Убийство в облака на Амазонка

Code Spaces е компания, която предлага на разработчиците хранилища на изходен код и услуги за управление на проекти, използвайки Git или Subversion, наред с други опции. Продължаваше от седем години и нямаше недостиг на клиенти. Но всичко свърши сега - компанията по същество беше убита от нападател.

Говорим за сигурност, архивиране и особено за облака, но е трудно да се определи количествено повечето от усилията, които полагаме, особено в светлината на бюджетните проблеми. Можем да укрепим стените си възможно най-добре с ресурсите, с които разполагаме, и в по-голямата част от случаите това ще е достатъчно. Понякога обаче няма да е достатъчно.

[Научете как значително да намалите заплахата от злонамерени атаки със специалния доклад на Insider Threat Deep Dive PDF. | Бъдете в течение на последните разработки в областта на сигурността с бюлетина на. ]

Code Spaces е изграден най-вече на AWS, като се използват екземпляри за съхранение и сървър за предоставяне на услугите му. Тези екземпляри на сървъри не са били хакнати, нито е била компрометирана или открадната базата данни на Code Spaces. Според съобщението на уебсайта на Code Spaces, нападателят е получил достъп до контролния панел на компанията AWS и е поискал пари в замяна на освобождаване на контрола обратно в Code Spaces. Когато Code Spaces не се съобрази и се опита да си върне контрола върху собствените си услуги, нападателят започна да изтрива ресурси. Тъй като съобщението на уебсайта гласи: „Най-накрая успяхме да си върнем достъпа до панела, но не преди той да премахне всички моментни снимки на EBS, сегменти S3, всички AMI, някои екземпляри на EBS и няколко екземпляра на машината.“

Атаката ефективно е унищожила кодовите пространства. Това е пряко сравнение с това някой да нахлуе в офис сграда късно през нощта, да поиска откуп, след това да хвърли гранати в центъра за данни, ако изискванията не са били изпълнени. Единствената разлика е, че е много по-лесно да се проникне в платформа, базирана на облак, отколкото да се наруши физически корпоративен център за данни.

Сигурен съм, че този сценарий никога не е хрумвал на онези бедни души в Code Spaces. Повече от вероятно те продължиха да спазват мерките си за сигурност, гарантираха, че сигурността на сървърите им е строга и разчитаха на Amazon за по-голямата част от инфраструктурата си - за разлика от хиляди други компании. И все пак атаката, която подкара Code Spaces беше толкова проста, колкото да получи достъп до контролния панел на AWS. Цялата сигурност в света е без значение, когато заплахата идва отвътре и изглежда, че това се е случило тук.

Code Spaces бяха репликирали услуги и архиви, но всички те очевидно се управляваха от същия панел и по този начин бяха унищожени за кратко. Компанията казва, че някои данни все още остават и работи с клиентите възможно най-добре, за да осигури достъп до това, което е останало.

Това е историята, която би трябвало да ни удари силно, защото определено може да се случи на теб и мен. Това със сигурност засилва идеята, че разделянето на услугите е нещо добро.

Ако използвате облачни услуги, може би трябва да използвате няколко различни доставчици. Трябва да разпределите услугите си на множество географски местоположения, ако е изобщо възможно, и да похарчите няколко допълнителни долара тук и там за мерки за безопасност отвъд обикновените изображения на сървърни копия. Определено трябва да имате резервни копия извън сайта - това трябва да не подлежи на договаряне - въпреки че това ще представлява значителни разходи, когато всичко останало работи в облака.

Времето е подходящо за доставчици на резервни копия в облак на трети страни да запалят своите мелодии. Тази изключително тъжна приказка трябва да им спечели повече от няколко клиенти.

За хората зад Code Spaces, които несъмнено все още се разклащат от тази недобросъвестна атака, имате най-искрените ми съболезнования. Човек се надява хората, които стоят зад такъв хаос, да бъдат изправени пред съда, макар че това изглежда малко вероятно. Може ли да се утешите малко, като знаете, че вашите нещастия могат да помогнат на другите да избегнат подобни съдби. Малък комфорт, знам.

Тази история „Убийство в облака на Амазонка“ първоначално беше публикувана в .com. Прочетете повече от блога на Paul Venezia The Deep End в .com. За най-новите новини за бизнес технологии следвайте .com в Twitter.