狗万体育,狗万移动端,狗万官网官方网站

在博客中搜索

Imperva安全更新

克里斯·海伦

嗨,大家好,

请在下面找到我们首席技术官Kunal Anand关于安全事件的详细更新。 从发现此事件的那一刻起,我们就建立并坚持以下关键原则:

  • 为我们所有选民做正确的事,
  • 成为事实和数据驱动者,并分享我们所知道的,当我们知道它是真实的时,
  • 履行我们公司的价值观和领导力

我希望您能从此更新中获得启发。

真诚的

克里斯

安全事件更新

Imperva首席技术官Kunal Anand

在深入探讨细节和所学到的知识之前,我想在Imperva上向我们的客户和合作伙伴分享我们所有人的直接信息: 我们很遗憾这一事件发生了,并且一直在不停地学习。并改善我们构建和运行Imperva的方式。 安全永远不会“完成”,我们必须每天继续评估和改进我们的流程。 我们的愿景保持不变:代表客户及其客户引领世界,确保数据和应用程序不受网络犯罪分子的侵害。 现在,我们比以往任何时候都更加致力于实现我们的愿景,即确保数据和应用程序的安全。

在2019年8月27日,Imperva宣布了一项安全事件,影响了我们的一部分Cloud WAF客户。 我们已经与内部安全团队以及外部法证专家进行了彻底的调查,以确定根本原因。 本着透明的精神,我想就发生的事情,导致从数据库快照中泄露信息的攻击链,我们学到的知识以及如何改善IT和产品安全性等方面分享更多见解。姿势。

发生了什么(TL; DR)

我们的调查发现,2018年10月,我们的一个生产AWS账户中未经授权使用了管理API密钥,这导致暴露了包含电子邮件以及哈希和盐化密码的数据库快照。

它是如何发生的

让我们回到2017年,当时我们的Cloud WAF(以前称为Incapsula)在招募新客户和满足他们的关键需求方面承受了巨大的负担。 那年,我们的产品开发团队开始了采用云技术的过程,并迁移到AWS Relational Database Service(RDS)来扩展我们的用户数据库。

在AWS评估过程中做出的一些关键决定一起,可以从数据库快照中提取信息。 它们是:(1)我们创建了一个数据库快照进行测试; (2)我们创建的内部计算实例可从外部访问,并且其中包含一个AWS API密钥; (3)该计算实例遭到破坏,AWS API密钥被盗; (4)使用AWS API密钥访问快照。

纠正措施

自此事件以来,我们采取了一些措施来改进我们的安全协议,包括:(1)应用更严格的安全访问控制; (2)增加对快照访问的审核; (3)停用非活动计算实例; (4)轮换凭证并加强我们的凭证管理流程; (5)默认情况下,将所有内部计算实例放在我们的VPN后面; (6)增加基础架构扫描的频率。

关键问题

我想直接回答过去几周我们的客户和合作伙伴向我们的团队提出的一些常见问题。 可以想像,由于我们采用的是流动性威胁模型,而且我们还处于调查初期,因此我们在发布之时无法回答许多此类问题。

Imperva是如何得知渗透的?

在2019年8月20日,我们收到了来自第三方的数据集,要求提供赏金漏洞。 经过初步审查,我们立即启动了事件响应团队,并随后通知了我们的客户。

渗透是产品漏洞的结果吗?

不,数据泄漏不是Cloud WAF产品漏洞或我们任何其他产品中的漏洞的结果。

渗透何时发生?

根据详细的日志分析,数据泄漏发生在2018年10月。数据集来自2017年9月15日的快照。

您如何知道该数据集来自2017年9月15日?

我们将提供的数据集中的SQL转储与快照进行了比较,并找到了匹配项。 截至本文发布时,我们可以说上述定义的客户数据元素仅限于Cloud WAF帐户,直到2017年9月15日为止。我们未提供其他产品的数据库和快照。

数据集中有什么?

我们进行了广泛的分析,并在数据集中找到以下项目:电子邮件地址,哈希密码和盐腌密码,API密钥和TLS密钥。 为了遵守GDPR,我们联系了适当的全球执法机构和监管机构。 花费了几周的时间来全面,准确地详细描述数据集中的内容。

今天还会再次发生这种情况吗?

不可以,我们针对易受攻击的计算实例和数据库快照执行的安全性流程不能代表我们当前的控件。 今天将在一个全新的部署中标记这两个问题:1)默认情况下,在我们的VPN后面创建了新实例; 2)我们已经安装了监视和修补程序; 3)我们有用于停用未使用和非关键计算的流程实例。

是否有与此安全事件有关的帐户滥用行为?

此后,我们回过头来寻找恶意活动,利用威胁情报源和审核日志(请参阅下面的产品安全更新),与数据集中的帐户相关联。 到目前为止,我们还没有发现任何针对客户的恶意行为(登录,规则更改等),并且已经实施了程序来继续监视此类活动。 但是,我们保持警惕,并将继续监视恶意行为。

Imperva是否部署了数据库活动监视(DAM)产品来监视这些数据库快照?

在2017年,我们的DAM解决方案不支持AWS RDS。 当时,我们的产品依赖于无法安装在任何平台即服务(PaaS)数据库解决方案中的基于代理的体系结构,这是我们在此之前开发并发布Cloud Data Security(CDS)Beta的原因之一年。 我们一直在使用它来帮助我们监视和执行Cloud WAF产品的资产发现。 直到事件发生后才实施CDS。

安全事件工作流和新控件

当我们激活事件响应团队时,我们正式创建了以下10个内部工作流程来全天候(24×7)管理调查:

  1. 我们全球办事处,内部顾问和外部顾问之间的项目管理和协调,使我们能够按照“跟随太阳”的模式前进
  2. 初步发现,客户+监管通知
  3. 吸引外部供应商
  4. 法证工作流
  5. 产品增强功能可加快提供安全控制的路线图(请参阅下面的产品安全更新)
  6. 协助客户进行补救(“白手套支持”)
  7. 进行更改以更好地保护内部开发和后端环境
  8. 增强的笔测试和扫描环境中的漏洞
  9. 将学习内容纳入安全计划
  10. 持续的沟通:员工,客户,合作伙伴,分析师,股东,政府监管机构和执法部门

这些工作流催生了改善我们的IT和产品安全状况的举措。 我想遍历两者并谈谈具体的举措。

IT控制与流程

  • 如果我们没有提前准备好事件响应小组,那么我们对启动工作流程和工作队的立即反应就不可能发生。 多年来,我们已经开发了内部手册,以协助进行流程管理。 尽管每种情况都不尽相同,但遵循指南会有所帮助。
  • 我们对所有AWS环境中的所有管理密钥进行了紧急轮换。 此外,我们增加了行政和非行政帐户所有关键轮换的频率。
  • 在2018年第二季度,我们在AWS管理控制台中实施了SSO和多因素身份验证。 虽然此更改不会阻止发生API密钥访问,但这是改进我们的访问管理控件的重要一步。
  • 在执行常规渗透测试时,我们启动并执行了紧急分析,以尝试找出类似的潜在其他漏洞。 我们没有发现任何其他漏洞。
  • 有问题的计算实例以及作为调查一部分而发现的其他未使用和实验实例已存档,以保存日志,然后将其停用。
  • 两年前,虽然我们启用了AWS CloudTrail和GuardDuty并在SIEM中提取了这些日志事件,但如今我们变得更加主动,并将这些事件转发到UEBA中,包括VPC NetFlow日志。 我们已经围绕关键事件创建了警报和工作流程。 我们还开发了SOC仪表板,以在客户帐户级别(API和管理控制台)监视和警告恶意活动。 这些利用了我们产品的内置审核日志(请参阅下面的产品安全性)。
  • 通常,我们利用这个机会来审核和加强所有安全组ACL和VPC入口/出口规则。
  • 我们还执行S3存储桶的每日扫描和审核检查。 我们认为,这样做很重要,以防止将来发生未经授权的曝光。

产品安全性

  • 今年早些时候,我们为管理控制台推出了SSO。 这是我们最大的企业客户所要求的功能,如今,我们有一些客户将多因素身份验证与SSO结合使用以访问其Cloud WAF管理。
  • 我们强制更改密码,增加了最低密码复杂度,并减少了旋转密码的时间。 后两个原计划在将来发布,但由于此事件而被确定优先级并加快了其实现。 所有这些都已通过Cloud WAF发布到GA。
  • 我们的Cloud WAF始终会为管理和API活动生成审核日志事件。 事件发生后,我们使用这些审核日志通过我们的Attack Analytics产品查找恶意行为。 我们的计划始终是在将来的版本中向客户提供审计功能。 我们在事件发生后优先考虑了此功能,现在该产品已成为GA。 客户可以下载Cloud WAF的完整审计报告,包括登录,密码更改,规则更改以及许多其他事件类型。 这些报告可以通过管理控制台和API生成。
  • 我们集成了Attack Analytics产品,以分析Cloud WAF规则和访问控制中的主机和IP地址。 这意味着我们正在利用自己的IP信誉和威胁情报源来调出关键规则和策略中的恶意活动,并实时向客户发出警报。

重要要点

最后,我想分享一些我们在过去几周里共同学到的东西。

首先,最重要的是,当组织对安全事件做出响应时,我们坚信他们应该与所有利益相关者(员工,客户,合作伙伴,股东等)进行诚实透明的合作。 我们在调查过程中及早进行了快速沟通,以确保我们的客户可以做出明智的决定并采取我们建议的安全措施。 这些建议使我们的客户更改了13,000多个密码,旋转了13,500多个SSL证书,并重新生成了1,400多个API密钥。 我们的首席执行官克里斯·海伦(Chris Hylen)通过公共博客在前端和中心进行了分享,亲自参与了调查领导工作,并呼吁客户和合作伙伴提供最新信息。 在开发内部剧本时,我们一直回到透明的主题。 结果,我们的主要客户和合作伙伴告诉我们,他们感谢我们的开放和诚意。

其次,在与客户共享新发现的信息的需求与以法医和有条理的方式进行调查之间的需求之间存在着自然的张力。 我们解决这种紧张关系的方法是,在与员工,客户,合作伙伴和社区的沟通中,以事实为导向,这仍然意味着我们必须确认调查结果和评估(并采取行动保护所有客户)。为了负责任地分享其他详细信息。

第三,我们利用了公司在全球范围内的分布优势,而事件响应供应商Aon Cyber Solutions也这样做了。 我们在美国和以色列的地点建立了轮换的事件响应中心,全天候为重要的法证,补救和客户支持工作。 我们的工作流包含跨不同时区的跨职能利益相关者,并且每天多次召开会议,持续数周。 作为一家分布式公司,我们可以在建立“跟随太阳”模型时更快地行动。 工作流具有可交付成果和用于生成工作产品的特定格式,这使得事情可以高效地管理和组合在一起。

第四,我们认为该事件是我们在数据库迁移之前,之中和之后选择,未采取措施所导致的。 我们建议所有组织花些时间充分了解在基础架构即服务(IaaS)解决方案中部署和管理应用程序和数据的共同责任。 如上所述,我们结合了关键的学习内容,以改变我们全面考虑和管理自己的安全软件开发生命周期(SSDLC)的方式。

[请在下面的2019年8月27日博客中查看有关此安全事件的原始帖子。]

我想分享有关Imperva发生的安全事件的详细信息,该事件导致数据泄露影响了我们的Cloud Web Application Firewall(WAF)产品(以前称为Incapsula)。 在这种情况下,我们将尽力遵守以下原则:

  • 为我们所有的选民做正确的事
  • 成为事实和数据驱动者,并在我们知道其真实性时分享我们所知道的
  • 履行我们公司的价值观和领导期望

我们希望非常清楚,这种数据公开仅限于我们的Cloud WAF产品。 这是我们今天所了解的情况:

  • 在2019年8月20日,我们从第三方获悉了数据泄露,该数据泄露影响了Cloud WAF产品的部分客户,该客户在2017年9月15日之前拥有帐户。
  • 截止到2017年9月15日,我们的Incapsula客户数据库的元素已公开。 这些包括:
    • 电子邮件地址
    • 哈希密码

对于截至2017年9月15日的部分Incapsula客户:

    • API密钥
    • 客户提供的SSL证书

我们将继续全天候调查此事件,并组建了一支全球性的跨职能团队。 以下是我们已采取的措施:

  • 我们启动了内部数据安全响应团队和协议,并继续以我们的全部资源调查这种情况的发生方式。
  • 我们已通知适当的全球监管机构。
  • 我们聘请了外部法证专家。
  • 我们在Cloud WAF产品中实施了强制密码轮换和90天有效期。
  • 我们将直接通知所有受影响的客户,并分享我们为保护其帐户和数据而采取的步骤以及他们可以采取的其他措施。

对于所有客户,我们建议您采取以下安全措施,作为一种良好做法:

我们对此事件深表遗憾,并将继续共享今后的更新。 此外,我们将与更广泛的行业分享我们的调查和增强的安全措施中可能获得的经验教训和新的最佳实践。 Imperva将不遗余力地提供最好的工具和服务,以确保我们的客户及其客户的安全。

securityincident@collectibleguild.org . 如果您还有其他问题,请联系 securityincident@collectibleguild.org