ملخص
- قالت Capital One إن شخصًا خارجيًا استغل ثغرة في التكوين في 22 و23 مارس 2019. تصف السجلات الجنائية والتنظيمية سلسلة تحكم أطول: جدار حماية لتطبيقات الويب تم تكوينه بشكل خاطئ سمح للأوامر بالوصول إلى البيئة السحابية، وتم الحصول على بيانات اعتماد لدور، وتمكنت تلك البيانات من تعداد ونسخ كائنات التخزين، ولم تحوّل المراقبة النشاط المشبوه إلى احتواء في الوقت المناسب.
- لم يصف مكتب مراقب العملة الحادث بأنه خطأ هندسي معزول. امتدت نتائج الموافقة إلى هجرة البنك السحابية في عام 2015 وحددت تقييمًا غير فعال للمخاطر، وضوابط أمن شبكة ومنع فقدان البيانات غير كافية، وضعفًا في معالجة التنبيهات، وثغرات في التدقيق الداخلي، وإجراءات غير فعالة من مجلس الإدارة لمحاسبة الإدارة.
- كانت المسؤولية موجودة على عدة مستويات دون أن تصبح قابلة للتبادل قانونيًا. أدانت هيئة محلفين فيدرالية Paige Thompson بتهم جنائية. قبلت Capital One غرامة قدرها 80 مليون دولار من مكتب مراقب العملة دون الاعتراف أو إنكار نتائج الوكالة. نجت دعاوى المستهلكين ضد Capital One وAmazon جزئيًا في مرحلة الدفوع وتم تسويتها لاحقًا، لذا لم تنتج القضية المدنية توزيعًا للخطأ بين البنك ومزود السحابة في المحاكمة.
- الدرس السيادي ليس أن اختيار منطقة سحابية محلية يحل حماية البيانات. تأثر حوالي ستة ملايين شخص في كندا، بما في ذلك حوالي مليون شخص تم اختراق أرقام التأمين الاجتماعي الخاصة بهم. يجب إدارة الموقع، والاحتفاظ، وأذونات الهوية، والوصول إلى البيانات الوصفية، وسلطة التشفير، والتسجيل، ووصول المنظم إلى الأدلة كنظام واحد.
اختراق تم وصفه بشكل ضيق جدًا
النسخة المألوفة من اختراق Capital One مدمجة: تم تكوين جدار حماية بشكل خاطئ، ووصل مهاجم إلى بيانات في Amazon Web Services، وتم أخذ معلومات مرتبطة بأكثر من 100 مليون شخص. كل جزء من هذه الجملة يشير في الاتجاه الصحيح. لكن كحساب للمساءلة، فهو ضيق جدًا. إنه يجعل الحادث يبدو وكأنه إعداد خاطئ واحد على حافة بيئة خاضعة للتحكم بخلاف ذلك.
يصف السجل الرسمي شيئًا أكثر هيكلية.إعلان 29 يوليو 2019 المودع لدى SECقالت الشركة إنها قررت في 19 يوليو أن شخصًا خارجيًا حصل على معلومات شخصية بعد استغلال ثغرة تكوين محددة. ووضعت الوصول غير المصرح به المادي في 22 و23 مارس، وقالت إن تقرير الإفصاح المسؤول وصل في 17 يوليو، وأوضحت أن الشركة أصلحت التكوين وعملت مع سلطات إنفاذ القانون الفيدرالية. كما قالت إن نموذج التشغيل السحابي ساعد الشركة في تشخيص وتصحيح المشكلة بسرعة بمجرد معرفتها.
تلك النقطة الأخيرة مهمة. لم تقدم Capital One السحابة نفسها كسبب. شددت الشركة على أن عناصر البنية التحتية ذات الصلة يمكن أن توجد في السحابة أو في الموقع. الموقف يمكن الدفاع عنه تقنيًا: يمكن أن يصبح وكيل عكسي أو جدار حماية لتطبيقات الويب مرحلًا غير مقصود في أي بيئة؛ يمكن أن تكون بيانات اعتماد الخدمة قوية جدًا في أي بيئة؛ يمكن لهوية شرعية قراءة بيانات مشفرة في أي بيئة. ومع ذلك، تغير السحابة السرعة والتجريد والحجم الذي تتحد به هذه الظروف. يمكن لأمر يعبر حدود التطبيق أن يصل إلى خدمة بيانات تعريف المثيل. يمكن ممارسة بيانات اعتماد مؤقتة عبر API من مكان آخر. يمكن لدور تخزين تعداد بحيرة بيانات تقاس بأبعاد تتجاوز بكثير قرص خادم واحد.
نفس الأتمتة التي تجعل عمليات السحابة فعالة يمكن أن تجعل خطأ الإذن فعالًا للمتسلل.
تنصصفحة معلومات الحادث الحالية لـ Capital Oneعلى أن حوالي 100 مليون فرد في الولايات المتحدة وحوالي ستة ملايين في كندا تأثروا. كانت أكبر فئة بيانات هي المعلومات التي قدمها المستهلكون والشركات الصغيرة عند التقدم بطلب للحصول على منتجات بطاقات الائتمان من 2005 حتى أوائل 2019: الأسماء والعناوين والرموز البريدية وأرقام الهواتف وعناوين البريد الإلكتروني وتواريخ الميلاد والدخل المبلغ عنه ذاتيًا. تضمنت أجزاء من بيانات عملاء الائتمان الدرجات والحدود والأرصدة وتاريخ الدفع وبيانات الاتصال وأجزاء من بيانات المعاملات من 23 يومًا عبر 2016 و2017 و2018. أبلغت الشركة عن حوالي 140.000 رقم ضمان اجتماعي أمريكي، وحوالي 80.000 رقم حساب بنكي مرتبط، وحوالي مليون رقم تأمين اجتماعي كندي من بين البيانات المخترقة. وقالت إن أرقام حسابات بطاقات الائتمان وبيانات اعتماد تسجيل الدخول لم تخترق.
تمنع هذه التمييزات المبالغة، لكنها لا تقلل من سؤال التحكم إلى رقم. يمكن أن تظل بيانات التطبيق حساسة للهوية لفترة طويلة بعد قرار الائتمان. يمكن الجمع بين الدخل وتاريخ العنوان وتاريخ الميلاد وحالة الائتمان والمعرفات الحكومية عبر الأنظمة. لذلك لم يكن الحدث فقط حول ما إذا كان المستودع خاصًا. كان حول لماذا يمكن لدور مواجه للتطبيق الوصول إلى المخزن الشامل، ولماذا يمكن أن يصبح مسار بيانات اعتماد على حدود بيانات تعريف محلية مسار بيانات خارجي، ولماذا لم تسد المراقبة الفجوة، ولماذا ظلت البيانات التي تم جمعها على مدار حوالي أربعة عشر عامًا ضمن المجموعة القابلة للوصول.
التسلسل الزمني والشكل المتغير للمساءلة
التواريخ تغير ما يمكن توقعه بشكل معقول من المنظمة معرفته وفعله. يمكن استخلاص التسلسل الزمني الأساسي من إفصاحات الشركة، ولائحة الاتهام والإدانة اللاحقة، وأوامر المنظمين، وسجلات المحكمة دون معاملة كل مصدر كنفس النوع من الإثبات.
| التاريخ | الحدث وأهمية المساءلة |
|---|---|
| في أو حوالي عام 2015 | وجد مكتب مراقب العملة لاحقًا أن Capital One فشلت في إنشاء عمليات تقييم مخاطر فعالة قبل نقل عمليات تكنولوجية كبيرة إلى بيئة سحابية ولم تنشئ إدارة مخاطر سحابية مناسبة. |
| 12 مارس 2019 | اتهمت لائحة الاتهام البديلة بداية وصول غير مصرح به إلى Capital One في أو حوالي هذا التاريخ. حددت Capital One بشكل منفصل 22 و23 مارس كتواريخ وصول البيانات المادي الذي أعلنت عنه. |
| 22-23 مارس | قالت Capital One إن الشخص الخارجي حصل على البيانات في هذين اليومين. اتهمت لائحة الاتهام أمرًا في 22 مارس بنسخ بيانات Capital One إلى خادم يتحكم فيه Thompson. |
| أبريل-مايو | وفقًا لرواية مرحلة الدفوع في القضية المدنية، ادعى المدعون أن السجلات أظهرت اتصالات إضافية أو محاولات اتصال وأن المنشورات العامة وصفت النشاط. كانت هذه مزاعم شكوى قبلت على أنها صحيحة فقط لاتخاذ قرار بشأن طلبات الرفض. |
| 17 يوليو | نبّه مستخدم GitHub Capital One من خلال قناة الإفصاح المسؤول عن سرقة بيانات محتملة. أدى هذا التقرير الخارجي، بدلاً من تنبيه داخلي تم الوصول به إلى حل نهائي، إلى بدء الاكتشاف. |
| 19 يوليو | قررت Capital One أن وصولًا غير مصرح به قد حدث، وأصلحت مشكلة التكوين، واتصلت بمكتب التحقيقات الفيدرالي. أبلغت الإدارة مجلس الإدارة بالأمر، وفقًا لبيان التوكيل الخاص بالشركة لعام 2020. |
| 29 يوليو | أعلنت Capital One عن الاختراق. ألقى مكتب التحقيقات الفيدرالي القبض على Paige Thompson، وقدمت الحكومة شكواها الجنائية. |
| 19 نوفمبر | أصدرت AWS الإصدار 2 من خدمة بيانات تعريف المثيل، مضيفة حماية للطلبات القائمة على الجلسة وعناصر تحكم للعملاء تتطلب الطريقة الجديدة أو تعطيل الوصول إلى البيانات الوصفية. |
| 30 أبريل 2020 | أصدرت FFIEC بيانًا حول مخاطر السحابة شدد على أن المؤسسات المالية يجب أن تفهم المسؤولية المشتركة ولا يمكنها افتراض أن الضوابط فعالة لمجرد أن الأنظمة تعمل في السحابة. |
| 5-6 أغسطس 2020 | أصدر مكتب مراقب العملة عقوبة مدنية قدرها 80 مليون دولار وأمرًا تفصيليًا بالكف والامتناع؛ أصدر الاحتياطي الفيدرالي أمرًا منسقًا ضد الشركة القابضة. |
| سبتمبر 2020 | قبلت محكمة مقاطعة فيدرالية جزئيًا ورفضت جزئيًا طلبات Capital One وAmazon لرفض دعاوى المستهلكين. اختبر القرار ما إذا كانت المزاعم كافية قانونيًا، وليس ما إذا كانت المزاعم مثبتة. |
| يونيو 2022 | أدانت هيئة محلفين فيدرالية Thompson بتهم الاحتيال الإلكتروني والوصول غير المصرح به وإتلاف جهاز كمبيوتر محمي بعد محاكمة استمرت سبعة أيام. |
| أغسطس-سبتمبر 2022 | أنهى مكتب مراقب العملة أمر الكف والامتناع لعام 2020 في 31 أغسطس. منحت محكمة فيدرالية الموافقة النهائية على تسوية المستهلك الجماعية البالغة 190 مليون دولار في 13 سبتمبر. |
| أكتوبر 2022 | حُكم على Thompson بمدة محكوم عليها بالفعل وخمس سنوات تحت المراقبة، بما في ذلك مراقبة الموقع والكمبيوتر. |
عدم التطابق الظاهري بين 12 مارس و22 مارس ليس تناقضًا يجب دمجه في تاريخ واحد.لائحة الاتهام البديلة لعام 2021اتهمت فترة أوسع من الوصول غير المصرح به إلى الكمبيوتر بدءًا من أو حوالي 12 مارس. استخدم إعلان Capital One 22 و23 مارس للوصول إلى البيانات الرئيسي في رواية الحادث. يجب أن يحافظ التسلسل الزمني على هذا الفرق بين مسار السلوك المتهم ووصف الشركة للسرقة.
ينطبق نفس الانضباط على أعداد السكان. استخدم الإعلان الأولي للشركة حوالي 100 مليون فرد متأثر في الولايات المتحدة وستة ملايين في كندا. وصف مسؤول التسوية الأمريكي لاحقًا حوالي 98 مليون مستهلك أمريكي في فئة التسوية. لا ينبغي تحويل أي من الرقمين بصمت إلى عدد عالمي دقيق. إنها تنتمي إلى سجلات مختلفة، في مراحل مختلفة، بتعريفات مختلفة.
كيف أصبحت حدود البيانات الوصفية حدودًا لبيانات الاعتماد
تبدأ السلسلة الفنية بتزوير الطلب من جانب الخادم، وغالبًا ما يُختصر إلى SSRF. في حالة SSRF، يدفع متصل خارجي مكونًا من جانب الخادم لتقديم طلب يختاره أو يتأثر به ذلك المتصل. يتم تقديم الطلب من موقع الشبكة للخادم، لذلك قد يصل إلى وجهات غير متاحة مباشرة من الإنترنت العام. مشكلة الأمان ليست ببساطة أنه تم قبول عنوان URL. إنها أن التطبيق يصبح نائبًا يحمل نية شخص خارجي إلى سياق شبكي أكثر ثقة.
صفحة قضية Capital One التابعة لوزارة العدلتصف الاختراق بأنه حدث من خلال جدار حماية لتطبيقات الويب تم تكوينه بشكل خاطئ. زعمت لائحة الاتهام البديلة، المقدمة قبل المحاكمة، أن Thompson أنشأت واستخدمت ماسحات ضوئية لتحديد عملاء السحابة الذين سمحت تكوينات جدار حماية تطبيقات الويب الخاصة بهم لأوامر خارجية بالوصول والتنفيذ على خوادمهم. زعمت أن تلك الأوامر حصلت على بيانات اعتماد أمنية لحسابات أو أدوار العملاء؛ ثم تم استخدام بيانات الاعتماد لإدراج حاويات التخزين ونسخ الكائنات التي كان للدور إذن بها. استخدمت لائحة الاتهام المصطلح المحايد "Cloud Computing Company"، لكن السجل المدني العام وإيداعات Capital One نفسها تحدد البيئة على أنها AWS.
توجد خدمة بيانات تعريف مثيل EC2 حتى يتمكن البرنامج على جهاز افتراضي من التعرف على بيئة وقت التشغيل والحصول على بيانات اعتماد مؤقتة مرتبطة بدور هوية مرفق. هذا بديل مفيد لتخزين مفاتيح الوصول طويلة العمر في الملفات. لكن التصميم يفترض أن الوصول من المثيل له معنى. إذا كان من الممكن جعل مكون مواجه للويب يصدر طلبات داخلية تعسفية، فإن "محلي للمثيل" لم يعد مكافئًا لـ "رمز عبء العمل المصرح به".
شرح AWS لعام 2019 لـ IMDSv2يحدد عنوان البيانات الوصفية كنقطة نهاية رابط محلي ويوضح أن البيانات الوصفية يمكن أن تتضمن بيانات اعتماد مؤقتة لدور مرفق بالمثيل. يتطلب الإصدار 2 من البرنامج أولاً تقديم طلب HTTP PUT لإنشاء جلسة واستلام رمز سري، ثم تقديم هذا الرمز في طلبات البيانات الوصفية اللاحقة. صممت AWS البروتوكول لإضافة مقاومة ضد جدران حماية تطبيقات الويب المفتوحة الشائعة، والوكلاء العكسيين المفتوحين، ونقاط ضعف SSRF، وبعض أخطاء جدار الحماية من الطبقة 3 أو ترجمة عنوان الشبكة. يمكن للعملاء طلب الإصدار 2 أو تعطيل الوصول إلى البيانات الوصفية تمامًا.
النقطة التحليلية المهمة ليست أن مراجعة البروتوكول تثبت بأثر رجعي وجود عيب، ولا أن تكوين العميل يعفي مصمم المنصة من كل مسؤولية تصميم. إنها أن افتراض الثقة المحلي يمكن تعزيزه في أكثر من طبقة. يمكن لـ Capital One تقييد WAF، وتقييد الخروج إلى نقطة نهاية البيانات الوصفية، وتضييق نطاق الدور، وتحديد التخزين القابل للوصول، واكتشاف استخدام API غير معتاد، وتقليل البيانات المحتفظ بها. يمكن لـ AWS جعل بروتوكول البيانات الوصفية أقل قابلية لإعادة الاستخدام من خلال الوكلاء الشفافين ومسارات SSRF. الدفاع في العمق يدرك أن خطأ التطبيق لا ينبغي أن ينضج تلقائيًا إلى بيانات اعتماد هوية، وأن بيانات اعتماد الهوية لا ينبغي أن تنضج تلقائيًا إلى تصدير كبير للبيانات.
لم يكن جدار حماية تطبيقات الويب هو الاختراق بأكمله
يمكن أن يخفي وصف الحادث كخطأ في تكوين جدار الحماية ثلاثة أسئلة منفصلة. أولاً، لماذا يمكن لطلب غير موثوق أن يتسبب في وصول جدار الحماية أو مكون خلفه إلى وجهة داخلية؟ ثانيًا، ما هي الهوية التي تم الكشف عنها عندما حدث ذلك؟ ثالثًا، ماذا يمكن لتلك الهوية أن تفعل؟
الأول هو سؤال تطبيق ومسار شبكة. عادةً ما يُفهم جدار حماية تطبيقات الويب على أنه عنصر تحكم يقوم بتصفية المدخلات الضارة قبل أن تصل إلى التطبيق. في هذا الحادث، جعله التكوين ذو الصلة جزءًا من الطريق إلى الموارد الداخلية. يجب أن يغير هذا الانعكاس كيفية اختبار فرق السحابة لعناصر التحكم الطرفية. WAF ليس فقط مجموعة قواعد في المحيط العام؛ إنه رمز بسياق تنفيذ، وقابلية وصول صادرة، ورؤوس، وطرق، وهوية مرفقة. يجب أن يسأل مراجعة الأمان ما الذي يمكن أن يصل إليه عنصر التحكم ويحاكيه عندما يتم إرباكه نفسه.
السؤال الثاني يتعلق ببيانات اعتماد البيانات الوصفية. بيانات الاعتماد المؤقتة أكثر أمانًا من المفاتيح الطويلة العمر المضمنة بطرق مهمة: إنها تتدوير وتنتهي ويمكن ربطها مركزيًا بدور. لكن "مؤقت" يصف المدة، وليس الامتياز. إذا كان بإمكان المهاجم استرداد بيانات اعتماد حالية بشكل متكرر، أو استخدام بيانات الاعتماد خلال نافذتها الصالحة لنسخ مجموعة بيانات كبيرة، فإن التدوير لا يمنع الضرر. لذلك يجب أن تشمل نظافة بيانات الاعتماد المسار الذي يتم من خلاله إصدار بيانات الاعتماد والأذونات التي تحملها.
السؤال الثالث هو أقل امتياز. زعمت لائحة الاتهام أن الحسابات التي تم الحصول عليها كانت لديها الإذن اللازم لإدراج التخزين المستهدف ونسخه.أمر رفض الدعوى الصادر في سبتمبر 2020 من المحكمة المدنيةيسجل، كادعاء مقبول لتلك المرحلة الإجرائية، وصف Amazon لخطأ في تكوين جدار حماية طبقة التطبيق تفاقم بسبب أذونات كانت على الأرجح أوسع من المقصود. يسجل الأمر أيضًا مزاعم المدعين حول الوصول إلى التخزين وبحيرة البيانات. تلك المقاطع ليست نتائج محاكمة. إنها لا تزال مفيدة لأن تصرف المحكمة يظهر أن الاختراق الجنائي لم يقطع بالضرورة سلسلة السبب المزعومة بين قرارات الأمان وضرر المستهلك كمسألة قانونية.
لذلك، ستتجنب المراجعة الفعالة الانتهاء بـ "تم إصلاح WAF". ستعيد بناء رسم الامتياز الكامل: طلب عام إلى وكيل؛ وكيل إلى نقطة نهاية البيانات الوصفية؛ نقطة نهاية البيانات الوصفية إلى جلسة دور؛ دور إلى قائمة تخزين؛ قائمة تخزين إلى قراءة كائن؛ قراءة كائن إلى مسار فك تشفير؛ استدعاء API إلى خروج شبكة. كل حافة تحتاج إلى مالك، ومبرر تجاري، وضوابط وقائية، وقياس عن بعد. إزالة قاعدة خاطئة واحدة توقف المسار المعروف. لا يثبت أن هوية وهندسة البيانات كانت متناسبة.
حمى التشفير الوسائط، لا إساءة الاستخدام المصرح به
قالت Capital One إنها تشفر البيانات كممارسة قياسية وتقوم بترميز حقول مختارة، ولا سيما أرقام الضمان الاجتماعي والحسابات. كما قالت إن الظروف مكنت من فك تشفير البيانات التي تم الوصول إليها، بينما ظلت البيانات المرمزة محمية لأن الترميز استخدم طريقة ومفاتيح مختلفة. هذا تصحيح مهم لادعاء شائع بأن "البيانات كانت مشفرة" يحل سؤال التحكم.
تم تصميم التشفير في حالة السكون بشكل أساسي لحماية البيانات عندما يتم الوصول إلى وسائط التخزين أو اللقطات أو التخزين الأساسي خارج مسار الخدمة المصرح به. لا تزال التطبيقات بحاجة إلى قراءة البيانات. لذلك تقوم أنظمة التخزين السحابية وإدارة المفاتيح بفك تشفير المعلومات للهويات التي تفي بالسياسة. إذا حصل المهاجم على بيانات اعتماد بنفس سلطة القراءة مثل عبء العمل، يمكن أن يعمل التشفير تمامًا كما هو مصمم مع إطلاق النص العادي لشخص غير مصرح به يستخدم هوية آلة مصرح بها.
هذه ليست حجة ضد التشفير. إنها حجة لفصل السلطات. لا ينبغي أن يحمل دور معرض لعنصر تحكم مواجه للعامة أذونات واسعة لقراءة البيانات واستخدام المفاتيح. يجب ترميز الحقول شديدة الحساسية أو تشفيرها تحت حدود خدمة لا يمكن لهوية قارئ التخزين العامة عبورها. يجب مراجعة سياسات المفاتيح وسياسات البيانات وسياسات الدور كقرار ترخيص واحد. وإلا، يمكن أن تتقاطع ثلاثة تكوينات معقولة بشكل فردي لمنح وصول لم يقصده أي من مالكيها.
يظهر الحدث أيضًا لماذا يجب أن تميز تقارير التحكم بين التغطية والعواقب. "مائة بالمائة من الكائنات مشفرة" يمكن أن تكون صحيحة بينما تظل مخاطر السرية عالية. سيعرض مقياس مجلس إدارة أكثر فائدة نسبة الكائنات الحساسة التي يمكن لكل دور وقت تشغيل قراءتها، وما هي الهويات التي يمكنها استدعاء فك التشفير، وما إذا كان عبء العمل المواجه للعامة يظهر في تلك المسارات، وعدد المرات التي يقرأ فيها دور خارج البادئة أو الحجم أو المنطقة أو نمط الوقت الطبيعي الخاص به.
فشل الكشف قبل نجاح الاستجابة
عمل برنامج الإفصاح المسؤول لـ Capital One بمجرد أن استخدمه شخص خارجي. قالت الشركة إنها تلقت تقريرًا في 17 يوليو، وأكدت الاختراق في 19 يوليو، وأصلحت المشكلة، واتصلت بمكتب التحقيقات الفيدرالي، وأعلنت الحادث في 29 يوليو، ودعمت اعتقالًا سريعًا. هذه حقائق استجابة ذات مغزى. إنها لا تجيب على لماذا لم يصل نظام التحكم الداخلي بنشاط مارس إلى الحل.
تعالج نتائج مكتب مراقب العملة تلك الفجوة على مستوى أعلى. فيأمر الموافقة على العقوبة المدنية، وجد المراقب أن Capital One لم تنشئ إدارة مخاطر سحابية مناسبة، بما في ذلك ضوابط كافية لمنع فقدان البيانات ومعالجة فعالة للتنبيهات. لم تعترف Capital One ولم تنكر تلك النتائج. "المعالجة" هي أكثر من مجرد توليد تنبيه. إنها العملية التي تحدد ما إذا كان الحدث حميدًا، أو يتم تصعيده، أو احتواؤه، أو إغلاقه بأدلة.
تولد العقارات السحابية وفرة من القياس عن بعد: افتراض الدور، واستخدام البيانات الوصفية، وقائمة التخزين، وقراءات الكائنات، وعناوين مصدر API، وحجم الخروج، والمكالمات المرفوضة، وتغييرات السياسة، وأحداث تصنيف البيانات. لا تخلق الإشارات الأكثر اكتشافًا تلقائيًا. يمكن للبرنامج جمع كل حدث ذي صلة ومع ذلك يفشل إذا كانت القواعد لا تربط التسلسل، أو إذا كانت العتبات غير حساسة للسلوك الطبيعي للدور، أو إذا كانت التنبيهات تفتقر إلى مالك مسؤول، أو إذا لم تتم مراجعة أسباب الإغلاق بشكل مستقل.
حقيقة أن تقريرًا خارجيًا أدى إلى الاكتشاف يجب تسجيلها كنجاح استجابة وفشل ضمان. النجاح هو أن القناة كانت موجودة، وتم مراقبتها، ومكّنت من اتخاذ إجراء. الفشل هو أن مسار وصول عمره أربعة أشهر كان قابلاً للاكتشاف من خلال النشاط العام قبل أن تنتج ضوابط البنك نفسها احتواءً نهائيًا. الإفصاح المسؤول هو جهاز استشعار خارجي قيم. لا ينبغي اعتباره بديلاً عن الكشف الداخلي عن استرداد بيانات الاعتماد، وتعداد المستودع غير المعتاد، ونسخ الكائنات الكبيرة.
تعامل مكتب مراقب العملة مع الاختراق كفشل في حوكمة الهجرة
أقوى سجل مساءلة عامة ليس تقريرًا فنيًا لاحقًا. إنه حزمة الإنفاذ الصادرة عن مكتب مراقب العملة لعام 2020.إعلان العقوبةتقول الوكالة إن البنك فشل في إنشاء عمليات تقييم مخاطر فعالة قبل نقل عمليات تكنولوجية كبيرة إلى السحابة العامة وفشل في تصحيح أوجه القصور في الوقت المناسب. فرضت الوكالة غرامة قدرها 80 مليون دولار، وأشادت بإخطار البنك ومعالجته، وذكرت أن الابتكار المسؤول لا يزال يتطلب إدارة مخاطر سليمة وضوابط داخلية.
نتائج الموافقة محددة بشكل غير عادي. وجد مكتب مراقب العملة أنه في أو حوالي عام 2015 فشل البنك في إنشاء تقييم مخاطر فعال قبل الهجرة. وجد قصورًا في تصميم وتنفيذ ضوابط أمن الشبكة، ومنع فقدان البيانات، ومعالجة التنبيهات. وجد أن التدقيق الداخلي لم يحدد العديد من نقاط الضعف والثغرات في التحكم، ولم يبلغ بشكل فعال عن نقاط الضعف المحددة إلى لجنة التدقيق، وأن مجلس الإدارة فشل في اتخاذ إجراءات فعالة لمحاسبة الإدارة على بعض المخاوف التي أثارها التدقيق. وافقت Capital One على الأمر لتجنب تكلفة الإجراءات ولم تعترف أو تنكر النتائج صراحةً.
يغير هذا التأطير وحدة المساءلة. إذا كان الحدث عبارة عن قاعدة WAF سيئة واحدة تم إنشاؤها في عام 2019، فيمكن أن تركز المعالجة على المهندس، ومراجعة التغيير، والتحكم الفوري. إذا بدأ الفشل ذو الصلة بنموذج تشغيل تم تقييمه بشكل غير كافٍ في عام 2015، فإن النظام المسؤول يشمل حوكمة الهجرة، وتصميم التحكم السحابي، والتحدي من الخط الثاني، والتدقيق الداخلي، وإعداد التقارير للجان، ومعالجة الإدارة، والتصعيد إلى مجلس الإدارة.
أمر الكف والامتناع الصادر عن مكتب مراقب العملةجعل ذلك المحيط الأوسع قابلاً للتطبيق. تطلب لجنة امتثال من ثلاثة مديرين على الأقل، وخطط عمل تصحيحية مكتوبة، وتحسينات في تقييم مخاطر التكنولوجيا، وإدارة مخاطر العمليات السحابية، وإدارة المخاطر المستقلة، واختبار التحكم، والتدقيق الداخلي. كان على الخطة السحابية معالجة أمن المحيط، وتحديد وحماية المعلومات الحساسة، ومنع واكتشاف الكشف غير المصرح به، وإدارة التكوين للكائنات المحتواة. كان على إدارة المخاطر المستقلة تعريف نطاق شامل للمخاطر والتحكم وتحدي تقييم الخط الأول للمخاطر السيبرانية الكامنة والمتبقية.
متطلبات اختبار التحكم في الأمر مهمة بشكل خاص. كان على Capital One تطوير جرد لضوابط السحابة ذات الصلة، والتوفيق بين خطة اختبار قائمة على المخاطر وهذا الجرد، وتتبع الفجوات، ومعالجتها، أو قبول المخاطرة رسميًا. كان على التدقيق الداخلي التحقق من اكتمال ودقة جرد الإدارة للأصول التكنولوجية والأجهزة القابلة للتكوين والبرامج؛ ورسم خريطة لنطاق التدقيق الخاص به لمخاوف الفحص؛ ودمج الدروس المستفادة من تحليل السبب الجذري للاختراق؛ ومراجعة تغطية التدقيق؛ وتقييم خبرة الموظفين؛ وتحسين إعداد التقارير للجنة التدقيق.
تجيب هذه الالتزامات على خطأ متكرر في حوكمة السحابة. قد يكون لدى المؤسسة كتالوج تحكم وخطة تدقيق لكنها تفتقر إلى علاقة موثوقة بينهما. يحتوي كتالوج التحكم على ما تعتقد الإدارة أنه موجود. يحتوي جرد الأصول على ما تعتقد الفرق أنها تشغله. يحتوي نطاق التدقيق على ما يتوقع التدقيق مراجعته. إذا لم يتم التوفيق بين هذه المجموعات، يمكن لدور مواجه للعامة، أو مسار بيانات تعريفية، أو حاوية تخزين، أو محرك تكوين أن يجلس بين نماذج الملكية. تطلب أمر مكتب مراقب العملة دليلاً على أن المجموعات متوافقة.
مساءلة مجلس الإدارة هي دليل، وليس تواتر الاجتماعات
بيان التوكيل الخاص بـ Capital One لعام 2020يقول إن الإدارة أبلغت مجلس الإدارة بالحادث على الفور بعد اكتشافه في 19 يوليو. اجتمع الأعضاء المستقلون من عدة لجان ومجلس الإدارة بأكمله أكثر من 20 مرة بشأن الحادث والاستجابة. استعان مجلس الإدارة بخبراء خارجيين، وتلقى تقارير عن السبب الجذري والمعالجة، وعزز الرقابة، وكلف لجنة المخاطر بدور قيادي في مراجعة الحوكمة السيبرانية المعززة. أنشأت الإدارة لجنة عليا لقضايا السيبران والتصعيد على مستوى المؤسسة.
هذه استجابات حوكمة مشروعة، لكن عدد الاجتماعات لا يمكن أن يثبت أن التحكم يعمل. ركزت نتائج مكتب مراقب العملة على الفترة التي سبقت الاختراق، عندما يُزعم أن نقاط الضعف في التدقيق لم يتم الكشف عنها بشكل فعال ولم تتم محاسبة الإدارة على بعض الفجوات المفتوحة. لذلك فإن المقارنة المفيدة ليست "اجتماعات قليلة قبل، اجتماعات كثيرة بعد". إنها ما إذا كانت المعلومات التي تصل إلى المديرين قد تغيرت من تقارير النشاط إلى أدلة التحكم.
حدد أمر مكتب مراقب العملة ما يجب أن يدعمه هذا الدليل. طُلب من المديرين ضمان اتخاذ إجراء تصحيحي في الوقت المناسب، والتحقق من فعالية الإجراءات، وضمان وجود عدد كافٍ من الموظفين والأنظمة، ومحاسبة الإدارة، وطلب تقارير كافية وفي الوقت المناسب، ومعالجة عدم الامتثال. يمكن لمجلس الإدارة الاعتماد على الإدارة واللجان والأطراف الثالثة، لكن الاعتماد لم يزل الواجب لضمان الإجراء التصحيحي.
لمخاطر البيانات الوصفية والتخزين السحابية، يجب أن تجيب حزمة بجودة مجلس إدارة على أسئلة ملموسة.
كم عدد أعباء العمل القابلة للوصول عبر الإنترنت التي يمكنها الوصول إلى بيانات تعريف المثيل؟ كم منها يتطلب بروتوكول الجلسة الأقوى؟ أي منها يمكنه تعطيل البيانات الوصفية تمامًا؟ كم عدد الأدوار المواجهة للعامة التي يمكنها إدراج متاجر الكائنات الحساسة أو قراءتها؟ ما هو الحد الأقصى لحجم البيانات الذي يمكن لكل دور استرداده في عمر بيانات اعتماد واحدة؟ ما هي الضوابط التي تمنع البيانات من مغادرة شبكة أو منطقة معتمدة؟ كم عدد التنبيهات التي تم إغلاقها دون أدلة مؤكدة؟ ما هي مشكلات تدقيق السحابة التي فاتتها المواعيد النهائية المستهدفة، وأي مسؤول تنفيذي قبل المخاطرة المتبقية؟
لا يسأل أي من هذه الأسئلة المديرين عن تكوين جدار حماية. إنها تسأل عما إذا كانت الإدارة يمكنها إظهار حدود التشغيل التي تدعيها. هذا هو الفرق بين الإدارة والإشراف. لا يحتاج المديرون إلى معرفة كل معلمة API، لكنهم يحتاجون إلى نظام تقارير يجعل المجموعات الخطرة مرئية قبل أن يفعلها باحث خارجي.
المسؤولية المشتركة هي خريطة تحكم، وليس إعفاء من المسؤولية
تصف AWS أمان السحابة بأنه مشترك بين المزود والعميل. بموجبنموذج المسؤولية المشتركة لـ AWS، تحمي AWS البنية التحتية التي تشغل الخدمات السحابية، بينما تختلف واجبات العميل باختيار الخدمة وتشمل عادةً بيانات العميل والهوية والوصول وبرامج التطبيق وتكوين نظام التشغيل وتكوين جدار الحماية وخيارات التشفير وحماية حركة المرور. بالنسبة لخدمة بنية تحتية مثل EC2، يتحكم العميل في جزء أكبر بكثير من حزمة التشغيل مما سيفعله في خدمة مُدارة بالكامل.
النموذج مفيد لأنه يمنع خطأ فئويًا: استئجار طاقة حاسوبية لا يجعل المزود مشغل أذونات تطبيق العميل. لكن المخطط هو فقط بداية الحوكمة. العديد من الضوابط المهمة تعبر الخط. يصمم المزود خدمة البيانات الوصفية؛ يقرر العميل ما إذا كان سيستخدمها وكيف. يوفر المزود آلية سياسة الهوية؛ يحدد العميل الأدوار والأذونات. ينتج المزود سجلات؛ يمكّنها العميل ويحتفظ بها ويوجهها ويحقق فيها. يقدم المزود خيارات المنطقة؛ يختار العميل المناطق والهياكل التي تفي بالالتزامات القانونية. يجعل المزود الإعدادات الافتراضية الأكثر أمانًا ممكنة؛ يجب على العميل ترحيل أعباء العمل الحالية وفرضها.
بيان الحوسبة السحابية الصادر عن FFIECيجعل عواقب القطاع المالي صريحة. لا ينبغي للإدارة افتراض وجود ضوابط الأمان والمرونة لمجرد أن الأنظمة تعمل في بيئة سحابية. يقول البيان إن العقود يجب أن تحدد مسؤوليات الأطراف، لكن المؤسسات المالية تظل مسؤولة عن التشغيل الآمن والسليم والامتثال. يسلط الضوء على الحوكمة وهندسة السحابة والهوية وإدارة البيانات وإدارة الثغرات والمراقبة والاستجابة للحوادث واستمرارية الأعمال والتدقيق كممارسات مترابطة.
لذلك يجب ترجمة المسؤولية المشتركة إلى مصفوفة تحكم دقيقة بما يكفي لاختبارها. لكل تحكم، يجب أن تحدد المصفوفة من يصممه ومن يكوّنه ومن يشغله ومن يتلقى تنبيهًا ومن يتحقق من الفعالية وما هي الأدلة المحتفظ بها ومن يتصرف عندما تكون الأدلة مفقودة. تسمية مثل "مسؤولية العميل" ليست مالك تحكم. في بنك كبير، يمكن أن يعني "العميل" هندسة المنصة أو فرق التطبيقات أو أمان السحابة أو حوكمة البيانات أو هندسة الهوية أو المخاطر المؤسسية أو التدقيق الداخلي أو الشؤون القانونية أو مورد. يمكن أن يكون الغموض داخل مؤسسة العميل أكثر خطورة من الغموض بين العميل والمزود.
نفس القدر من الأهمية، مخطط المسؤولية المشتركة لا يقرر المسؤولية المدنية. شروط العقد، والتمثيلات، والتصميم الفني، والتزامات الإخطار، والسببية، وقانون الولاية، والحقائق المثبتة كلها مهمة. يمكن للنموذج توجيه التشغيل المتوقع، لكنه ليس توزيعًا قضائيًا للخطأ ولا ينبغي تقديمه لمجلس الإدارة كما لو كان تعويضًا.
المسؤولية الجنائية والتنظيمية والمدنية
يدعم السجل العام عدة أشكال من المساءلة، لكل منها وضع قانوني مختلف.
المسؤولية الجنائية هي الأوضح.إعلان الحكم الصادر عن وزارة العدلينص على أن هيئة محلفين فيدرالية وجدت Thompson مذنبة بالاحتيال الإلكتروني وخمس تهم بالوصول غير المصرح به إلى كمبيوتر محمي وإتلاف كمبيوتر محمي. أظهر المدعون أنها فحصت حسابات سحابية بحثًا عن تكوينات خاطئة، واستخدمتها للحصول على بيانات وطاقة حاسوبية، ووصلت إلى أكثر من 30 كيانًا. حُكم عليها بمدة محكوم عليها بالفعل وخمس سنوات تحت المراقبة. لا ينبغي تليين هذا السلوك الجنائي المقضي به إلى اكتشاف عرضي.
ركزت المساءلة التنظيمية على البنك. أمر عقوبة مكتب مراقب العملة هو أمر موافقة نهائي، لكن Capital One لم تعترف أو تنكر نتائج المراقب.إعلان الإنفاذ المنسق للاحتياطي الفيدراليقال إن الشركة القابضة يجب أن تعزز إدارة المخاطر والحوكمة والأمن السيبراني وضوابط أمن المعلومات.أمر موافقة الاحتياطي الفيدرالي المرفقطلب من مجلس إدارة الشركة الأم استخدام موارده لضمان امتثال البنوك لأوامر مكتب مراقب العملة وتقديم خطة مكتوبة لإشراف مجلس الإدارة.
كان التعرض المدني أوسع لكنه أقل حسمًا بشأن الخطأ النهائي. رفع المستهلكون دعاوى قضائية ضد Capital One وAmazon بموجب نظريات الإهمال والعقد والإثراء غير المشروع والإخطار وحماية المستهلك. في سبتمبر 2020، قبلت محكمة المقاطعة بعض أجزاء طلبات الرفض من المدعى عليهم ورفضت أخرى. نجت معظم دعاوى الإهمال، بينما رُفضت دعاوى إهمال واشنطن والعديد من نظريات الإهمال في حد ذاته. خلصت المحكمة في تلك المرحلة إلى أن سلوك Thompson الإجرامي لم يحل بالضرورة محل الإهمال المزعوم للمدعى عليهم. نظرًا لأن طلب الرفض يقبل المزاعم المذكورة جيدًا على أنها صحيحة، أثبت الحكم أن الدعاوى يمكن أن تستمر؛ لم يثبت أن Capital One أو Amazon ارتكبت الأفعال المزعومة.
انتهت القضية بالتسوية بدلاً من محاكمة في الموضوع.أمر الموافقة النهائيةوافق على صندوق غير قابل للاسترداد بقيمة 190 مليون دولار، وخدمات الدفاع عن الهوية واستعادتها، والتزامات الممارسات التجارية. حلت التسوية الدعاوى ضد Capital One وAmazon. الموافقة تعني أن المحكمة وجدت الحل المتفاوض عليه عادلاً ومعقولاً وكافياً بموجب قواعد الدعوى الجماعية. لم تخصص نسبة مئوية من مسؤولية الاختراق بين البنك وAWS والمهاجم.
هذا التمييز مهم لأن عبارة "من كان مسؤولاً؟" يمكن أن تدعو إلى إجابة خاطئة واحدة. أُدين Thompson بأفعال إجرامية. تعرضت Capital One لعقوبات تنظيمية بناءً على نتائج الموافقة وقبلت واجبات تصحيحية. واجهت Capital One وAmazon دعاوى مدنية نجت جزئيًا وتمت تسويتها. تغييرات التصميم اللاحقة للمزود ذات صلة بالوقاية لكنها ليست اعترافات بالخطأ القانوني. كل بيان له مصدر ووضع إجرائي. الجمع بينها في حكم واحد معمم سيكون غير دقيق.
IMDSv2 وحوكمة الإعدادات الافتراضية الأكثر أمانًا
قدمت AWS IMDSv2 في نوفمبر 2019، بعد أقل من أربعة أشهر من إفصاح Capital One عن الاختراق.إشعار إطلاق AWSوصفه بأنه دفاع في العمق ضد الوصول غير المصرح به إلى البيانات الوصفية. يمكن للعملاء طلب طريقة الطلب المحسنة على المثيلات الجديدة أو الجارية أو إيقاف تشغيل الوصول إلى البيانات الوصفية. ظل الإصدار 1 متاحًا للتوافق.
رمز جلسة IMDSv2 يخلق احتكاكًا ضد عدة مسارات نائب مرتبك. قد لا يسمح الوكيل الذي يمرر طلبات GET البسيطة بإجراء PUT الأولي. يمكن رفض الوكيل العكسي الذي يدخل رأس إعادة توجيه لإنشاء رمز. الرمز مربوط بالمثيل ولا يمكن ببساطة إعادة تشغيله من آلة عشوائية. يمكن لحدود القفز أن تقيد المسافة التي تقطعها استجابة البيانات الوصفية عبر طبقات الشبكة. هذه ضوابط بروتوكول قيمة لأنها تقلل من عواقب أخطاء التطبيق والوكيل.
إنها لا تزيل الحاجة إلى أقل امتياز. إذا تم تنفيذ رمز معادٍ فعليًا على مثيل، فقد يكون قادرًا على إجراء تبادل الرمز تمامًا كما يمكن للرمز المشروع. إذا كان SSRF الضعيف يسمح بأساليب ورؤوس تعسفية، فقد تكون الحماية أقل اكتمالاً. إذا كان الدور المرفق يمكنه قراءة بحيرة بيانات غير ضرورية، فإن العاقبة المتبقية تظل عالية. لذلك فإن تقوية البيانات الوصفية هي طبقة واحدة في تسلسل، وليست بديلاً عن تصميم الدور، والتحكم في الخروج، وتجزئة البيانات، والمراقبة.
الإعدادات الافتراضية لها أيضًا بعد زمني. في عام 2019، كان على العملاء اختيار وفرض الطريقة الأقوى بعد أن أصبحت متاحة. أعلنت AWS لاحقًا عنخارطة طريق IMDSv2 الافتراضيةالتي نقلت البدايات السريعة لوحدة التحكم وأنواع المثيلات الصادرة حديثًا نحو الإصدار 2، مع الاحتفاظ بخيارات التوافق. يوضح هذا التقدم معضلة حوكمة المنصة. التغيير الإلزامي الفوري يمكن أن يكسر البرامج الحالية؛ والاختيارية المطولة تترك الافتراضات القديمة في مكانها. يجب على المزودين جعل الهجرة قابلة للقياس، وتوفير إنفاذ على مستوى الحساب، وكشف استخدام الإصدار 1 المتبقي، وتحديد اتجاه واضح. يجب على العملاء معاملة ترقيات الأمان الاختيارية كقرارات مخاطر مع مالكين ومواعيد نهائية، وليس كتراكم للميزات.
بالنسبة لمجالس الإدارة، الدرس هو السؤال عن دين الإعدادات الافتراضية. كم عدد أعباء العمل التي لا تزال تعتمد على وضع بيانات تعريفية قديم؟ لماذا؟ ما الذي سينكسر إذا تم تعطيله؟ أي التطبيقات لا يمكنها تحمل حد قفز أقل؟ أي سياسة تنظيمية تمنع استثناءات جديدة؟ كيف تعرف الشركة أن حسابًا مكتسبًا أو بيئة تطوير لم تنحرف؟ ميزة آمنة متاحة ولكنها غير مقاسة تنتج ضمانًا أقل من برنامج هجرة مرتبط بالجرد والإنفاذ.
لم تحتوِ محلية البيانات الوصول المنطقي
أثر الاختراق على أشخاص على جانبي الحدود الأمريكية الكندية.مكتب مفوض الخصوصية الكنديفتح تحقيقًا بعد أن أبلغت Capital One عن تأثر ستة ملايين كندي، بما في ذلك بعض الذين تم الوصول إلى أرقام التأمين الاجتماعي الخاصة بهم. قدمتصفحة الحادث الكندية لـ Capital Oneإشعارات ودعمًا خاصين بكل بلد. يحول التأثير عبر الحدود المحلية من سؤال شراء سحابي مجرد إلى سؤال مساءلة.
المصادر التي تمت مراجعتها هنا لا تحدد منطقة AWS الدقيقة لكل كائن متأثر، ولا تظهر أن السجلات الكندية كانت محفوظة في منطقة كندية منفصلة. يجب الحفاظ على هذا الغياب. سيكون من غير المسؤول استنتاج موقع تخزين من جنسية صاحب البيانات أو من علامة تجارية سحابية عالمية. ما يثبته السجل هو أن حادثًا واحدًا أثر على مجموعات سكانية كبيرة تحكمها أنظمة قانونية وتنظيمية مختلفة.
تقول AWS فيمواد خصوصية البياناتإن العملاء يتحكمون في محتوى العملاء وأن واجبات المزود والعميل تتبع نموذج المسؤولية المشتركة.إطار السيادة الرقمية الحالييؤكد على اختيار العميل لمكان تشغيل أعباء العمل، والوصول إلى البيانات، والمرونة، والتحكم. تلك القدرات ذات صلة، لكن اختيار المنطقة ليس نتيجة سيادة كاملة.
تحدد المحلية أين يتم تكوين الخدمة لتخزين البيانات أو معالجتها تحت التشغيل العادي. يجب أن يجيب الأمان أيضًا على من يمكنه أن يتسبب في الكشف عن الخدمة لها، وأين يمكن ممارسة بيانات الاعتماد، وأين تذهب السجلات والنسخ الاحتياطية، وكيف يتم التحكم في وصول الدعم، وما إذا كانت البيانات المصدرة يمكنها عبور الحدود المحددة. في سلسلة Capital One، كانت بيانات اعتماد API أكثر أهمية من القرب المادي من القرص. بمجرد قبول دور كمصرح به، يمكن للتخزين تسليم الكائنات من خلال واجهة الخدمة. المنطقة المحلية لن تمنع، بحد ذاتها، هذا المسار المنطقي.
لذلك تحتاج ضوابط السيادة إلى أربع طبقات على الأقل. الأولى هي التنسيب: المناطق المعتمدة، إعدادات النسخ المتماثل، النسخ الاحتياطية، التحليلات، التعافي من الكوارث، وخدمات الدعم. الثانية هي السلطة: الهويات، واستخدام المفاتيح، والوصول إلى البيانات الوصفية، والسياسات التي تقيد المكالمات حسب الشبكة أو الحساب أو المؤسسة أو المنطقة. الثالثة هي قابلية المراقبة: السجلات المحتفظ بها في حساب خاضع للرقابة بشكل مستقل، وأدلة النقل عبر المناطق، وتنبيهات لمواقع المصدر غير المعتادة، والسجلات المتاحة للمنظمين ذوي الصلة.
الرابعة هي الخروج والاستمرارية: القدرة على تصدير البيانات والسجلات بشكل قابل للاستخدام، وسحب وصول المزود، وتدوير المفاتيح، وتشغيل ترتيب تعافي مختبر إذا أصبحت منطقة أو مزود أو آلية نقل قانونية غير متاحة.
يظهر الحادث أيضًا أن جغرافية صاحب البيانات يمكن أن تكون مهمة حتى عندما تكون جغرافية البنية التحتية غير مؤكدة. المنظمون الكنديون والأفراد المتأثرون وممارسات الإخطار واحتياجات استعادة الهوية لم تختف لأن Capital One مقرها في الولايات المتحدة. يجب على برنامج سحابي متعدد الجنسيات رسم خرائط لمجموعات البيانات للأشخاص والالتزامات التي تمثلها، وليس فقط للحساب والمنطقة التي يراها المهندسون فيها.
الاحتفاظ حول مسار الوصول إلى ملف تاريخي
قالت Capital One إن أكبر فئة متأثرة تضمنت بيانات التطبيق من 2005 حتى أوائل 2019. هذا الامتداد يغير تحليل المخاطر. طلب الائتمان له غرض فوري: تقييم الأهلية، والامتثال للقانون، ومنع الاحتيال، وإنشاء حساب. بمرور الوقت، قد تظل بعض المعلومات ضرورية للخدمة، أو الحجز القانوني، أو الواجبات التنظيمية، أو حوكمة النماذج، أو حل النزاعات، أو تحليل الاحتيال. لكن الضرورة يجب أن تثبت حسب المجال والغرض والفترة.
غالبًا ما يتم التعامل مع الاحتفاظ كجدول خصوصية منفصل عن أمان السحابة. يظهر الاختراق لماذا هذا الفصل مصطنع. كمية وعمر البيانات التي يمكن أن يصل إليها دور مخترق تحدد التأثير. لا يمكن لجدول حذف مثالي أن يمنع المهاجم من قراءة السجلات الحالية، لكنه يمكن أن يمنع حدث بيانات اعتماد واحد من كشف أربعة عشر عامًا من تاريخ التطبيق. وبالمثل، فإن تصنيف حقل كحساس له تأثير ضئيل إذا لم تتغير سياسة تخزين أو حدود مفاتيح أو دور وصول أو وظيفة حذف بسبب التصنيف.
التحكم المناسب ليس ببساطة "حذف البيانات القديمة". إنها دورة حياة قابلة للدفاع: تحديد غرض التجميع؛ تحديد الأساس القانوني والتجاري للاحتفاظ؛ فصل بيانات التشغيل النشطة عن الأرشيفات المقيدة؛ تقليل الحقول؛ ترميز المعرفات الدائمة؛ فرض الحذف؛ الاحتفاظ فقط بالسجلات الخاضعة لاستثناء موثق؛ واختبار ما إذا كانت البيانات المحذوفة تترك أيضًا نسخًا مكررة ومجموعات بيانات مشتقة وذاكرة تخزين مؤقت ولقطات ونسخ تطوير. كل استثناء يجب أن يكون له مالك ومراجعة انتهاء صلاحية.
يجب أن تقلل هندسة البيانات أيضًا من التجميع. لا ينبغي أن يحصل دور واحد على إمكانية الوصول إلى مجموعة تاريخية واسعة لمجرد أن مهمة معالجة واحدة احتاجتها مرة واحدة. التقسيم حسب الغرض والحساسية والفترة الزمنية والاختصاص القضائي يعطي سياسة الوصول شيئًا ذا معنى لفرضه. بدون هذه الحدود، يُجبر أقل امتياز على العمل على مستوى سلة أو بحيرة بيانات كبيرة جدًا، ويصبح الفرق بين "يمكن تشغيل هذا التطبيق" و"يمكن قراءة تاريخ هذه المؤسسة" صغيرًا بشكل خطير.
الاعتماد على السحابة يشمل الاعتماد على الأدلة
لم تكن Capital One تستأجر أقراصًا بعيدة فقط. مثل أي عميل سحابي كبير، اعتمدت على دلالات الهوية التي يحددها المزود، وسلوك البيانات الوصفية، وتسجيل API، وهياكل المناطق، وضوابط التخزين، وتوفر الخدمة، والتوثيق، وقدرة المزود على الحفاظ على الأدلة وشرحها. هذا اعتماد أوسع من وقت التشغيل.
لم يتسبب حادث 2019 في انقطاع عام طويل لخدمات Capital One المصرفية الأساسية. كانت قضية الاستمرارية هي السرية والثقة. كان على الشركة التحقيق في عقار سحابي كبير، وتحديد السجلات المتأثرة، وإخطار الأشخاص في بلدين، والعمل مع سلطات إنفاذ القانون والمنظمين، وتوفير المراقبة، والدفاع في الدعاوى القضائية، ومعالجة الضوابط مع الاستمرار في التشغيل. هذه استمرارية في ظل أدلة مخترقة: قد تظل الخدمات متاحة بينما يجب على المؤسسة تحديد ما إذا كانت سجلاتها وعمليات الهوية واتصالات العملاء لا تزال جديرة بالثقة.
تقرير 10-K لعام 2019 لـ Capital Oneأبلغ عن 72 مليون دولار من نفقات الاستجابة والمعالجة الإضافية لعام 2019، يقابلها 34 مليون دولار من استردادات التأمين. توقعت الشركة أن تكون في الطرف الأدنى من النطاق المعلن سابقًا من 100 مليون دولار إلى 150 مليون دولار لإجمالي بنود التسوية للحادث، مع استمرار بعض التكاليف بعد عام 2019. حذرت من التدخل التنظيمي، والتقاضي، وتكاليف المعالجة، والضرر بالسمعة، وفقدان الثقة. تلك الأرقام سبقت غرامة مكتب مراقب العملة البالغة 80 مليون دولار وصندوق التسوية الجماعية اللاحق البالغ 190 مليون دولار، ولا ينبغي إضافتها بشكل عرضي لأن التأمين والتوقيت ونطاق التسوية والمعالجة المحاسبية تختلف.
يجب التخطيط لاعتماد الأدلة تعاقديًا وتقنيًا. يحتاج العميل الخاضع للتنظيم إلى سجلات بحقول ومدة احتفاظ كافية، وإخطار فوري بأحداث المزود، والتعاون مع الجمع الجنائي، وواجبات الحفظ، ومعلومات المنطقة والمعالج الفرعي، والوصول إلى تقارير التحكم، والتواصل بشأن الثغرات، وعملية لطلبات الحكومة والمنظمين. يحتاج أيضًا إلى نسخته الخاصة من السجلات الهامة في حساب أمان لا يمكن لعبء العمل المخترق تغييره. لوحة معلومات المزود التي تقول إن الخدمة عملت بشكل طبيعي لا تثبت أن هويات العملاء كانت محددة النطاق بشكل صحيح.
ينتمي تخطيط الخروج إلى نفس الحزمة. يمكن أن يؤدي تركيز البيانات وسياسة الهوية في مزود واحد إلى تحسين التوحيد والرؤية، ولكنه يمكن أيضًا أن يجعل الهجرة صعبة. يجب أن يقيس اختبار الخروج الوقت المستغرق لجرد البيانات، وإعادة إنتاج سياسة الوصول، وتصدير المفاتيح أو إعادة التشفير، ونقل السجلات، وإعادة بناء الكشف، وتلبية قيود المحلية، وإثبات الحذف من المزود القديم. النشر متعدد السحابة ليس أكثر أمانًا تلقائيًا؛ تكرار الضوابط غير الناضجة يمكن أن يضاعف عدم اليقين. الهدف هو قابلية نقل موثوقة للبيانات والأدلة، وليس عدد مزودين تزيينيًا.
ما حسمته التسويات وما تركته مفتوحًا
تسوية المستهلك كبيرة، لكن يجب ذكر معناها بعناية. أنشأت التسوية صندوقًا بقيمة 190 مليون دولار للخسائر النثرية المؤهلة، والوقت الضائع، وخدمات الدفاع عن الهوية، وخدمات الاستعادة، والإخطار والإدارة، والرسوم التي وافقت عليها المحكمة. تضمنت أيضًا التزامات الممارسات التجارية. وجد أمر الموافقة النهائية أن التسوية عادلة ومعقولة وكافية ورفض دعاوى المستهلكين المفرج عنها مع الإخلال بالحق.
لم تثبت التسوية أن كل ادعاء في الشكوى المعدلة كان صحيحًا. لم تحول خلفية رفض الدعوى إلى نتائج بعد الأدلة. لم تحدد أن تصميم بيانات AWS الوصفية تسبب في نسبة مئوية محددة من الضرر أو أن تكوين Capital One تسبب في الباقي. لم تمح المسؤولية الجنائية لـ Thompson، ولم تحل محل نتائج وأوامر مكتب مراقب العملة التنظيمية المنفصلة.
هذا التخصيص غير المحلول هو في حد ذاته درس في الحوكمة. لا يمكن للشركات انتظار محكمة لتعيين نسبة مئوية أنيقة قبل تحسين عنصر تحكم مشترك. قد لا يكون لمزود المنصة مسؤولية مقضية وما زال يضيف بروتوكولًا أكثر أمانًا. قد ينازع عميل في نتائج منظم وما زال يقبل أمرًا ويصلح الضوابط. قد يحتفظ مجلس الإدارة بالدفوع القانونية مع معالجة الحقائق التشغيلية كأمر عاجل. يمكن أن يختلف الموقف القانوني وموقف المعالجة دون تناقض.
أعلن مكتب مراقب العملة لاحقًا أنهأنهى أمر الكف والامتناع لعام 2020اعتبارًا من 31 أغسطس 2022. الإنهاء هو نقطة نهاية مهمة لذلك الأمر المعين. لا يلغي العقوبة، أو يعيد كتابة النتائج التاريخية، أو يثبت أن مخاطر السحابة أصبحت ثابتة. يشير إلى أن الأمر الرسمي لم يعد معلقًا. يجب على مجلس الإدارة الناضج تحويل جرد التحكم في الأمر، والاختبار، والتدقيق، وتخصصات إعداد التقارير إلى حوكمة عادية بدلاً من تركها تنتهي مع الإشراف التنظيمي.
حزمة أدلة لمخاطر البيانات الوصفية والهوية والمحلية
يدعم سجل Capital One حزمة أدلة عملية للمؤسسات التي تدير أعباء عمل حساسة في السحابة العامة.
رسم خرائط المسارات العامة إلى السلطة الداخلية.جرد كل وكيل قابل للوصول عبر الإنترنت، وموازن تحميل، و WAF، وبوابة API، وتطبيق. لكل منها، أظهر الوجهات الصادرة، وقابلية الوصول إلى البيانات الوصفية، والهويات المرفقة، والطرق والرؤوس المسموح بها، وأقصى سلطة بيانات يمكن الوصول إليها من خلال تلك الهوية. اختبر المسار من منظور مهاجم، وليس فقط مقابل مخطط الهندسة المعمارية المقصود.
جعل موقف البيانات الوصفية قابلاً للقياس.سجل ما إذا كانت البيانات الوصفية مطلوبة، وما إذا كان يمكن تعطيلها، وإصدار البروتوكول المطلوب، وحد القفز، وقيود جدار الحماية المحلي، والآثار المترتبة على الحاوية، والمكالمات القديمة الملحوظة. فرض الحالة المفضلة على مستوى المؤسسة أو الحساب. يجب أن تحدد الاستثناءات البرنامج التابع، ومالك المخاطرة، والضوابط التعويضية، وتاريخ الإزالة.
حساب نصف قطر انفجار بيانات الاعتماد.لكل دور وقت تشغيل، تعداد بادئات التخزين، وقواعد البيانات، وقوائم الانتظار، والأسرار، وعمليات المفاتيح، والإجراءات الإدارية التي يمكنه الوصول إليها. تقدير مقدار البيانات الحساسة التي يمكن قراءتها خلال عمر بيانات اعتماد واحد ومن مواقع الشبكة. اختبار الأذونات الفعلية، بما في ذلك تقاطع سياسات الهوية والموارد والمفاتيح ونقطة النهاية والمؤسسة.
فصل وصول التخزين عن سلطة فك التشفير.لا ينبغي أن ينهار التشفير في نفس الدور المكشوف من خلال مسار التطبيق. استخدم الترميز أو خدمة متميزة لحقول الهوية الدائمة. نبه عندما تستدعي هوية مواجهة للعامة عمليات مفاتيح أو تقرأ فئة من البيانات خارج غرضها الضيق.
التحكم في البيانات حسب الغرض والاختصاص القضائي.ضع علامات وقسم البيانات وفقًا للحساسية والغرض وفترة الاحتفاظ والسكان المتأثرين. فرض المناطق المعتمدة للتخزين الأساسي والنسخ المتماثلة والتحليلات والنسخ الاحتياطية والتعافي. سجل أي خدمة تنقل المحتوى أو بيانات الدعم بالضرورة. اختبر الرفض عبر المناطق والحسابات، وليس فقط الموقع المكون.
امتلاك مسار التدقيق.قم بتوجيه أحداث الهوية والبيانات الوصفية والتخزين والمفاتيح والشبكة وفقدان البيانات إلى بيئة تسجيل مُدارة بشكل مستقل. حماية السجلات من أدوار عبء العمل. ربط استرداد بيانات الاعتماد وعمليات القائمة وقراءات الكائنات وفك التشفير والخروج. قياس ما إذا كانت التنبيهات يتم فحصها إلى نتيجة مثبتة، وليس فقط ما إذا تم إنشاؤها.
التوفيق بين عالم التحكم.يجب أن يكون لكتالوج التحكم السحابي للإدارة، وجرد الأصول، وجرد التكوين، وكتالوج البيانات، وسجل المخاطر، ونطاق التدقيق معرفات مشتركة. يجب أن يختبر التدقيق الداخلي الاكتمال بدلاً من أخذ عينات فقط من قائمة الإدارة. يجب الإبلاغ عن الأصول والضوابط غير المتطابقة كتغطية غير معروفة.
تصعيد النتائج المتكررة والمتأخرة.يجب أن تظهر فجوة التكوين مع تاريخ معالجة فائت بجانب مسارات الهوية والبيانات التي تتركها مكشوفة. يجب أن تذكر تقارير مجلس الإدارة المسؤول التنفيذي المسؤول، والضوابط التعويضية، وطريقة التحقق، والموعد النهائي. يجب أن يتطلب الإغلاق دليلاً مستقلاً على أن حالة المخاطرة تغيرت.
ممارسة الاستجابة عبر الحدود.يجب أن يحدد تمرين الاختراق السكان والمنظمين المعنيين، وما تظهره السجلات حول الموقع والوصول، وكيف سيتم تسليم الإشعارات الخاصة بكل بلد، وكيف تعمل استعادة الهوية لمعرفات حكومية مختلفة وأنظمة الائتمان. يجب أن تكون المنظمة قادرة على شرح مكان الاحتفاظ بالبيانات المتأثرة دون إعادة بناء الإجابة أثناء الأزمة.
الحفاظ على حقوق تعاون المزود والخروج.يجب أن تؤمن العقود وإجراءات التشغيل الوصول في الوقت المناسب إلى السجلات، والدعم الجنائي، وإخطار الحوادث، والحفاظ على الأدلة، والتزامات المنطقة، وشفافية المعالج الفرعي، وشهادة الحذف. يجب على الفرق اختبار دوري لتصدير البيانات والسياسات والمفاتيح وأدلة التدقيق إلى بيئة استرداد قابلة للاستخدام.
هذه الحزمة متطلبة لأن المخاطرة اندماجية. قد يفي WAF بخط الأساس الخاص به. قد تعمل خدمة البيانات الوصفية كما هو موثق. قد يكون للدور سبب تجاري. قد يكون المستودع خاصًا. قد تكون الكائنات مشفرة. قد تكون السجلات موجودة. ومع ذلك، يمكن للتقاطع أن يسمح مع ذلك لطلب عام بأن يصبح تصديرًا مصرحًا به. المساءلة تنتمي عند التقاطعات.
الاختبار الدائم
لا يزال اختراق Capital One قضية مفيدة لمساءلة السحابة لأنه يقاوم قصتين سهلتين. الأولى تقول إن السحابة العامة تسببت في الاختراق. هذا يتجاهل التكوين الذي يتحكم فيه العميل، والأذونات، وهندسة البيانات، والمراقبة، ونتائج مكتب مراقب العملة المباشرة حول برنامج مخاطر السحابة للبنك. الثانية تقول إن المسؤولية المشتركة وضعت الأمر بالكامل على العميل. هذا يعامل مخطط المزود على أنه نهاية تحليل التصميم ويتجاهل قيمة دفاعات خدمة البيانات الوصفية الأقوى، والإعدادات الافتراضية الأكثر أمانًا، والقياس عن بعد للمزود، والأدلة التعاقدية.
القصة الأفضل تتبع السلسلة. يمكن لعنصر تحكم مواجه للعامة أن يرسل طلبًا غير مقصود. وصل الطلب إلى حدود ثقة البيانات الوصفية. كانت للهوية المؤقتة الناتجة سلطة كافية لإدراج المعلومات المخزنة ونسخها. لم يمنع التشفير بيانات الاعتماد المقبولة كمصرح بها من قراءة البيانات. لم تنتج المراقبة الداخلية احتواءً في الوقت المناسب. وسع أفق الاحتفاظ الطويل الجسم المكشوف. وصل نفس الحدث إلى أشخاص تحت أنظمة الخصوصية الأمريكية والكندية. لم تفرض تقارير التدقيق ومجلس الإدارة حل فجوات التحكم السحابي الأوسع التي حددها المنظم.
ثم انفصلت المسؤولية حسب المنتدى. أُدين المهاجم. فرضت الهيئات التنظيمية المصرفية التزامات موافقة وغرامة على Capital One. لاحق المستهلكون كلاً من Capital One وAmazon؛ نجت الدعاوى جزئيًا وتسويت دون تخصيص خطأ في المحاكمة. قدمت AWS بروتوكول بيانات تعريفية أكثر دفاعية. وصفت Capital One المعالجة، وعززت إشراف مجلس الإدارة، وتكبدت تكاليف استجابة وإنفاذ وتسوية كبيرة.
بالنسبة لمجالس الإدارة المستقبلية، السؤال الحاسم ليس ما إذا كان مزود السحابة معتمدًا، أو أن المستودع مشفر، أو أن قاعدة جدار الحماية قد تم إصلاحها. إنه ما إذا كانت المؤسسة يمكنها إثبات أنه لا يمكن لأي مسار غير موثوق به الحصول على هوية عبء عمل بسلطة غير متناسبة؛ وأن الاستخدام غير المعتاد لتلك الهوية سيتم اكتشافه وحله؛ وأن البيانات القابلة للوصول محدودة بالغرض والزمن والاختصاص القضائي؛ وأن أدلة المزود والعميل يمكن ضمها بسرعة كافية لحوكمة المخاطرة.
هذا الإثبات هو المعنى العملي للمسؤولية المشتركة. بدونه، تكون المسؤولية مقسمة على الورق فقط بينما تظل المخاطرة متصلة في الإنتاج.

