信息化觀察網(wǎng)

11月30日，萬豪國際集團發(fā)布聲明稱，公司旗下喜達屋酒店的一個客房預(yù)訂數(shù)據(jù)庫被黑客入侵，在2018年9月10日或之前曾在該酒店預(yù)定的最多約5億名客人的信息或被泄露。從萬豪事件披露的公告中我們可以看到，這是一起數(shù)據(jù)庫安全事件。此事件直接導(dǎo)致萬豪股價當天下跌5.59%。

筆者就此檢索了喜達屋相關(guān)的安全事件，發(fā)現(xiàn)喜達屋不是第一次出現(xiàn)大規(guī)模數(shù)據(jù)泄露問題。3年前喜達屋已被爆出，因POS惡意軟件入侵，導(dǎo)致旗下54間酒店全部客戶信息泄露。筆者調(diào)研酒店業(yè)的整體安全情況，發(fā)現(xiàn)酒店業(yè)整體安全情況普遍不容樂觀，數(shù)據(jù)泄露事件時有發(fā)生。

筆者嘗試從技術(shù)角度對此次萬豪泄露事件進行分析，但大量關(guān)鍵信息嚴重缺失，其中夾雜大量的個人推測。希望本文能幫助酒店行業(yè)提高安全意識。

事件分析

根據(jù)萬豪國際集團發(fā)布的聲明，細讀后挖掘出時間線如下：

根據(jù)萬豪國際的公告，此次攻擊至少從2014年開始。而2015年喜達屋被POS惡意軟件入侵的調(diào)查報告中，指出POC惡意軟件入侵也是在2014年開始。所以有理由相信2014年喜達屋遭到了有組織的黑客入侵，入侵規(guī)模和范圍都比喜達屋2015年發(fā)現(xiàn)的更嚴重。同時此次事件爆發(fā)后萬豪國際首席執(zhí)行官Arne Sorenson表示萬豪目前正在逐漸淘汰喜達屋的系統(tǒng)。這也從側(cè)面印證了，或許直到現(xiàn)在喜達屋系統(tǒng)中的后門和木馬也并未被全部發(fā)現(xiàn)并清理，為了防止再次發(fā)生類似事件，萬豪決定徹底棄用喜達屋整套IT系統(tǒng)。

萬豪是在9月8號發(fā)現(xiàn)的未授權(quán)訪問數(shù)據(jù)問題。9月10日就成功阻斷了入侵攻擊。安全專家花了2個多月時間完成對被盜取的加密數(shù)據(jù)進行溯源工作，并恢復(fù)了一部分找到的數(shù)據(jù)，嘗試給出了可能被盜取數(shù)據(jù)的范圍。

萬豪國際的公告中明確指出黑客在喜達屋的預(yù)訂數(shù)據(jù)庫中進行了數(shù)據(jù)的復(fù)制和加密工作。2014年黑客很可能已經(jīng)在數(shù)據(jù)庫中留有后門。后門可能是一組觸發(fā)器和存儲過程構(gòu)成。黑客的攻擊很可能如下圖所示：

圖中簡單的把喜達屋的IT系統(tǒng)分為了內(nèi)網(wǎng)和外網(wǎng)兩部分(真實系統(tǒng)遠比這個復(fù)雜)。黑客在2014年的攻擊中應(yīng)該已經(jīng)入侵到喜達屋的預(yù)定系統(tǒng)數(shù)據(jù)庫。在入侵后在數(shù)據(jù)庫中植入了后門。這些后門至少包含一個用于重復(fù)插入數(shù)據(jù)的觸發(fā)器和一個用于給數(shù)據(jù)加密的存儲過程。兩者相互配合可以完成黑客在數(shù)據(jù)庫中復(fù)制且加密數(shù)據(jù)的目的。

圖中綠線是正常用戶的正常操作。正常用戶在訪問喜達屋的訂票系統(tǒng)后，訂票系統(tǒng)經(jīng)過一系列過程把相關(guān)信息生成一條SQL記錄。SQL記錄錄入到預(yù)訂系統(tǒng)數(shù)據(jù)庫的B表中。但由于之前黑客已經(jīng)在里面部署了，用于復(fù)制數(shù)據(jù)的觸發(fā)器C和提供加密功能的存儲過程。于是神不知鬼不覺的B表的數(shù)據(jù)，就被加密后復(fù)制到A表中了。黑客就可以不定期的從A表中讀取B表的敏感數(shù)據(jù)。

圖中紅線是黑客拿取數(shù)據(jù)的路線。黑客沿著自己打通的內(nèi)網(wǎng)外系統(tǒng)去訪問數(shù)據(jù)庫中的表A。結(jié)果這次被萬豪的安全工具發(fā)現(xiàn)。萬豪的安全工具很可能是基于訪問ip記錄，發(fā)現(xiàn)的此次未授權(quán)訪問。

此事件中黑客把敏感數(shù)據(jù)加密，然后傳出，更說明這是個有組織的黑客團體行為。加密敏感數(shù)據(jù)，可以有效的延長安全審計系統(tǒng)發(fā)現(xiàn)敏感數(shù)據(jù)被盜取的情況。即便被捕獲異常流量，也給分析溯源帶來巨大難度。其次加密敏感數(shù)據(jù)也有效的防止自身系統(tǒng)被其他黑客組織攻破，而失去敏感數(shù)據(jù)。這個黑客團體盡最大努力保證這份數(shù)據(jù)完全在自己的控制下。

黑客動機分析

酒店業(yè)的數(shù)據(jù)盜取事件一直層出不窮。這和酒店業(yè)天生對外接口多且業(yè)務(wù)復(fù)雜，給黑客更多入侵的機會有一定關(guān)系。但黑客組織一直盯著酒店業(yè)數(shù)據(jù)的主要原因，不是酒店業(yè)易于入侵的IT環(huán)境，而是酒店業(yè)數(shù)據(jù)中自帶的巨大經(jīng)濟效益。根據(jù)多年對黑客入侵趨勢的研究，如今的黑客攻擊都是以隱匿自己、快速折現(xiàn)為目地。恰好酒店業(yè)有一種數(shù)據(jù)滿足黑客上述要求。

此次萬豪聲明外泄的數(shù)據(jù)包含：姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶信息、出生如期、性別、到達與離開信息、預(yù)定日期和通信偏好、支付卡號和支付卡有效期。包含萬豪在內(nèi)大部分酒店把安全防護重點放在泄露的支付卡號和支付卡有效期這兩組數(shù)據(jù)上，但實際上除非黑客只希望用這筆數(shù)據(jù)掙一次錢，否則絕對不會嘗試盜刷信用卡或出售用戶數(shù)據(jù)。黑客隱藏了4年才被意外發(fā)現(xiàn)，說明黑客之前并未大規(guī)模販賣盜取的個人信息和信用卡信息。

從2013年開始黑市上的個人信息質(zhì)量大幅下降。只有一些小型的黑客團伙還在交易個人信息。大型黑客團伙已經(jīng)放棄通過倒賣個人信息牟利，而是通過對數(shù)據(jù)的深度挖掘和利用進行牟利。信用卡信息確實在黑市有很大市場，但一旦盜刷，很快會被用戶發(fā)現(xiàn)。加上用戶安全意識的提高、以及銀行的各種措施，很可能盜刷失敗，還會暴露自己。

萬豪公布的被盜數(shù)據(jù)中的SPG俱樂部賬號信息才是黑客盜取的主要目標。酒店為了吸引回頭客一般會給自己的會員提供忠誠度積分。忠誠度積分可以用來進行換住宿、換機票、換購物卡等一系列有價值的商品。忠誠度積分一定會設(shè)計成被用戶易于使用。大部分忠誠度積分都是可以從用戶A轉(zhuǎn)移到用戶B處。

SPG也不例外，SPG的忠誠度積分也可以兌換多種有價值的東西，同時支持積分轉(zhuǎn)移能力。SPG積分在Dream Market、Olympus and Berlusconi Market等線上黑市都有巨大交易額，在黑市1個SPG積分價格在5美分左右(官網(wǎng)價格35美分)。獲得SPG俱樂部帳號和用戶電話號后，黑客可以很容易的把用戶的SPG積分轉(zhuǎn)移出來進行出售。大部分用戶搞不清楚自己具體的積分數(shù)量。所以只要黑客對著5億用戶每次只轉(zhuǎn)移有限的積分，就可以穩(wěn)定持續(xù)的利用SPG忠誠度積分賺錢，而不被發(fā)現(xiàn)。

解決之道

此次萬豪安全事件，歸根結(jié)底可能是2015年喜達屋未完全清理IT系統(tǒng)木馬后門導(dǎo)致。安全不是簡單的邊界和外網(wǎng)安全，內(nèi)網(wǎng)安全尤其是數(shù)據(jù)庫安全更加關(guān)鍵。

如果使用適當?shù)陌踩ぞ邔?shù)據(jù)庫定期掃描。應(yīng)該早就能發(fā)現(xiàn)黑客在預(yù)訂數(shù)據(jù)庫中殘留的木馬、后門，也就不會發(fā)生現(xiàn)在的5億數(shù)據(jù)泄露事件。

首先萬豪應(yīng)該部署具有檢測數(shù)據(jù)庫中異常包、存儲過程、觸發(fā)器、各項參數(shù)以及后門的數(shù)據(jù)庫掃描類工具。這些檢測語句可以幫助用戶早發(fā)現(xiàn)早鏟除潛在的數(shù)據(jù)庫木馬和后門。

當然只依賴于數(shù)據(jù)庫掃描類工具的定期巡檢是遠遠不夠的。掃描類產(chǎn)品能發(fā)現(xiàn)的基本屬于已經(jīng)出現(xiàn)的安全威脅，對未知的安全威脅的探查能力可能不足。想要對未知的安全威脅做防護則需要具備能讀懂SQL語義的數(shù)據(jù)庫防火墻。如果2014年喜達屋就部署了能讀懂SQL語義的數(shù)據(jù)庫防火墻相信，就不會被黑客植入木馬或后門。

能讀懂SQL的意思是，基于SQL語法解析，聯(lián)系上下文理解存儲過程或包中是否存在惡意行為。數(shù)據(jù)庫防火墻能識別所有去向數(shù)據(jù)庫觸發(fā)器、儲過程中的SQL。通過SQL語法分析器，識別是否存在惡意行為。數(shù)據(jù)庫防火墻在SQL語法分析器后不是單純的就單句SQL進行行為分析。而是對整個SQL語句包根據(jù)上下文環(huán)境的SQL行為進行分析。當整個SQL語句包中存在命中安全規(guī)則的多個必要點時，則可以判斷該語句包存在惡意行為，會主動阻斷該語句包，并向相關(guān)人員進行危險告警。

數(shù)據(jù)庫防火墻、數(shù)據(jù)庫漏掃，從不同層面和角度防護數(shù)據(jù)庫被植入木馬或后門。數(shù)據(jù)庫防火墻利用SQL分析技術(shù)，依托上下文SQL語境，動態(tài)抓出存在惡意行為的語句包進行實施攔截。數(shù)據(jù)庫漏掃依托授權(quán)檢測中針對數(shù)據(jù)庫中異常包、存儲過程、觸發(fā)器、各項參數(shù)以及后門的檢測語句，進行對已知威脅的檢查，防止數(shù)據(jù)庫中存在隱患。

他們二者除了可以從不同維度防護針對數(shù)據(jù)庫的后門或木馬攻擊外，還可以通過相互聯(lián)動增強兩者的實力。數(shù)據(jù)庫防火墻攔截下一個新型隱患，數(shù)據(jù)庫漏掃則根據(jù)這個新型的特征更新掃描檢測項。一旦數(shù)據(jù)庫防火墻未發(fā)現(xiàn)，但漏掃發(fā)現(xiàn)安全隱患，則數(shù)據(jù)庫防火墻根據(jù)隱患特征更新防護策略。優(yōu)化已有安全策略，進一步提高防護能力。

那么，我們借“萬豪數(shù)據(jù)泄露事件”回望2018年，看看忽略了什么?又應(yīng)該重視什么?

2018年年終將至，對從事信息安全工作的人來說，讓我們印象更深刻的應(yīng)該還是2018年一起又一起起轟動全球的“信息安全事件”：

2018年3月，F(xiàn)acebook爆出史上最大規(guī)模數(shù)據(jù)泄露事件，牽出驚天丑聞。扎克伯格一度落下神壇，成為俎上之肉。

2018年8月，1.3億身份數(shù)據(jù)泄露事件將華住酒店集團推上了風口浪尖，當然大家最關(guān)心的還是另外一個話題，自己的開房記錄會不會被公開。

2018年10月，香港國泰及港龍航空的940萬名客戶資料外泄，事件若牽涉歐洲公民，有可能被歐盟罰款約39億元港幣。

2018年11月，RushQL勒索病毒卷土重來。時隔兩年，同一個勒索病毒竟然能把我們這么多企業(yè)擊倒兩次。

2018年12月1日，早晨起來第一個爆炸性新聞出爐，萬豪酒店數(shù)據(jù)庫被入侵，5億人私密信息或外泄。消息公布后，萬豪國際美股股盤前一度大跌逾5%!

自“斯諾登事件”以來，信息安全對每個個體而言都已經(jīng)不再陌生，全球的信息安全事業(yè)也可謂如火如荼。以Facebook、萬豪、華數(shù)、香港航空等這種體量的全球型公司，在信息安全方面的投入不會小，但是為什么“數(shù)據(jù)泄露”事件頻頻發(fā)生，像夢魘一樣時刻糾纏折磨著我們。

總結(jié)三點原因如下：

1、技術(shù)演進催生更多復(fù)雜場景，相伴相生更多新問題

隨著云計算、大數(shù)據(jù)等新型IT技術(shù)的演進，數(shù)據(jù)泄露的勢頭不僅沒有止步反而愈演愈烈。尤其在大數(shù)據(jù)場景下，數(shù)據(jù)從多個渠道大量匯聚，數(shù)據(jù)類型、用戶角色和應(yīng)用需求更加多樣化，訪問控制面臨諸多新的問題。

2、技術(shù)突飛猛進，組織、企業(yè)的信息安全意識卻慣之以“落后”

這并非單指用戶吝惜在“信息安全”上的投入，而是對信息安全問題心存僥幸，重視結(jié)果忽視過程雖然花了大量資金購置“安全產(chǎn)品”，卻往往只是在面臨檢查的時候拿出來用一用，用完了再束之高閣。將安全產(chǎn)品真正使用起來的用戶，太少，太少。

例如，最近又一次爆發(fā)的RushQL勒索病毒。早在2016年這種病毒就爆發(fā)過一次席卷全球的沖擊波。雖然，檢測手段和解決方案在網(wǎng)絡(luò)上隨處可見，但時隔兩年，同一個病毒再次爆發(fā)，再一次將一大批企業(yè)擊倒。安華金和的數(shù)據(jù)庫防火墻產(chǎn)品，專項增加了這種勒索病毒的防護規(guī)則，只要開啟防火墻規(guī)則就可以避免這種入侵行為。但事實證明“歷史給人類最大的教訓就是我們從來不從歷史中得到任何教訓”。

3、安全市場亂象，抓不住重點是根本

“數(shù)據(jù)”是信息系統(tǒng)的核心資產(chǎn)，而數(shù)據(jù)庫是“數(shù)據(jù)資產(chǎn)”的載體。“數(shù)據(jù)庫安全”理應(yīng)作為一門獨立的課程，引起用戶的重視。據(jù)《2017年全球數(shù)據(jù)泄露成本研究》報告顯示，早期，惡意攻擊者的目標是業(yè)務(wù)系統(tǒng)，以導(dǎo)致業(yè)務(wù)中斷為目的。近年伴隨數(shù)據(jù)資產(chǎn)價值與日俱增，惡意攻擊者的目標越來越多的指向數(shù)據(jù)存儲的基礎(chǔ)設(shè)施——數(shù)據(jù)庫系統(tǒng)。換言之，“數(shù)據(jù)庫安全”是“數(shù)據(jù)安全”的最后一層底線。如果數(shù)據(jù)庫被突破，數(shù)據(jù)安全便無從談起。

在數(shù)據(jù)庫安全領(lǐng)域，主要包含了數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫脫敏、數(shù)據(jù)庫加密等數(shù)據(jù)庫安全防護技術(shù)。專業(yè)的安全企業(yè)應(yīng)當具備安全攻防的研究能力和技術(shù)積累，能夠為用戶提供及時有效的安全事件響應(yīng)，在最短時間內(nèi)控制泄露規(guī)模和態(tài)勢，并能夠通過分析攻擊樣本，提供有效的安全加固策略。

最后，站在戰(zhàn)略層面總結(jié)數(shù)據(jù)安全技術(shù)保護，要以數(shù)據(jù)安全治理的技術(shù)思路，來踐行中國信息通信研究院給出的建議：

一是建立覆蓋數(shù)據(jù)收集、傳輸、存儲、處理、共享、銷毀全生命周期的安全防護體系，綜合利用數(shù)據(jù)源驗證、大規(guī)模傳輸加密、非關(guān)系型數(shù)據(jù)庫加密存儲、隱私保護、數(shù)據(jù)交易安全、數(shù)據(jù)防泄露、追蹤溯源、數(shù)據(jù)銷毀等技術(shù)，與系統(tǒng)現(xiàn)有信息安全技術(shù)設(shè)施相結(jié)合，建立縱深的防御體系。

二是提升大數(shù)據(jù)平臺本身的安全防御能力，引入用戶和組件的身份認證、細粒度的訪問控制、數(shù)據(jù)操作安全審計、數(shù)據(jù)脫敏等隱私保護機制，從機制上防止數(shù)據(jù)的未授權(quán)訪問和泄露，同時增加大數(shù)據(jù)平臺組件配置和運行過程中隱含的安全問題的關(guān)注，加強對平臺緊急安全事件的響應(yīng)能力。

三是實現(xiàn)從被動防御到主動檢測的轉(zhuǎn)變，借助大數(shù)據(jù)分析、人工智能等技術(shù)，實現(xiàn)自動化威脅識別、風險阻斷和攻擊溯源，從源頭上提升大數(shù)據(jù)安全防御水平，提升對未知威脅的防御能力和防御效率。