11月30日,万豪国际集团发布声明称,公司旗下喜达屋酒店的一个客房预订数据库被黑客入侵,在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。从万豪事件披露的公告中我们可以看到,这是一起数据库安全事件。此事件直接导致万豪股价当天下跌5.59%。
笔者就此检索了喜达屋相关的安全事件,发现喜达屋不是第一次出现大规模数据泄露问题。3年前喜达屋已被爆出,因POS恶意软件入侵,导致旗下54间酒店全部客户信息泄露。笔者调研酒店业的整体安全情况,发现酒店业整体安全情况普遍不容乐观,数据泄露事件时有发生。
笔者尝试从技术角度对此次万豪泄露事件进行分析,但大量关键信息严重缺失,其中夹杂大量的个人推测。希望本文能帮助酒店行业提高安全意识。
事件分析
根据万豪国际集团发布的声明,细读后挖掘出时间线如下:
根据万豪国际的公告,此次攻击至少从2014年开始。而2015年喜达屋被POS恶意软件入侵的调查报告中,指出POC恶意软件入侵也是在2014年开始。所以有理由相信2014年喜达屋遭到了有组织的黑客入侵,入侵规模和范围都比喜达屋2015年发现的更严重。同时此次事件爆发后万豪国际首席执行官Arne Sorenson表示万豪目前正在逐渐淘汰喜达屋的系统。这也从侧面印证了,或许直到现在喜达屋系统中的后门和木马也并未被全部发现并清理,为了防止再次发生类似事件,万豪决定彻底弃用喜达屋整套IT系统。
万豪是在9月8号发现的未授权访问数据问题。9月10日就成功阻断了入侵攻击。安全专家花了2个多月时间完成对被盗取的加密数据进行溯源工作,并恢复了一部分找到的数据,尝试给出了可能被盗取数据的范围。
万豪国际的公告中明确指出黑客在喜达屋的预订数据库中进行了数据的复制和加密工作。2014年黑客很可能已经在数据库中留有后门。后门可能是一组触发器和存储过程构成。黑客的攻击很可能如下图所示:
图中简单的把喜达屋的IT系统分为了内网和外网两部分(真实系统远比这个复杂)。黑客在2014年的攻击中应该已经入侵到喜达屋的预定系统数据库。在入侵后在数据库中植入了后门。这些后门至少包含一个用于重复插入数据的触发器和一个用于给数据加密的存储过程。两者相互配合可以完成黑客在数据库中复制且加密数据的目的。
图中绿线是正常用户的正常操作。正常用户在访问喜达屋的订票系统后,订票系统经过一系列过程把相关信息生成一条SQL记录。SQL记录录入到预订系统数据库的B表中。但由于之前黑客已经在里面部署了,用于复制数据的触发器C和提供加密功能的存储过程。于是神不知鬼不觉的B表的数据,就被加密后复制到A表中了。黑客就可以不定期的从A表中读取B表的敏感数据。
图中红线是黑客拿取数据的路线。黑客沿着自己打通的内网外系统去访问数据库中的表A。结果这次被万豪的安全工具发现。万豪的安全工具很可能是基于访问ip记录,发现的此次未授权访问。
此事件中黑客把敏感数据加密,然后传出,更说明这是个有组织的黑客团体行为。加密敏感数据,可以有效的延长安全审计系统发现敏感数据被盗取的情况。即便被捕获异常流量,也给分析溯源带来巨大难度。其次加密敏感数据也有效的防止自身系统被其他黑客组织攻破,而失去敏感数据。这个黑客团体尽最大努力保证这份数据完全在自己的控制下。
黑客动机分析
酒店业的数据盗取事件一直层出不穷。这和酒店业天生对外接口多且业务复杂,给黑客更多入侵的机会有一定关系。但黑客组织一直盯着酒店业数据的主要原因,不是酒店业易于入侵的IT环境,而是酒店业数据中自带的巨大经济效益。根据多年对黑客入侵趋势的研究,如今的黑客攻击都是以隐匿自己、快速折现为目地。恰好酒店业有一种数据满足黑客上述要求。
此次万豪声明外泄的数据包含:姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG俱乐部账户信息、出生如期、性别、到达与离开信息、预定日期和通信偏好、支付卡号和支付卡有效期。包含万豪在内大部分酒店把安全防护重点放在泄露的支付卡号和支付卡有效期这两组数据上,但实际上除非黑客只希望用这笔数据挣一次钱,否则绝对不会尝试盗刷信用卡或出售用户数据。黑客隐藏了4年才被意外发现,说明黑客之前并未大规模贩卖盗取的个人信息和信用卡信息。
从2013年开始黑市上的个人信息质量大幅下降。只有一些小型的黑客团伙还在交易个人信息。大型黑客团伙已经放弃通过倒卖个人信息牟利,而是通过对数据的深度挖掘和利用进行牟利。信用卡信息确实在黑市有很大市场,但一旦盗刷,很快会被用户发现。加上用户安全意识的提高、以及银行的各种措施,很可能盗刷失败,还会暴露自己。
万豪公布的被盗数据中的SPG俱乐部账号信息才是黑客盗取的主要目标。酒店为了吸引回头客一般会给自己的会员提供忠诚度积分。忠诚度积分可以用来进行换住宿、换机票、换购物卡等一系列有价值的商品。忠诚度积分一定会设计成被用户易于使用。大部分忠诚度积分都是可以从用户A转移到用户B处。
SPG也不例外,SPG的忠诚度积分也可以兑换多种有价值的东西,同时支持积分转移能力。SPG积分在Dream Market、Olympus and Berlusconi Market等线上黑市都有巨大交易额,在黑市1个SPG积分价格在5美分左右(官网价格35美分)。获得SPG俱乐部帐号和用户电话号后,黑客可以很容易的把用户的SPG积分转移出来进行出售。大部分用户搞不清楚自己具体的积分数量。所以只要黑客对着5亿用户每次只转移有限的积分,就可以稳定持续的利用SPG忠诚度积分赚钱,而不被发现。
解决之道
此次万豪安全事件,归根结底可能是2015年喜达屋未完全清理IT系统木马后门导致。安全不是简单的边界和外网安全,内网安全尤其是数据库安全更加关键。
如果使用适当的安全工具对数据库定期扫描。应该早就能发现黑客在预订数据库中残留的木马、后门,也就不会发生现在的5亿数据泄露事件。
首先万豪应该部署具有检测数据库中异常包、存储过程、触发器、各项参数以及后门的数据库扫描类工具。这些检测语句可以帮助用户早发现早铲除潜在的数据库木马和后门。
当然只依赖于数据库扫描类工具的定期巡检是远远不够的。扫描类产品能发现的基本属于已经出现的安全威胁,对未知的安全威胁的探查能力可能不足。想要对未知的安全威胁做防护则需要具备能读懂SQL语义的数据库防火墙。如果2014年喜达屋就部署了能读懂SQL语义的数据库防火墙相信,就不会被黑客植入木马或后门。
能读懂SQL的意思是,基于SQL语法解析,联系上下文理解存储过程或包中是否存在恶意行为。数据库防火墙能识别所有去向数据库触发器、储过程中的SQL。通过SQL语法分析器,识别是否存在恶意行为。数据库防火墙在SQL语法分析器后不是单纯的就单句SQL进行行为分析。而是对整个SQL语句包根据上下文环境的SQL行为进行分析。当整个SQL语句包中存在命中安全规则的多个必要点时,则可以判断该语句包存在恶意行为,会主动阻断该语句包,并向相关人员进行危险告警。
数据库防火墙、数据库漏扫,从不同层面和角度防护数据库被植入木马或后门。数据库防火墙利用SQL分析技术,依托上下文SQL语境,动态抓出存在恶意行为的语句包进行实施拦截。数据库漏扫依托授权检测中针对数据库中异常包、存储过程、触发器、各项参数以及后门的检测语句,进行对已知威胁的检查,防止数据库中存在隐患。
他们二者除了可以从不同维度防护针对数据库的后门或木马攻击外,还可以通过相互联动增强两者的实力。数据库防火墙拦截下一个新型隐患,数据库漏扫则根据这个新型的特征更新扫描检测项。一旦数据库防火墙未发现,但漏扫发现安全隐患,则数据库防火墙根据隐患特征更新防护策略。优化已有安全策略,进一步提高防护能力。
那么,我们借“万豪数据泄露事件”回望2018年,看看忽略了什么?又应该重视什么?
2018年年终将至,对从事信息安全工作的人来说,让我们印象更深刻的应该还是2018年一起又一起起轰动全球的“信息安全事件”:
2018年3月,Facebook爆出史上最大规模数据泄露事件,牵出惊天丑闻。扎克伯格一度落下神坛,成为俎上之肉。
2018年8月,1.3亿身份数据泄露事件将华住酒店集团推上了风口浪尖,当然大家最关心的还是另外一个话题,自己的开房记录会不会被公开。
2018年10月,香港国泰及港龙航空的940万名客户资料外泄,事件若牵涉欧洲公民,有可能被欧盟罚款约39亿元港币。
2018年11月,RushQL勒索病毒卷土重来。时隔两年,同一个勒索病毒竟然能把我们这么多企业击倒两次。
2018年12月1日,早晨起来第一个爆炸性新闻出炉,万豪酒店数据库被入侵,5亿人私密信息或外泄。消息公布后,万豪国际美股股盘前一度大跌逾5%!
自“斯诺登事件”以来,信息安全对每个个体而言都已经不再陌生,全球的信息安全事业也可谓如火如荼。以Facebook、万豪、华数、香港航空等这种体量的全球型公司,在信息安全方面的投入不会小,但是为什么“数据泄露”事件频频发生,像梦魇一样时刻纠缠折磨着我们。
总结三点原因如下:
1、技术演进催生更多复杂场景,相伴相生更多新问题
随着云计算、大数据等新型IT技术的演进,数据泄露的势头不仅没有止步反而愈演愈烈。尤其在大数据场景下,数据从多个渠道大量汇聚,数据类型、用户角色和应用需求更加多样化,访问控制面临诸多新的问题。
2、技术突飞猛进,组织、企业的信息安全意识却惯之以“落后”
这并非单指用户吝惜在“信息安全”上的投入,而是对信息安全问题心存侥幸,重视结果忽视过程虽然花了大量资金购置“安全产品”,却往往只是在面临检查的时候拿出来用一用,用完了再束之高阁。将安全产品真正使用起来的用户,太少,太少。
例如,最近又一次爆发的RushQL勒索病毒。早在2016年这种病毒就爆发过一次席卷全球的冲击波。虽然,检测手段和解决方案在网络上随处可见,但时隔两年,同一个病毒再次爆发,再一次将一大批企业击倒。安华金和的数据库防火墙产品,专项增加了这种勒索病毒的防护规则,只要开启防火墙规则就可以避免这种入侵行为。但事实证明“历史给人类最大的教训就是我们从来不从历史中得到任何教训”。
3、安全市场乱象,抓不住重点是根本
“数据”是信息系统的核心资产,而数据库是“数据资产”的载体。“数据库安全”理应作为一门独立的课程,引起用户的重视。据《2017年全球数据泄露成本研究》报告显示,早期,恶意攻击者的目标是业务系统,以导致业务中断为目的。近年伴随数据资产价值与日俱增,恶意攻击者的目标越来越多的指向数据存储的基础设施——数据库系统。换言之,“数据库安全”是“数据安全”的最后一层底线。如果数据库被突破,数据安全便无从谈起。
在数据库安全领域,主要包含了数据库审计、数据库防火墙、数据库脱敏、数据库加密等数据库安全防护技术。专业的安全企业应当具备安全攻防的研究能力和技术积累,能够为用户提供及时有效的安全事件响应,在最短时间内控制泄露规模和态势,并能够通过分析攻击样本,提供有效的安全加固策略。
最后,站在战略层面总结数据安全技术保护,要以数据安全治理的技术思路,来践行中国信息通信研究院给出的建议:
一是建立覆盖数据收集、传输、存储、处理、共享、销毁全生命周期的安全防护体系,综合利用数据源验证、大规模传输加密、非关系型数据库加密存储、隐私保护、数据交易安全、数据防泄露、追踪溯源、数据销毁等技术,与系统现有信息安全技术设施相结合,建立纵深的防御体系。
二是提升大数据平台本身的安全防御能力,引入用户和组件的身份认证、细粒度的访问控制、数据操作安全审计、数据脱敏等隐私保护机制,从机制上防止数据的未授权访问和泄露,同时增加大数据平台组件配置和运行过程中隐含的安全问题的关注,加强对平台紧急安全事件的响应能力。
三是实现从被动防御到主动检测的转变,借助大数据分析、人工智能等技术,实现自动化威胁识别、风险阻断和攻击溯源,从源头上提升大数据安全防御水平,提升对未知威胁的防御能力和防御效率。
