依據美國聯邦政府內政部在年初發佈的一份報告,美國內政部的雲端系統中遭竊取了超過 1GB 看似敏感的個人資料。
好消息是:這些數據是假的,並且這是一場由監管機構進行該部門的雲端基礎設施是否安全的一系列檢查測試中的一部分。
報告中說明,在 2022 年 3 月至 2023 年 6 月期間進行的內政部雲端基礎設施及其「資料遺失防護解決方案」的安全性測試中,為保護該部門最敏感的資料免受惡意駭客的攻擊,而執行的測試。
由於內政部管理鉅額預算及重要國情,並在雲端託管大量數據,為了測試內政部的雲端基礎設施是否安全,監察辦使用線上工具創建虛假的個人數據,隨後,監察團隊使用該部門雲端環境內的虛擬機來模仿其網路內的「複雜的威脅行為者」,隨後透過已知攻擊手法進行竊取資料的測試。
根據美國聯邦政府內政部的說明,實驗在在一周內進行了 100 多次測試,亦有即時監控政府部門的「電腦日誌和事件追蹤系統」,但沒有任何測試被該部門的網路安全防禦系統檢測到或阻止。
檢測報告指出「該部門未能針對已知且廣泛使用的攻擊手法,落實能夠防止,或檢測惡意行為者用來竊取敏感數據的安全措施。」、「在系統託管在雲端中的這些年裡,該部門從未對系統的控制進行定期所需的測試,以保護敏感資料免遭未經授權的存取。」⋯⋯。
這代表該部門系統使得該單位的敏感資料,面臨著未經授權存取的風險。監察單位也承認既有系統可能無法阻止「資源充足的對手」入侵。 所幸這次「資料外洩」是由監察單位在受控環境中進行的測試,讓受測單位有機會根據報告中列出的建議來改善其系統,強化雲端安全防禦。
隨著公私單位資料上雲的比重的增長,雲端服務的使用,不僅僅是資料的搬遷上雲,上雲策略還需含括資訊安全、備援機制⋯⋯等風險管理的關注與建立,才能真正擁抱雲端的無限可能。
資料來源:techcrunch:A government watchdog hacked a US federal agency to stress-test its cloud security