摘要: 人才竞争日益激烈 红海下的培训教育行业前景甚好 也正因此 市场竞争日趋白热 其中不乏恶意竞争手段 比如 数据窃取…… 潜客信息泄露 竞争对手抢获先机 刚上班,一阵电话声传来,客服小刘匆忙接起电话。 “您好,这里是安华云安全,请问有什么可以帮您?” “你好,我们...
人才竞争日益激烈
红海下的培训教育行业前景甚好
也正因此
市场竞争日趋白热
其中不乏恶意竞争手段
比如 数据窃取……
潜客信息泄露 竞争对手抢获先机
刚上班,一阵电话声传来,客服小刘匆忙接起电话。
“您好,这里是安华云安全,请问有什么可以帮您?”
“你好,我们公司的信息可能被窃取了,现在找不到原因,你们能帮忙解决吗?“
我们了解到,出现数据泄露的是一家培训教育连锁机构,泄露情况从半年前初次发现,到现在依然在发生,这家机构的老客户和潜在客户频频接到竞争对手推销电话,且信息掌握非常精准。对方猜测应该不是简单的网站注册信息泄露,怀疑CRM数据库中的信息被泄露。
对方公司的营销推广及业务运营主要依靠网络和线上系统,公司配备有过百人的技术团队。发现数据泄露后,客户首选自行解决,尝试了包括端口关闭、修复系统漏洞、应用层传输加密等一系列手段等。
但,泄露依然在发生。
对外的防御不起作用,因此对方锁定目标到分发和存储客户信息的CRM系统数据库遭窃,查看数据库访问日志,可庞大的日志量很难摸出头绪,客户通过网络搜索找到我们,希望能借助我们的技术手段发现数据泄漏源,并阻止泄漏事件的发生。
安全专项工作组成立,实施技术排查
当天,针对此情况,安华云安全组织安全专家及技术人员组成专项小组。次日,赶到客户现场,进一步了解信息泄露情况,调研客户IT架构,排查原因并尝试进行技术还原,寻找泄漏原因。
分析定位泄露原因
安全专家在客户现场了解到,客户CRM数据库部署在阿里云上,使用阿里云数据库服务RDS,云端数据库的安全防护措施使用了应用层的加密。泄露的信息几乎全部是意向度较高的潜在客户,而对于潜客的评级在CRM系统上录入,因此判断数据是从CRM系统的云数据库端批量泄露。
CRM系统后台数据库含有客户信息的数据表有3个,其中1个为关键表,包含所有标明等级的潜客信息,我们先称此表为customer1,表中数据的获取分两种方式:有限制获取和无限制获取。有行数限制的获取每次固定最多可查询10条,由定时任务完成、或注册用户逻辑判断时发起。无行数限制的每次可以获取由登录者权限和时间所共同限制的影响行数。
数据库中关键数据加密存储,并且数据库只开放内网访问,因此外部攻击基本排除。
另一方面,应用程序对查询语句设置了简单的返回行数限制,大部分查询请求只能返回时间最早的10条数据,并非高敏感级别数据。
综上,最有可能的泄露来源应该是内部人员通过绑定IP的ID号进行查询,有可能是黑客盗用账号行为,但也不排除内部人员作案的可能。下一步,是要定位准确泄漏源。
数据库审计成功定位可疑行为
客户曾经试图通过人工分析数据库日志排查泄漏源,即使是一周的日志量,在没有自动化审计工具的情况下,想排查可疑行为如同大海捞针。安全专家建议客户在云服务器上部署云数据库审计系统,镜像CRM系统连接的RDS数据库访问流量,进行通讯协议解析及审计分析。由于审计系统部署在客户云服务器上,操作权限及审计结果只有客户掌握控制权,安全专家提供了可以检测可疑行为的规则和语句模板,客户通过数据库审计系统的自动分析和多维度查询功能自行排查,安全专家远程协助,取得阶段性进展:
通过数据库审计系统将分析范围缩小到高危表customer1及其中敏感字段信息,筛选出针对这些敏感数据的可疑操作,结合检测规则和危险语句模板匹配后,从几十万条SQL语句中排查出多条可疑行为,包括:正常访问源之外的IP地址、深夜批量查询操作以及个别高权限账号对customer1的多条查询操作,经过与客户技术人员核对,前2类可疑操作是正常的程序脚本执行。因此将排查范围锁定在低类:高权限账号的查询操作。最终,通过客户内部确认,果真非本人操作行为,立即采取账号处理措施,并将此语句模板列入安全策略,监控并实施告警。
泄露情况得以遏制
账号处理后,客户持续观察了一段时间,没有再发生客户被骚扰的事情,审计系统的监控结果也未有类似操行为发生。本次排查,之所以能够在短时间内快速定位泄漏源,正式基于数据库审计系统的精确分析展现结合人工分析判断,缺一不可。我们必须承认,对于安全事件的回溯和排查,并不能仅靠工具,审计系统在这里面发挥的作用,最大价值在于为人工排查提供了更准确全面的访问行为记录与解析,及多维度的一键查询展现,才能够有效的缩小排查范围,提高人工排查的准确性和高效性。
数据安全防护建议
帮助用户找到泄露原因后,对于此类内部窃取行为,安华云安全建议在数据库审计技术基础上,加入访问控制手段,针对敏感数据的内、外部访问行为提供访问控制策略及威胁操作的阻断拦截,并延展至客户的本地数据库中。
数据库审计实现事中告警+事后追溯
云数据库审计系统能够帮助安全管理员担当数据库的“监控摄像头”,基于对数据库协议进行精确解析,结合应用关联功能,准确识别访问来源到应用用户及运维用户,并对重点库和表进行重点监控和威胁行为告警,并提供数据库的攻击、篡改、批量、误操作等风险行为的追溯和“回放“,提升数据库安全监控和安全事件溯源能力,为事后追责提供准确依据。
安全运维提升内部运维行为细粒度管控
另外,对于运维侧高权限账号的操作,建议实施细粒度访问控制技术,通过部署云数据库安全运维系统,该系统通过对内部系统进行细粒度的访问与操作权限控制,明确每个内部人员的权限范围,通过对批量数据导出、drop、truncate及No Where更新删除等操作的控制,避免内部人为操作给公司资产带来的损失,依靠安华云数据安全运维独有的动态脱敏技术,在不影响正常运维工作的前提下,实时对应用中的敏感数据进行脱敏,保证运维人员无法查看敏感的数据,降低信息从内部泄漏的机率。