(diào)研酒店業(yè)的整體安全情況�,發(fā)現(xiàn)酒店業(yè)整體安全情況普遍不容樂(lè)觀,數(shù)據(jù)泄露事件時(shí)有發(fā)生�����。
筆者嘗試從技術(shù)角度對(duì)此次萬(wàn)豪泄露事件進(jìn)行分析��,但大量關(guān)鍵信息嚴(yán)重缺失��,其中夾雜大量的個(gè)人推測(cè)���。希望本文能幫助酒店行業(yè)提高安全意識(shí)。
事件分析
根據(jù)萬(wàn)豪國(guó)際集團(tuán)發(fā)布的聲明�����,細(xì)讀后挖掘出時(shí)間線如下:
1.2018年09月08日 萬(wàn)豪國(guó)際集團(tuán)發(fā)現(xiàn)喜達(dá)屋網(wǎng)絡(luò)被未經(jīng)授權(quán)訪問(wèn)。
2.聘請(qǐng)專(zhuān)家解決此次安全問(wèn)題�。
3.2018年09月10日 阻斷攻擊,防止數(shù)據(jù)泄露范圍擴(kuò)大��。
4.發(fā)現(xiàn)盜取數(shù)據(jù)或從2014年開(kāi)始
5.發(fā)現(xiàn)黑客復(fù)制并加密數(shù)據(jù)庫(kù)數(shù)據(jù)
6.2018年11月19日 萬(wàn)豪國(guó)際確定喜達(dá)屋的賓客預(yù)訂數(shù)據(jù)庫(kù)信息被盜��。
7.2018年11月30日 發(fā)布安全公告
根據(jù)萬(wàn)豪國(guó)際的公告��,此次攻擊至少?gòu)?014年開(kāi)始��。而2015年喜達(dá)屋被POS惡意軟件入侵的調(diào)查報(bào)告中���,指出POC惡意軟件入侵也是在2014年開(kāi)始�����。所以有理由相信2014年喜達(dá)屋遭到了有組織的黑客入侵�����,入侵規(guī)模和范圍都比喜達(dá)屋2015年發(fā)現(xiàn)的更嚴(yán)重��。同時(shí)此次事件爆發(fā)后萬(wàn)豪國(guó)際首席執(zhí)行官Arne Sorenson表示萬(wàn)豪目前正在逐漸淘汰喜達(dá)屋的系統(tǒng)��。這也從側(cè)面印證了�����,或許直到現(xiàn)在喜達(dá)屋系統(tǒng)中的后門(mén)和木馬也并未被全部發(fā)現(xiàn)并清理�,為了防止再次發(fā)生類(lèi)似事件,萬(wàn)豪決定徹底棄用喜達(dá)屋整套IT系統(tǒng)�。
萬(wàn)豪是在9月8號(hào)發(fā)現(xiàn)的未授權(quán)訪問(wèn)數(shù)據(jù)問(wèn)題。9月10日就成功阻斷了入侵攻擊��。安全專(zhuān)家花了2個(gè)多月時(shí)間完成對(duì)被盜取的加密數(shù)據(jù)進(jìn)行溯源工作����,并恢復(fù)了一部分找到的數(shù)據(jù),嘗試給出了可能被盜取數(shù)據(jù)的范圍���。
萬(wàn)豪國(guó)際的公告中明確指出黑客在喜達(dá)屋的預(yù)訂數(shù)據(jù)庫(kù)中進(jìn)行了數(shù)據(jù)的復(fù)制和加密工作����。2014年黑客很可能已經(jīng)在數(shù)據(jù)庫(kù)中留有后門(mén)����。后門(mén)可能是一組觸發(fā)器和存儲(chǔ)過(guò)程構(gòu)成。黑客的攻擊很可能如下圖所示:
圖中簡(jiǎn)單的把喜達(dá)屋的IT系統(tǒng)分為了內(nèi)網(wǎng)和外網(wǎng)兩部分(真實(shí)系統(tǒng)遠(yuǎn)比這個(gè)復(fù)雜)���。黑客在2014年的攻擊中應(yīng)該已經(jīng)入侵到喜達(dá)屋的預(yù)定系統(tǒng)數(shù)據(jù)庫(kù)�。在入侵后在數(shù)據(jù)庫(kù)中植入了后門(mén)���。這些后門(mén)至少包含一個(gè)用于重復(fù)插入數(shù)據(jù)的觸發(fā)器和一個(gè)用于給數(shù)據(jù)加密的存儲(chǔ)過(guò)程�����。兩者相互配合可以完成黑客在數(shù)據(jù)庫(kù)中復(fù)制且加密數(shù)據(jù)的目的��。
圖中綠線是正常用戶的正常操作�����。正常用戶在訪問(wèn)喜達(dá)屋的訂票系統(tǒng)后���,訂票系統(tǒng)經(jīng)過(guò)一系列過(guò)程把相關(guān)信息生成一條SQL記錄。SQL記錄錄入到預(yù)訂系統(tǒng)數(shù)據(jù)庫(kù)的B表中���。但由于之前黑客已經(jīng)在里面部署了�,用于復(fù)制數(shù)據(jù)的觸發(fā)器C和提供加密功能的存儲(chǔ)過(guò)程�。于是神不知鬼不覺(jué)的B表的數(shù)據(jù),就被加密后復(fù)制到A表中了���。黑客就可以不定期的從A表中讀取B表的敏感數(shù)據(jù)�����。
圖中紅線是黑客拿取數(shù)據(jù)的路線���。黑客沿著自己打通的內(nèi)網(wǎng)外系統(tǒng)去訪問(wèn)數(shù)據(jù)庫(kù)中的表A��。結(jié)果這次被萬(wàn)豪的安全工具發(fā)現(xiàn)�����。萬(wàn)豪的安全工具很可能是基于訪問(wèn)ip記錄����,發(fā)現(xiàn)的此次未授權(quán)訪問(wèn)�����。
此事件中黑客把敏感數(shù)據(jù)加密���,然后傳出���,更說(shuō)明這是個(gè)有組織的黑客團(tuán)體行為。加密敏感數(shù)據(jù),可以有效的延長(zhǎng)安全審計(jì)系統(tǒng)發(fā)現(xiàn)敏感數(shù)據(jù)被盜取的情況�。即便被捕獲異常流量,也給分析溯源帶來(lái)巨大難度�。其次加密敏感數(shù)據(jù)也有效的防止自身系統(tǒng)被其他黑客組織攻破,而失去敏感數(shù)據(jù)��。這個(gè)黑客團(tuán)體盡最大努力保證這份數(shù)據(jù)完全在自己的控制下���。
黑客動(dòng)機(jī)分析
酒店業(yè)的數(shù)據(jù)盜取事件一直層出不窮。這和酒店業(yè)天生對(duì)外接口多且業(yè)務(wù)復(fù)雜����,給黑客更多入侵的機(jī)會(huì)有一定關(guān)系。但黑客組織一直盯著酒店業(yè)數(shù)據(jù)的主要原因���,不是酒店業(yè)易于入侵的IT環(huán)境��,而是酒店業(yè)數(shù)據(jù)中自帶的巨大經(jīng)濟(jì)效益�。根據(jù)多年對(duì)黑客入侵趨勢(shì)的研究�,如今的黑客攻擊都是以隱匿自己、快速折現(xiàn)為目地�。恰好酒店業(yè)有一種數(shù)據(jù)滿足黑客上述要求����。
此次萬(wàn)豪聲明外泄的數(shù)據(jù)包含:姓名����、郵寄地址、電話號(hào)碼���、電子郵件地址�、護(hù)照號(hào)碼����、SPG俱樂(lè)部賬戶信息、出生如期��、性別��、到達(dá)與離開(kāi)信息�����、預(yù)定日期和通信偏好��、支付卡號(hào)和支付卡有效期�。包含萬(wàn)豪在內(nèi)大部分酒店把安全防護(hù)重點(diǎn)放在泄露的支付卡號(hào)和支付卡有效期這兩組數(shù)據(jù)上,但實(shí)際上除非黑客只希望用這筆數(shù)據(jù)掙一次錢(qián)���,否則絕對(duì)不會(huì)嘗試盜刷信用卡或出售用戶數(shù)據(jù)�����。黑客隱藏了4年才被意外發(fā)現(xiàn)��,說(shuō)明黑客之前并未大規(guī)模販賣(mài)盜取的個(gè)人信息和信用卡信息���。
從2013年開(kāi)始黑市上的個(gè)人信息質(zhì)量大幅下降。只有一些小型的黑客團(tuán)伙還在交易個(gè)人信息����。大型黑客團(tuán)伙已經(jīng)放棄通過(guò)倒賣(mài)個(gè)人信息牟利,而是通過(guò)對(duì)數(shù)據(jù)的深度挖掘和利用進(jìn)行牟利���。信用卡信息確實(shí)在黑市有很大市場(chǎng)��,但一旦盜刷�����,很快會(huì)被用戶發(fā)現(xiàn)�。加上用戶安全意識(shí)的提高���、以及銀行的各種措施��,很可能盜刷失敗����,還會(huì)暴露自己。
萬(wàn)豪公布的被盜數(shù)據(jù)中的SPG俱樂(lè)部賬號(hào)信息才是黑客盜取的主要目標(biāo)���。酒店為了吸引回頭客一般會(huì)給自己的會(huì)員提供忠誠(chéng)度積分��。忠誠(chéng)度積分可以用來(lái)進(jìn)行換住宿���、換機(jī)票、換購(gòu)物卡等一系列有價(jià)值的商品��。忠誠(chéng)度積分一定會(huì)設(shè)計(jì)成被用戶易于使用���。大部分忠誠(chéng)度積分都是可以從用戶A轉(zhuǎn)移到用戶B處�。SPG也不例外�����,SPG的忠誠(chéng)度積分也可以兌換多種有價(jià)值的東西��,同時(shí)支持積分轉(zhuǎn)移能力。SPG積分在Dream Market�、Olympus and Berlusconi Market等線上黑市都有巨大交易額,在黑市1個(gè)SPG積分價(jià)格在5美分左右(官網(wǎng)價(jià)格35美分)�����。獲得SPG俱樂(lè)部帳號(hào)和用戶電話號(hào)后�����,黑客可以很容易的把用戶的SPG積分轉(zhuǎn)移出來(lái)進(jìn)行出售�。大部分用戶搞不清楚自己具體的積分?jǐn)?shù)量。所以只要黑客對(duì)著5億用戶每次只轉(zhuǎn)移有限的積分����,就可以穩(wěn)定持續(xù)的利用SPG忠誠(chéng)度積分賺錢(qián)���,而不被發(fā)現(xiàn)�。
解決之道
此次萬(wàn)豪安全事件��,歸根結(jié)底可能是2015年喜達(dá)屋未完全清理IT系統(tǒng)木馬后門(mén)導(dǎo)致���。安全不是簡(jiǎn)單的邊界和外網(wǎng)安全��,內(nèi)網(wǎng)安全尤其是數(shù)據(jù)庫(kù)安全更加關(guān)鍵����。
如果使用適當(dāng)?shù)陌踩ぞ邔?duì)數(shù)據(jù)庫(kù)定期掃描。應(yīng)該早就能發(fā)現(xiàn)黑客在預(yù)訂數(shù)據(jù)庫(kù)中殘留的木馬�、后門(mén),也就不會(huì)發(fā)生現(xiàn)在的5億數(shù)據(jù)泄露事件����。
首先萬(wàn)豪應(yīng)該部署具有檢測(cè)數(shù)據(jù)庫(kù)中異常包、存儲(chǔ)過(guò)程�����、觸發(fā)器���、各項(xiàng)參數(shù)以及后門(mén)的數(shù)據(jù)庫(kù)掃描類(lèi)工具��。這些檢測(cè)語(yǔ)句可以幫助用戶早發(fā)現(xiàn)早鏟除潛在的數(shù)據(jù)庫(kù)木馬和后門(mén)���。
當(dāng)然只依賴于數(shù)據(jù)庫(kù)掃描類(lèi)工具的定期巡檢是遠(yuǎn)遠(yuǎn)不夠的。掃描類(lèi)產(chǎn)品能發(fā)現(xiàn)的基本屬于已經(jīng)出現(xiàn)的安全威脅���,對(duì)未知的安全威脅的探查能力可能不足���。想要對(duì)未知的安全威脅做防護(hù)則需要具備能讀懂SQL語(yǔ)義的數(shù)據(jù)庫(kù)防火墻�。如果2014年喜達(dá)屋就部署了能讀懂SQL語(yǔ)義的數(shù)據(jù)庫(kù)防火墻相信�����,就不會(huì)被黑客植入木馬或后門(mén)�。
能讀懂SQL的意思是,基于SQL語(yǔ)法解析�,聯(lián)系上下文理解存儲(chǔ)過(guò)程或包中是否存在惡意行為。數(shù)據(jù)庫(kù)防火墻能識(shí)別所有去向數(shù)據(jù)庫(kù) 觸發(fā)器����、儲(chǔ)過(guò)程中的SQL。通過(guò)SQL語(yǔ)法分析器�����,識(shí)別是否存在惡意行為��。數(shù)據(jù)庫(kù)防火墻在SQL語(yǔ)法分析器后不是單純的就單句SQL進(jìn)行行為分析�。而是對(duì)整個(gè)SQL語(yǔ)句包根據(jù)上下文環(huán)境的SQL行為進(jìn)行分析��。當(dāng)整個(gè)SQL語(yǔ)句包中存在命中安全規(guī)則的多個(gè)必要點(diǎn)時(shí)����,則可以判斷該語(yǔ)句包存在惡意行為����,會(huì)主動(dòng)阻斷該語(yǔ)句包����,并向相關(guān)人員進(jìn)行危險(xiǎn)告警。
數(shù)據(jù)庫(kù)防火墻����、數(shù)據(jù)庫(kù)漏掃,從不同層面和角度防護(hù)數(shù)據(jù)庫(kù)被植入木馬或后門(mén)�。數(shù)據(jù)庫(kù)防火墻利用SQL分析技術(shù),依托上下文SQL語(yǔ)境��,動(dòng)態(tài)抓出存在惡意行為的語(yǔ)句包進(jìn)行實(shí)施攔截����。數(shù)據(jù)庫(kù)漏掃依托授權(quán)檢測(cè)中針對(duì)數(shù)據(jù)庫(kù)中異常包、存儲(chǔ)過(guò)程�����、觸發(fā)器���、各項(xiàng)參數(shù)以及后門(mén)的檢測(cè)語(yǔ)句��,進(jìn)行對(duì)已知威脅的檢查��,防止數(shù)據(jù)庫(kù)中存在隱患�。
他們二者除了可以從不同維度防護(hù)針對(duì)數(shù)據(jù)庫(kù)的后門(mén)或木馬攻擊外,還可以通過(guò)相互聯(lián)動(dòng)增強(qiáng)兩者的實(shí)力�。數(shù)據(jù)庫(kù)防火墻攔截下一個(gè)新型隱患,數(shù)據(jù)庫(kù)漏掃則根據(jù)這個(gè)新型的特征更新掃描檢測(cè)項(xiàng)��。一旦數(shù)據(jù)庫(kù)防火墻未發(fā)現(xiàn)�����,但漏掃發(fā)現(xiàn)安全隱患�,則數(shù)據(jù)庫(kù)防火墻根據(jù)隱患特征更新防護(hù)策略。優(yōu)化已有安全策略���,進(jìn)一步提高防護(hù)能力����。
那么����,我們借“萬(wàn)豪數(shù)據(jù)泄露事件”回望2018年,看看忽略了什么�����?又應(yīng)該重視什么��?
2018年年終將至����,對(duì)從事信息安全工作的人來(lái)說(shuō),讓我們印象更深刻的應(yīng)該還是2018年一起又一起起轟動(dòng)全球的“信息安全事件”���。
2018年3月��,F(xiàn)acebook爆出史上最大規(guī)模數(shù)據(jù)泄露事件����,牽出驚天丑聞�����。扎克伯格一度落下神壇�����,成為俎上之肉。
2018年8月���,1.3億身份數(shù)據(jù)泄露事件將華住酒店集團(tuán)推上了風(fēng)口浪尖���,當(dāng)然大家最關(guān)心的還是另外一個(gè)話題,自己的開(kāi)房記錄會(huì)不會(huì)被公開(kāi)���。
2018年10月���,香港國(guó)泰及港龍航空的940萬(wàn)名客戶資料外泄,事件若牽涉歐洲公民��,有可能被歐盟罰款約39億元港幣��。
2018年11月���,RushQL勒索病毒卷土重來(lái)��。時(shí)隔兩年���,同一個(gè)勒索病毒竟然能把我們這么多企業(yè)擊倒兩次。
2018年12月1日,早晨起來(lái)第一個(gè)爆炸性新聞出爐����,萬(wàn)豪酒店數(shù)據(jù)庫(kù)被入侵���,5億人私密信息或外泄�。消息公布后���,萬(wàn)豪國(guó)際美股股盤(pán)前一度大跌逾5%����!
自“斯諾登事件”以來(lái)�,信息安全對(duì)每個(gè)個(gè)體而言都已經(jīng)不再陌生,全球的信息安全事業(yè)也可謂如火如荼���。以Facebook���、萬(wàn)豪、華數(shù)�、香港航空等這種體量的全球型公司,在信息安全方面的投入不會(huì)小�����,但是為什么“數(shù)據(jù)泄露”事件頻頻發(fā)生,像夢(mèng)魘一樣時(shí)刻糾纏折磨著我們�����?�?偨Y(jié)三點(diǎn)原因如下:
1���、技術(shù)演進(jìn)催生更多復(fù)雜場(chǎng)景����,相伴相生更多新問(wèn)題�。
隨著云計(jì)算、大數(shù)據(jù)等新型IT技術(shù)的演進(jìn)�����,數(shù)據(jù)泄露的勢(shì)頭不僅沒(méi)有止步反而愈演愈烈����。尤其在大數(shù)據(jù)場(chǎng)景下,數(shù)據(jù)從多個(gè)渠道大量匯聚����,數(shù)據(jù)類(lèi)型����、用戶角色和應(yīng)用需求更加多樣化��,訪問(wèn)控制面臨諸多新的問(wèn)題��。
2��、技術(shù)突飛猛進(jìn)�����,組織��、企業(yè)的信息安全意識(shí)卻慣之以“落后”���。
這并非單指用戶吝惜在“信息安全”上的投入,而是對(duì)信息安全問(wèn)題心存僥幸����,重視結(jié)果忽視過(guò)程雖然花了大量資金購(gòu)置“安全產(chǎn)品”,卻往往只是在面臨檢查的時(shí)候拿出來(lái)用一用����,用完了再束之高閣���。將安全產(chǎn)品真正使用起來(lái)的用戶,太少���,太少�����。
例如��,最近又一次爆發(fā)的RushQL勒索病毒�。早在2016年這種病毒就爆發(fā)過(guò)一次席卷全球的沖擊波���。雖然��,檢測(cè)手段和解決方案在網(wǎng)絡(luò)上隨處可見(jiàn)���,但時(shí)隔兩年,同一個(gè)病毒再次爆發(fā)�����,再一次將一大批企業(yè)擊倒。安華金和的數(shù)據(jù)庫(kù)防火墻產(chǎn)品��,專(zhuān)項(xiàng)增加了這種勒索病毒的防護(hù)規(guī)則���,只要開(kāi)啟防火墻規(guī)則就可以避免這種入侵行為��。但事實(shí)證明“歷史給人類(lèi)最大的教訓(xùn)就是我們從來(lái)不從歷史中得到任何教訓(xùn)”�。
3����、安全市場(chǎng)亂象�,抓不住重點(diǎn)是根本。
“數(shù)據(jù)”是信息系統(tǒng)的核心資產(chǎn)���,而數(shù)據(jù)庫(kù)是“數(shù)據(jù)資產(chǎn)”的載體�?����!?a href="http://m.wallpapic-fi.com/" target="_blank" title="數(shù)據(jù)庫(kù)安全" style="white-space: normal;">數(shù)據(jù)庫(kù)安全”理應(yīng)作為一門(mén)獨(dú)立的課程�����,引起用戶的重視。據(jù)《2017年全球數(shù)據(jù)泄露成本研究》報(bào)告顯示����,早期,惡意攻擊者的目標(biāo)是業(yè)務(wù)系統(tǒng)�,以導(dǎo)致業(yè)務(wù)中斷為目的。近年伴隨數(shù)據(jù)資產(chǎn)價(jià)值與日俱增���,惡意攻擊者的目標(biāo)越來(lái)越多的指向數(shù)據(jù)存儲(chǔ)的基礎(chǔ)設(shè)施——數(shù)據(jù)庫(kù)系統(tǒng)�。換言之��,“數(shù)據(jù)庫(kù)安全”是“數(shù)據(jù)安全”的最后一層底線���。如果數(shù)據(jù)庫(kù)被突破�,數(shù)據(jù)安全便無(wú)從談起��。
在數(shù)據(jù)庫(kù)安全領(lǐng)域���,主要包含了數(shù)據(jù)庫(kù)審計(jì)�����、數(shù)據(jù)庫(kù)防火墻����、數(shù)據(jù)庫(kù)脫敏、數(shù)據(jù)庫(kù)加密等數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)��。專(zhuān)業(yè)的安全企業(yè)應(yīng)當(dāng)具備安全攻防的研究能力和技術(shù)積累���,能夠?yàn)橛脩籼峁┘皶r(shí)有效的安全事件響應(yīng)��,在最短時(shí)間內(nèi)控制泄露規(guī)模和態(tài)勢(shì)��,并能夠通過(guò)分析攻擊樣本����,提供有效的安全加固策略��。
最后�����,站在戰(zhàn)略層面總結(jié)數(shù)據(jù)安全技術(shù)保護(hù)�,要以數(shù)據(jù)安全治理的技術(shù)思路�,來(lái)踐行中國(guó)信息通信研究院給出的建議:
● 一是建立覆蓋數(shù)據(jù)收集、傳輸�、存儲(chǔ)����、處理��、共 享����、銷(xiāo)毀全生命周期的安全防護(hù)體系,綜合利用數(shù)據(jù)源驗(yàn)證��、大規(guī)模傳輸加密��、非關(guān)系型數(shù)據(jù)庫(kù)加密存儲(chǔ)���、隱私保護(hù)��、數(shù)據(jù)交易安全���、數(shù)據(jù)防泄露、追蹤溯源�����、數(shù)據(jù)銷(xiāo)毀等技術(shù),與系統(tǒng)現(xiàn)有信息安全技術(shù)設(shè)施相結(jié)合��,建立縱深的防御體系��。
● 二是提升大數(shù)據(jù)平臺(tái)本身的安全防御能力��,引入用戶和組件的身份認(rèn)證�、細(xì)粒度的訪問(wèn)控制、數(shù)據(jù)操作安全審計(jì)��、數(shù)據(jù)脫敏等隱私保護(hù)機(jī)制����,從機(jī)制上防止數(shù)據(jù)的未授權(quán)訪問(wèn)和泄露,同時(shí)增加大數(shù)據(jù)平臺(tái)組件配置和運(yùn)行過(guò)程中隱含的安全問(wèn)題的關(guān)注����,加強(qiáng)對(duì)平臺(tái)緊急安全事件的響應(yīng)能力。
● 三是實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)檢測(cè)的轉(zhuǎn)變����,借助大數(shù)據(jù)分析�、人工智能等技術(shù),實(shí)現(xiàn)自動(dòng)化威脅識(shí)別�����、風(fēng)險(xiǎn)阻斷和攻擊溯源,從源頭上提升大數(shù)據(jù)安全防御水平��,提升對(duì)未知威脅的防御能力和防御效率���。
產(chǎn)品咨詢:4000 258 365 
