רצח בענן האמזונס

Code Spaces הייתה חברה שהציעה למפתחים מאגרי קוד מקור ושירותי ניהול פרויקטים באמצעות Git או Subversion, בין היתר. זה נמשך כבר שבע שנים, ולא חסר לו לקוחות. אבל הכל נגמר עכשיו - החברה נרצחה בעצם על ידי תוקף.

אנו מדברים על אבטחה, גיבויים ובעיקר הענן, אך קשה לכמת את מרבית המאמצים שאנו עושים, במיוחד לאור החששות התקציביים. אנו יכולים לבצר את החומות שלנו ככל האפשר בעזרת המשאבים שיש לנו, וברוב המכריע של המקרים זה יספיק. לפעמים, עם זאת, זה לא יספיק.

[למד כיצד להפחית במידה ניכרת את האיום של התקפות זדוניות באמצעות הדו"ח המיוחד של Insider Threat Deep Dive PDF. | הישאר מעודכן לגבי ההתפתחויות האחרונות בתחום האבטחה באמצעות העלון של מרכז האבטחה. ]

Code Spaces נבנה בעיקר על AWS, תוך שימוש במופעי אחסון ושרתים כדי לספק את שירותיו. מקרי שרת אלה לא נפרצו, וגם מסד הנתונים של Code Spaces לא נפגע או נגנב. על פי ההודעה באתר ה- Code Spaces, תוקף קיבל גישה ללוח הבקרה של AWS של החברה ודרש כסף תמורת שחרור השליטה בחזרה ל- Code Spaces. כש- Spaces Code לא עמדו בניסיון להחזיר את השליטה על השירותים שלה, התוקף החל למחוק משאבים. כפי שנכתב בהודעה באתר: "סוף סוף הצלחנו להחזיר את הגישה לפאנל שלנו, אך לא לפני שהוא הסיר את כל תצלומי ה- EBS, דלי S3, כל ה- AMI, כמה מקרי EBS ומספר מקרים של מכונות."

ההתקפה הרסה למעשה את מרחבי הקוד. זו השוואה ישירה למישהו שפורץ לבניין משרדים בשעת לילה מאוחרת, דורש כופר ואז משליך רימונים למרכז הנתונים אם הדרישות לא נענו. ההבדל היחיד הוא שזה הרבה יותר קל לחדור לפלטפורמה מבוססת ענן מאשר לפרוץ פיזית מרכז נתונים ארגוני.

אני בטוח שתרחיש זה מעולם לא עלה על דעתם של הנשמות המסכנות האלה ב- Spaces Code. סביר להניח שהם שמרו על אמצעי האבטחה שלהם, דאגו שאבטחת השרתים שלהם תהיה הדוקה, וסמכו על אמזון בחלק הארי של התשתית שלהם - שלא כמו אלפי חברות אחרות. עם זאת ההתקפה שהביאה את Spaces Code הייתה פשוטה כמו קבלת גישה ללוח הבקרה שלה ב- AWS. כל הביטחון בעולם אינו מהותי כאשר האיום מגיע מבפנים, ונראה שזה מה שקרה כאן.

במקומות קוד היו שירותים וגיבויים משוכפלים, אך ככל הנראה ניתן היה לשלוט על אותם פאנלים מאותם פאנלים, וכך הושמדו באופן קצר. החברה אומרת שחלק מהנתונים עדיין נותרו, והיא עובדת עם הלקוחות ככל האפשר כדי לספק גישה למה שנשאר.

זה סוג הסיפור שצריך להכות את כולנו קשה, כי זה בהחלט יכול לקרות לך וללי. זה בהחלט מחזק את הרעיון שהפרדת שירותים היא דבר טוב.

אם אתה מפעיל שירותי ענן, כדאי שתשתמש בכמה ספקים שונים. עליכם להפיץ את השירותים שלכם על פני מספר מיקומים גיאוגרפיים, אם בכלל, ולהוציא כמה וכמה דולרים נוספים על אמצעי בטיחות מעבר להדמיית מופעי שרת פשוטים. אתה בהחלט צריך לקבל גיבויים מחוץ לאתר - זה לא צריך להיות סחיר - אם כי זה יסתכם בהוצאה משמעותית כאשר כל השאר פועל בענן.

הזמן המתאים עבור ספקי גיבוי ענן של צד שלישי לפטר את סוסיהם. הסיפור העצוב ביותר הזה אמור להשיג להם יותר מכמה לקוחות.

לאנשים שעומדים מאחורי מרחבי הקוד שללא ספק עדיין מסתדרים מהתקפה הבלתי מעורערת הזו, יש לך תנחומי בכנות. אפשר לקוות שהאנשים שמאחורי הרס כזה יובאו לדין, אם כי זה נראה לא סביר. אתה יכול להתנחם בידיעה שאומללותך עשויה לעזור לאחרים להימנע מגורלות דומות. נוחות קטנה, אני יודע.

סיפור זה, "רצח בענן האמזונס", פורסם במקור באתר .com. קרא עוד בבלוג The Deep End של פול ונציה באתר .com. לקבלת החדשות האחרונות בתחום הטכנולוגיה העסקית, עקוב אחר .com בטוויטר.