據(jù)澎湃新聞2月15日消息,2月13日,GDI基金會荷蘭安全研究員Victor Gevers在推特上爆料����,中國某公司發(fā)生大規(guī)模數(shù)據(jù)泄露事件。
Gevers表示�����,該公司所掌握的數(shù)百萬人的跟蹤數(shù)據(jù)可供任何人訪問����,其中包含超過256萬人的個人信息,例如身份證號碼�����、身份證發(fā)行日期�����、性別�����、國家����、住址����、生日��、照片���、雇主和過去24小時內(nèi)的位置����,大約有668萬條記錄�����。
Gevers稱����,該公司的數(shù)據(jù)庫從2018年7月開始就處于任何人都可以訪問的狀態(tài)。
經(jīng)仔細閱讀分析該案例后��,發(fā)現(xiàn)常易被人忽視的日常安全運營之安全基線工作即能輕松預防和避免該類事件的發(fā)生����,詳細分析如下:
一����、案例成因分析
1. 背景信息
2. 數(shù)據(jù)泄露原因技術分析從Gevers在推特上發(fā)的截圖和描述可以初步分析如下�����,該公司使用MongoDB數(shù)據(jù)庫存放人臉識別等個人敏感數(shù)據(jù)����,該數(shù)據(jù)庫實例服務使用MongnDB安裝缺省端口27017�����,該服務端口可由互聯(lián)網(wǎng)直接訪問�,該數(shù)據(jù)庫未啟用身份認證機制,即允許任何人訪問����。
事件產(chǎn)生原因:該公司對存放人臉識別敏感數(shù)據(jù)的MongoDB數(shù)據(jù)庫使用了出場安裝缺省配置,未進行日常安全運營中的安全基線工作���,存在嚴重安全漏洞導致了此事件的發(fā)生�。
二����、安全運營之安全基線工作的預防能力介紹在日常安全運營中的安全基線工作中��,企業(yè)的安全團隊會針對公司使用的各種系統(tǒng)����、軟件和數(shù)據(jù)庫開發(fā)和發(fā)布相應的安全基線標準�����,在系統(tǒng)上線前進行部署和合規(guī)性檢查��,經(jīng)檢查只有在與公司的安全基線標準符合的前提下才允許上線��,這樣就可以避免由于各種系統(tǒng)���、軟件和數(shù)據(jù)庫由于使用廠家出廠不安全缺省配置導致的安全漏洞問題���,有效地降低和控制安全風險。
下面針對該案例摘錄部分MangoDB安全基線內(nèi)容如下:
1. 端到端安全架構設計MongoDB端到端安全架構設計如下圖所示��,從人員��、過程和產(chǎn)品(技術)三個維度進行縱深安全體系防護,分別通過訪問控制��、加密和審計來實施�����。
網(wǎng)絡安全架構部署參照下圖�,通過兩層防火墻將WEB/應用服務器和MongoDB數(shù)據(jù)庫服務器分別隔離在不同的兩個DMZ類進行網(wǎng)絡區(qū)域隔離和分層網(wǎng)絡訪問控制,數(shù)據(jù)庫服務器通過防火墻訪問規(guī)則控制只能由DMZ1區(qū)域內(nèi)的應用服務器訪問����,避免了將其直接暴露給互聯(lián)網(wǎng)的安全風險問題。
2. 啟用MongoDB數(shù)據(jù)庫身份認證功能身份認證功能狀態(tài)檢查:cat/etc/mongod.conf|grep“Auth=”如果身份認證功能已啟用��,則Auth的設置值為“True”��。
激活身份認證功能步驟:
(1)啟動未激活身份認證功能的MongoDB數(shù)據(jù)庫實例;mongod--port27017--dbpath/data/db1
(2)創(chuàng)建數(shù)據(jù)庫系統(tǒng)管理員用戶����,并確保設置的口令符合組織口令策略的要求;useadmindb.createUser({user:"siteUserAdmin",pwd:"password",roles:[{role:"userAdminAnyDatabase",db:"admin"}]})
(3)重啟已激活身份認證功能的MongoDB數(shù)據(jù)庫實例����。
mongod--auth--config/etc/mongod.conf3. 確保MongoDB數(shù)據(jù)庫實例只在授權的接口上偵聽網(wǎng)絡連接當前數(shù)據(jù)庫實例網(wǎng)絡偵聽狀態(tài)檢查:檢查MongoDB配置文件;cat/etc/mongod.conf|grep–A12“net”|grep“bindIp“檢查相關網(wǎng)絡訪問控制設置;iptables–L配置數(shù)據(jù)庫實例偵聽在指定網(wǎng)絡接口并用防火墻規(guī)則進行嚴格訪問控制,應只允許DMZ區(qū)域里的應用服務器連接��,下面以主機防火墻iptables示例配置如下。
iptables-AINPUT-s<ip-address>-ptcp--destination-port27017-mstate--stateNEW,ESTABLISHED-jACCEPTiptables-AOUTPUT-d<ip-address>-ptcp--source-port27017-mstate--stateESTABLISHED-jACCEPT如上對比分析可以看出����,如果企業(yè)在日常安全運營中,認真嚴格地按照MongoDB數(shù)據(jù)庫安全基線標準執(zhí)行的話��,就能夠有效地預防和避免類似大數(shù)據(jù)泄露案例的發(fā)生���。
作者:【深圳維創(chuàng)推薦】加密軟件--為企業(yè)數(shù)據(jù)安全保駕護航�!輕松實現(xiàn)企業(yè)內(nèi)部文件自動加密���,加密后的文件在企業(yè)內(nèi)部正常使用��,未經(jīng)許可私自拷貝外發(fā)出去��,都將無法打開使用�����!對于發(fā)送給第三方的文件可實現(xiàn)控制打開時間�,打開次數(shù)等防泄密參數(shù)����!同時可設置對員工電腦文件自動備份��,防止惡意刪除造成核心數(shù)據(jù)的遺失���!從源頭防止企業(yè)核心文件被外泄!
【本文關鍵詞】:加密軟件���,文件加密����,文檔加密���,圖紙加密軟件���,防泄密軟件,CAD加密軟件�����,文件外發(fā)加密
