Imperva объясняет, как произошел их недавний инцидент в области безопасности

Imperva объясняет, как произошел их недавний инцидент в области безопасности

В конце августа Imperva пострадала от инцидента с безопасностью, в результате которого была нарушена конфиденциальность информации некоторых клиентов Cloud WAF (ранее Incapsula).

В четверг технический директор Imperva Кунал Ананд (Kunal Anand) наконец объяснил, как все это произошло.

Объявление очень лёгкое в деталях и (возможно, намеренно) расплывчато сформулированное, но это известные в настоящее время факты:

  • 20 августа 2019 года третья сторона уведомила Imperva о воздействии экспозиции данных на некоторых из своих клиентов
  • Первоначальное расследование показало, что часть клиентской базы данных Incapsula, включая адреса электронной почты, хэшированные и соленые пароли, API ключи и SSL сертификаты, предоставленные клиентом для «подгруппы» клиентов Incapsula (до 15 сентября 2017 года), была раскрыта.
  • Раследования продолжаются, они вызвали внешних судебно-экспертных экспертов, уведомили соответствующие глобальные регулирующие органы и начали информировать пострадавших клиентов и консультировать их о том, что им делать.

Компания решила пока не делиться:

  • Кто отчитывался перед третьей стороной
  • Была ли утечка данных (например, неправильно настроенная резервная копия базы данных в облаке) или были ли нарушены их собственные сети и системы
  • Почему они сами не заметили утечку/вскрытие.
  • Была ли обнаружена продажа или активное неправомерное использование скомпрометированных данных
  • Приблизительное количество пострадавших клиентов или
  • Когда произошло нарушение.
  • Когда нарушение действительно произошло.

Не исключено, что они пока не знают ответов на некоторые из этих вопросов.

Компания посоветовала всем клиентам Cloud WAF изменить пароли учетных записей пользователей, реализовать Single Sign-On (SSO), включить двухфакторную аутентификацию, создать и загрузить новый SSL сертификат и сбросить API key.

Имперва также решила внедрить принудительные ротации паролей и 90-дневный срок действия в свой продукт Cloud WAF.

Компания принадлежит частной инвестиционной компании Thoma Bravo, которая приобрела ее в 2019 году.

Imperva объясняет, как произошел их недавний инцидент в области безопасности

Что уже изветно на текущий момент 11 Октября 2019 года

Первым признаком того, что что-то пошло не так, стал случай, когда 20 августа 2019 года компания получила набор данных от неназванной третьей стороны, запросившей вознаграждение за обнаружение ошибки.

Уведомление вызвало расследование, и они обнаружили, что в октябре 2018 года административный ключ API в одной из их производственных учетных записей AWS был использован не по назначению и был обнаружен снимок базы данных, содержащей информацию о клиентах.

Бекап данных взят из снимка по состоянию на 15 сентября 2017 года, то есть содержит данные клиентов, которые открывали учетные записи Cloud WAF до этой даты. Эти данные включали адреса электронной почты, хэшированные и salted пароли, ключи API и ключи TLS, предоставленные клиентом.

Как это случилось?

И поделился информацией о том, что основанием для нарушения стал 2017 год, когда их команда разработчиков продукта перешла на сервис реляционных баз данных AWS (RDS) для масштабирования пользовательской базы данных компании.

«Некоторые ключевые решения, принятые в процессе оценки AWS, позволили извлечь информацию из снимка базы данных. Это были: (1) мы создали снимок базы данных для тестирования; (2) созданный нами внутренний экземпляр вычисления был доступен из внешнего мира и содержал ключ AWS API; (3) этот экземпляр вычисления был взломан и ключ AWS API был украден; и (4) ключ AWS API был использован для доступа к снимку», — пояснил он.

Он убедился, что расследование показало, что эксфильтрация данных не была результатом уязвимости Cloud WAF и что базы данных и снимки других продуктов не подверглись эксфильтрации.

«С тех пор мы вернулись к поиску вредоносной активности, используя каналы информации об угрозах в сочетании с журналами аудита учетных записей в наборе данных. До сих пор мы не обнаружили вредоносного поведения, направленного против наших клиентов (логины, изменения правил и т.д.), и внедрили процедуры для продолжения мониторинга такой активности. Однако мы сохраняем бдительность и будем продолжать следить за вредоносным поведением», — добавил он.

Imperva объясняет, как произошел их недавний инцидент в области безопасности

Принятые меры по снижению ущерба и превентивные меры

Когда они впервые обнаружили природу взломанных данных, Imperva настоятельно призвала всех клиентов Cloud WAF изменить пароли учетных записей пользователей, реализовать Single Sign-On (SSO), включить двухфакторную аутентификацию, создать и загрузить новый сертификат TLS и сбросить API key.

С тех пор их клиенты сменили более 13 000 паролей, вернули более 13 500 SSL сертификатов и восстановили более 1 400 API ключей.

Imperva также внедрила усовершенствованные протоколы безопасности для предотвращения подобных инцидентов в будущем, в том числе:

  • Усиление контроля доступа к системе безопасности
  • Неулегкий аудит доступа к моментальным снимкам
  • Регулярный вывод из эксплуатации неактивных вычислительных инстанций
  • Размещение всех внутренних вычислительных экземпляров за их VPN по умолчанию
  • Ротация мандатов и укрепление процессов управления мандатами
  • Невысокая частота сканирования инфраструктуры.

«Мы принимаем на себя ответственность за то, что инцидент произошел в результате нашего выбора, действий, которые мы предприняли и не предприняли до, во время и после миграции нашей базы данных», — отметил Ананд.

Он рекомендовал всем организациям найти время, чтобы понять общую ответственность за развертывание и управление приложениями и данными в инфраструктуре как услугой (IaaS) и сказал, что они многому научились в результате инцидента и использовали эти знания, чтобы изменить способ управления собственным жизненным циклом разработки безопасного программного обеспечения (SSDLC).

Источник

Понравилась статья? Поделиться с друзьями: