概述

  • Capital One 表示,2019 年 3 月 22 日和 23 日,一名外部人员利用了一项配置漏洞。刑事和监管记录描述了一条更长的控制链:一个错误配置的 Web 应用程序防火墙使命令能够到达云环境,获取了某个角色的凭据,这些凭据可用于枚举和复制存储对象,而监控并未将可疑活动转化为及时遏制。
  • Office of the Comptroller of the Currency 并未将该事件定性为一次孤立的工程失误。其同意令调查结果追溯至该银行 2015 年的云迁移,并指出了无效的风险评估、网络安全和数据丢失防护控制不足、告警处置不善、内部审计差距以及董事会未能有效追究管理层责任的行动。
  • 责任存在于多个层面,但在法律上并不等同。联邦陪审团判定 Paige Thompson 犯有刑事行为。Capital One 接受了 OCC 8000 万美元的罚款,同时既不承认也不否认该机构的调查结果。针对 Capital One 和 Amazon 的消费者索赔在诉答阶段部分存续,后来达成和解,因此民事案件并未作出银行与云服务提供商之间过失的审判分配。
  • 主权教训不在于选择国内云区域就能解决数据保护问题。加拿大约有 600 万人受到影响,其中约 100 万人的 Social Insurance Numbers 遭到泄露。位置、留存、身份权限、元数据访问、加密权限、日志记录以及监管机构获取证据的能力必须作为一个整体系统进行治理。

被过于狭隘描述的泄露事件

Capital One 数据泄露事件的常见版本很简洁:防火墙配置错误,攻击者访问了 Amazon Web Services 中的数据,超过 1 亿人的信息被窃取。这句话的每个部分都指向了正确的方向。然而,作为问责叙述,它过于狭隘。它使该事件听起来像是在一个本已受控的环境边缘出现了一个糟糕的设置。

官方记录描述了更为结构性的问题。Capital One 在2019 年 7 月 29 日向 SEC 提交的公告中表示,该公司于 7 月 19 日确定,一名外部人员在利用特定配置漏洞后获取了个人信息。公告将实质性未经授权的访问时间锁定在 3 月 22 日和 23 日,称 7 月 17 日收到了负责任披露报告,并解释称公司修复了配置并与联邦执法部门合作。它还表示,云运营模式帮助公司在得知问题后迅速诊断和纠正。

最后一点很重要。Capital One 并未将云本身视为原因。该公司强调,相关基础设施元素可能存在于云端或本地。这一立场在技术上是可辩护的:反向代理或 Web 应用程序防火墙在两种环境中都可能成为意外的中继;服务凭据在两种环境中都可能权限过高;合法身份在两种环境中都可以读取加密数据。然而,云改变了这些条件组合的速度、抽象性和规模。穿越应用边界的命令可以到达实例元数据服务。临时凭据可以通过 API 从其他地方行使。存储角色可以枚举远超单台服务器磁盘的数据湖。使云运营高效的相同自动化,也可能使权限错误对入侵者来说同样高效。

Capital One 当前的事件信息页面指出,美国约有 1 亿人,加拿大约有 600 万人受到影响。最大的数据类别是消费者和小企业在 2005 年至 2019 年初申请信用卡产品时提供的信息:姓名、地址、邮政编码、电话号码、电子邮件地址、出生日期和自行申报的收入。部分信贷客户数据包括评分、额度、余额、支付历史、联系数据以及 2016 年、2017 年和 2018 年中 23 天的交易数据片段。该公司报告称,遭泄露的数据中约有 14 万个美国 Social Security numbers、约 8 万个关联银行账号以及约 100 万个加拿大 Social Insurance Numbers。信用卡账号和登录凭据未遭泄露。

这些区分防止了夸大其词,但并未将控制问题简化为一个数字。应用程序数据在信贷决策做出后很长一段时间内仍可能具有身份敏感性。收入、地址历史、出生日期、信用状况和政府标识符可以在不同系统间组合。因此,该事件不仅关乎存储桶是否私有。还关乎为何面向应用程序的角色能够访问存储的数据体,为何本地元数据边界上的凭据路径能够成为外部数据路径,为何监控未能弥合差距,以及为何约十四年间收集的数据仍处于可访问范围内。

时间线与问责形式的演变

日期会改变对组织合理知晓和行动预期的判断。核心时间线可从公司披露、后续起诉与定罪、监管机构命令以及法庭记录中梳理得出,但不应将每种来源视为同等证明。

日期事件与问责意义
2015 年前后OCC 后来发现,Capital One 在将重要技术运营迁移至云环境之前,未能建立有效的风险评估流程,也未建立适当的云风险管理。
2019 年 3 月 12 日后续起诉书指控,从大约这一天起,对 Capital One 进行了持续未经授权的访问。 Capital One 另行将 3 月 22 日和 23 日确定为其公告中所述数据访问的实质性日期。
3 月 22 日至 23 日Capital One 表示,外部个人在这两天获取了数据。起诉书指控,3 月 22 日有一条命令将 Capital One 数据复制到了 Thompson 控制的服务器。
4 月至 5 月在民事案件的诉答阶段陈述中,原告声称日志显示了额外的连接或连接尝试,且公开帖子描述了该活动。这些是投诉指控,仅在裁定驳回动议时才被假定为真实。
7 月 17 日一名 GitHub 用户通过 Capital One 的负责任披露渠道提醒其可能的数据盗窃。这一外部报告而非内部警报促成最终解决,启动了发现过程。
7 月 19 日Capital One 确定发生了未经授权的访问,修复了配置问题,并联系了 FBI。根据公司 2020 年委托书声明,管理层向董事会报告了此事。
7 月 29 日Capital One 公告泄露事件。FBI 逮捕了 Paige Thompson,政府提交了刑事诉讼。
11 月 19 日AWS 发布了实例元数据服务第 2 版(IMDSv2),增加了面向会话的请求保护及客户控制项,可要求使用新方法或禁用元数据访问。
2020 年 4 月 30 日FFIEC 发布云风险声明,强调金融机构必须理解共同责任,不能仅仅因为系统在云中运行就假定控制有效。
2020 年 8 月 5 日至 6 日OCC 处以 8000 万美元民事罚款并发布详细终止令;Federal Reserve 对控股公司发布了协调令。
2020 年 9 月联邦地区法院部分批准、部分驳回了 Capital One 和 Amazon 驳回消费者索赔的动议。裁定检验的是指控的法律充分性,而非指控是否得到证明。
2022 年 6 月联邦陪审团在经过 7 天审判后,判定 Thompson 犯有电信欺诈、未经授权访问及破坏受保护计算机等罪名。
2022 年 8 月至 9 月OCC 于 8 月 31 日终止其 2020 年终止令。联邦法院于 9 月 13 日最终批准了 1.9 亿美元的消费者集体诉讼和解。
2022 年 10 月Thompson 被判处已服刑期及五年缓刑,包括定位和计算机监控。

3 月 12 日与 3 月 22 日之间表面上的不匹配并非必须强行归为一个日期的矛盾。2021 年的后续起诉书指控的未经授权计算机访问期间更宽,始于 3 月 12 日前后。Capital One 的公告将 3 月 22 日和 23 日作为其事件叙述中数据访问的核心日期。时间线应保留所指控行为过程与公司对数据外泄描述之间的这一差异。

同样的原则适用于受影响人数统计。公司最初公告称美国约 1 亿人、加拿大约 600 万人受影响。美国和解管理人后来描述和解类别中约有 9800 万美国消费者。这两个数字都不应被悄然转换为精确的通用数字。它们属于不同记录、不同阶段,定义也不同。

元数据边界如何成为凭据边界

技术链条始于服务器端请求伪造(通常缩写为 SSRF)。在 SSRF 条件下,外部调用者诱导服务器端组件发出由该调用者选择或影响的请求。请求从服务器的网络位置发出,因此可能到达公共互联网无法直接访问的目标。安全问题不仅仅是接受了一个 URL。而是应用程序成为了传递外部意图的代理,将外部意图带入更受信任的网络环境。

美国司法部的Capital One 案件页面将入侵描述为通过一个配置错误的 Web 应用程序防火墙发生。审判前提交的后续起诉书指控,Thompson 创建并使用扫描器来识别那些其 Web 应用程序防火墙配置允许外部命令到达并执行于其服务器的云客户。起诉书指控,这些命令获取了客户账户或角色的安全凭据;随后这些凭据被用于列出存储桶并复制该角色有权访问的对象。起诉书使用了中性术语“云计算公司”,但公开民事记录和 Capital One 自身的文件将该环境标识为 AWS。

EC2 实例元数据服务的存在,使得虚拟机上的软件能够了解其运行时环境,并获取与附加身份角色关联的临时凭据。这是替代在文件中存储长期访问密钥的有用方式。然而,该设计假设来自实例的访问具有意义。如果面向 Web 的组件可以被迫使发出任意内部请求,“实例本地”就不再等同于“授权的工作负载代码”。

AWS 的2019 年对 IMDSv2 的解释指出,元数据地址是链路本地端点,并解释元数据可以包含实例附加角色的临时凭据。第 2 版要求软件首先发出一个 HTTP PUT 请求以建立会话并接收秘密令牌,然后在后续元数据请求中出示该令牌。AWS 设计该协议是为了增加对常见开放式 Web 应用程序防火墙、开放式反向代理、SSRF 缺陷以及某些第 3 层防火墙或网络地址转换错误的抵抗力。客户可以要求使用第 2 版或完全禁用元数据访问。

重要的分析点不在于协议修订事后证明了缺陷,也不在于客户配置免除了平台设计者的所有设计责任。而在于本地信任假设可以在多个层面得到加强。Capital One 可以约束 WAF、限制到元数据端点的出口、缩小角色权限、限制可访问存储、检测异常 API 使用并减少保留的数据。AWS 可以使元数据协议不再那么容易被透明代理和 SSRF 路径重用。纵深防御认识到,应用程序错误不应自动成熟为身份凭据,身份凭据也不应自动成熟为大规模数据导出。

Web 应用程序防火墙并非泄露事件的全部

将该事件称为防火墙配置错误可能掩盖三个独立的问题。第一,为何不受信任的请求能够导致防火墙或其后的组件到达内部目标?第二,当这一情况发生时,什么身份被暴露了?第三,该身份能够做什么?

第一个是应用和网络路径问题。Web 应用程序防火墙通常被理解为一种在请求到达应用程序之前过滤恶意输入的控件。在此事件中,相关配置使其成为通往内部资源路径的一部分。这种倒置应改变云团队测试边缘控件的方式。WAF 不仅仅是公共边界处的规则集;它还是具有执行上下文、出站可达性、标头、方法以及附加身份的代码。安全审查必须询问,当控件本身被混淆时,它能够访问和模拟什么。

第二个问题涉及元数据凭据。临时凭据在重要方面比嵌入的长期密钥更安全:它们会轮换、过期,并且可以集中与角色关联。但“临时”描述的是持续时间而非权限。如果攻击者可以反复获取当前凭据,或者在凭据有效窗口内使用它复制大量数据集,轮换并不能防止损害。因此,凭据卫生必须包括凭据颁发路径及其携带的权限。

第三个问题是最小权限。起诉书指控,所获取的账户具有列出和复制目标存储所需的权限。民事法院2020 年 9 月的驳回动议命令记录了,作为该程序阶段被接受的指控,Amazon 描述的应用程序层防火墙配置错误,叠加了可能比预期更宽的权限。该命令还记录了原告关于访问存储和数据湖的指控。这些段落并非审判结论。但它们仍有价值,因为法院的处置表明,刑事入侵在法律上未必切断了安全决策与消费者损害之间被指控的因果链条。

因此,有效的审查不会以“WAF 已修复”告终。它将重建完整的权限图谱:公共请求到代理;代理到元数据端点;元数据端点到角色会话;角色到存储列表;存储列表到对象读取;对象读取到解密路径;API 调用到网络出口。每个环节都需要所有者、业务理由、预防性控制和遥测。移除一条错误规则可以阻止已知路径,却不能证明身份和数据架构是相称的。

加密保护的是介质,而非授权的误用

Capital One 称,其将数据加密作为一项标准实践,并对选定字段进行了令牌化处理,尤其是社会安全号码和账号。它还表示,相关情况使得被访问数据可被解密,而令牌化数据则因使用了不同的方法和密钥而保持受保护。这是对“数据已加密”即解决控制问题这一常见说法的重大纠正。

静态加密主要用于在存储介质、快照或底层存储通过授权服务路径以外的方式被访问时保护数据。应用程序仍需读取数据。因此,云存储和密钥管理系统为满足策略的身份解密信息。如果攻击者获取了一个与工作负载具有相同读取权限的凭据,加密便可能在完全按设计运行的同时,将明文释放给使用授权机器身份的非授权人员。

这并不是反对加密的论据,而是支持权限分离的论据。暴露给面向公共控件的角色不应拥有广泛的数据读取和密钥使用权限。高敏感字段应在通用存储读取身份无法跨越的服务边界内进行令牌化或加密。密钥策略、数据策略和角色策略应作为一项授权决策进行审查。否则,三种各自看似合理的配置可能交集,授予其所有者都未意图的访问权限。

该事件还表明,为何控制报告应区分覆盖范围和后果。“百分之百的对象已加密”可能为真,而机密性风险依然高企。更有用的董事会指标应显示:每个运行时角色可以读取的敏感对象比例;哪些身份可以调用解密;面向公共的工作负载是否出现在这些路径中;以及角色超出其正常前缀、流量、区域或时间模式读取的频率。

检测失败,响应成功

Capital One 的负责任披露计划在外部人员使用时奏效了。该公司称,于 7 月 17 日收到报告,7 月 19 日确认泄露,修复了问题,联系了 FBI,于 7 月 29 日公告事件,并支持了快速逮捕。这些都是有意义的响应事实。但它们没有回答为何内部控制系统未能将 3 月的活动解决。

OCC 的调查结果在更高层面弥补了这一差距。在民事罚款同意令中,货币监理署发现 Capital One 未建立适当的云风险管理,包括充分的数据丢失防护控制以及有效的告警处置。Capital One 既未承认也未否认这些调查结果。“处置”不仅仅是生成告警。它是决定事件是否为良性、升级、遏制或有证据关闭的过程。

云环境产生大量遥测数据:角色代入、元数据使用、存储列表、对象读取、API 源地址、出口流量、拒绝调用、策略变更和数据分类事件。更多信号并不会自动产生检测。一个程序可以收集每一个相关事件,但如果规则不关联序列,如果阈值对角色正常行为不敏感,如果告警缺乏负责的所有者,或者如果关闭原因未经过独立审查,则仍可能失败。

外部报告导致发现这一事实,应被记录为响应成功和保证失败。成功之处在于该渠道存在、受到监控并促成了行动。失败之处在于,一条长达数月之久的访问路径在银行自身控制产生最终遏制之前,已通过公开活动被发现。负责任披露是宝贵的外部传感器。它不应被视为对凭据获取、异常存储桶枚举和大规模对象复制内部检测的替代。

OCC 将泄露事件视为迁移治理失败

最有力的公共问责记录并非技术事后分析,而是 OCC 的 2020 年执法组合。该机构的罚款公告称,该银行在将重大技术运营迁移至公有云之前,未能建立有效的风险评估流程,且未能及时纠正缺陷。该机构处以 8000 万美元罚款,认可了银行的通知和补救措施,并指出负责任的创新仍需要健全的风险管理和内部控制。

同意令调查结果异常具体。OCC 发现,在 2015 年前后,该银行在迁移前未能建立有效的风险评估。发现其在网络安全控制设计与实施、数据丢失防护以及告警处置方面存在缺陷。发现内部审计未能识别大量控制弱点和缺口,未能向审计委员会有效报告已识别弱点,且董事会未能采取有效行动,就审计提出的某些关注事项追究管理层责任。 Capital One 为避免诉讼费用同意该命令,并明确既不承认也不否认调查结果。

这一框架改变了问责单位。若该事件仅是 2019 年创建的一条糟糕 WAF 规则,补救措施可集中于工程师、变更审查和即时控制。若相关失败始于 2015 年未经充分评估的运营模式,则责任体系包括迁移治理、云控制设计、二线挑战、内部审计、委员会报告、管理层补救和董事会升级。

随附的OCC 终止令使更广泛的边界得以运作。它要求成立一个至少由三名董事组成的合规委员会,制定书面纠正行动计划,改进技术风险评估、云运营风险管理、独立风险管理、控制测试和内部审计。云计划须处理边界安全、敏感信息的识别与保护、未经授权披露的预防与检测以及容器化对象的配置管理。独立风险管理须定义全面的风险与控制全集,并对一线对固有和残余网络风险的评估提出质疑。

该命令的控制测试要求格外重要。Capital One 必须建立相关云控制清单,将基于风险的测试计划与该清单进行协调,跟踪差距,进行补救或正式接受风险。内部审计须验证管理层对技术资产、可配置设备和软件清单的完整性和准确性;将其审计范围与检查关注点相映射;纳入泄露根本原因分析的经验教训;修订审计覆盖范围;评估工作人员专业知识;并改进向审计委员会的报告。

这些义务回应了一个反复出现的云治理错误。企业可能拥有控制目录和审计计划,但两者之间缺乏可靠的关系。控制目录包含管理层认为存在的事项。资产清单包含团队认为自己所运行的事项。审计范围包含审计期望审查的事项。如果这些集合未协调一致,公有角色、元数据路径、存储桶或配置引擎便可能处于所有权模型之间。OCC 命令要求提供证据,证明这些集合是吻合的。

董事会问责靠证据,而非会议频率

Capital One 的2020 年委托书声明称,管理层在 7 月 19 日发现事件后立即向董事会报告。数个委员会的独立成员及全体董事会就该事件及响应召开了超过 20 次会议。董事会聘请了外部专家,收到了根本原因和补救措施的报告,加强了监督,并指派风险委员会牵头审查增强的网络治理。管理层组建了一个高级委员会,负责企业网络问题和上报。

这些是合理的治理回应,但会议次数无法证明控制有效。OCC 的调查结果侧重于泄露事件发生前的时期,当时审计弱点据称未被有效上报,管理层对某些未解决问题未被追究责任。因此,有用的比较并非“之前会议少,之后会议多”,而是董事会收到的信息是否从活动报告转变为控制证据。

OCC 命令定义了此类证据应支持的内容。董事们须确保及时的纠正行动,验证行动有效,确保充足的人员和系统,追究管理层责任,要求充分及时的报告,并处理违规行为。董事会可依赖管理层、委员会和第三方,但依赖不能免除确保纠正行动的职责。

对于云元数据和存储风险,董事会级别的材料应回答具体问题。有多少可访问互联网的工作负载能访问实例元数据?有多少需要更强的会话协议?哪些可以完全禁用元数据?有多少面向公共的角色可以列出或读取敏感对象存储?每个角色在一个凭据生命周期内可检索的最大数据量是多少?哪些控制措施可防止数据离开经批准的网络或区域?有多少告警在没有确凿证据的情况下被关闭?哪些云审计问题错过了目标日期,哪位高管接受了剩余风险?

这些问题都不要求董事去配置防火墙。它们询问的是管理层能否证明其所声称的运行边界。这就是行政管理与监督的区别。董事无需了解每个 API 参数,但他们需要一个报告系统,在外部研究人员之前揭示危险的组合。

共同责任是控制图谱,而非免责声明

AWS 将云安全描述为提供商与客户之间的共同责任。根据AWS 共同责任模型,AWS 保护运行云服务的基础设施,而客户职责因服务选择而异,通常包括客户数据、身份与访问、应用程序软件、操作系统配置、防火墙配置、加密选择和流量保护。对于 EC2 等基础设施服务,客户所控制的操作堆栈远多于完全托管服务。

该模型很有用,因为它防止了类别错误:租用计算资源并不使提供商成为客户应用程序权限的运营者。但图表只是治理的开端。许多重要控制跨越界限。提供商设计元数据服务;客户决定是否及如何使用。提供商提供身份策略机制;客户定义角色和权限。提供商生成日志;客户启用、保留、路由和调查它们。提供商提供区域选择;客户选择满足法律义务的区域和架构。提供商使更安全的默认设置成为可能;客户必须迁移现有工作负载并强制执行。

FFIEC 云计算声明明确指出了金融领域的后果。管理层不应仅仅因为系统在云环境中运行就假定存在安全性和弹性控制。声明指出,合同应确定各方责任,但金融机构仍需对安全稳健运营和合规负责。它强调治理、云架构、身份、数据管理、漏洞管理、监控、事件响应、业务连续性以及审计是相互关联的实践。

因此,共同责任必须转化为足以测试的精确控制矩阵。对于每个控制项,矩阵应确定谁设计、谁配置、谁运维、谁接收告警、谁验证有效性、保留什么证据,以及在证据缺失时谁采取行动。“客户责任”这类标签并非控制所有者。在一家大型银行中,“客户”可能意味着平台工程、应用程序团队、云安全、数据治理、身份工程、企业风险、内部审计、法务或供应商。客户组织内部的模糊性可能比客户与提供商之间的模糊性更危险。

共同责任图表也不能决定民事赔偿责任。合同条款、陈述、技术设计、通知义务、因果关系、州法律以及已证明的事实都很重要。该模型可指导预期运行,但它并非过失的司法分配,不应如同赔款保证一般提交给董事会。

刑事责任、监管责任与民事风险

公开记录支持多种问责形式,每种具有不同的法律地位。

刑事责任最为明确。司法部量刑公告指出,联邦陪审团判定 Thompson 犯有电信欺诈、五项未经授权访问受保护计算机以及破坏受保护计算机罪。检方证明,她扫描了云账户以寻找配置错误,利用它们获取数据和计算能力,并访问了超过 30 个实体。她被判处已服刑期和五年缓刑。该经裁决的刑事行为不应被淡化为意外发现。

监管问责侧重于银行。OCC 罚款令是最终同意令,但 Capital One 既不承认也不否认货币监理署的调查结果。Federal Reserve 的协调执法公告称,控股公司须加强风险管理、治理、网络安全和信息安全控制。随附的Federal Reserve 同意令要求母公司董事会运用其资源确保银行遵守 OCC 命令,并提交董事会监督书面计划。

民事风险更为广泛,但在最终过错上确定性较低。消费者根据过失、合同、不当得利、通知及消费者保护理论,起诉了 Capital One 和 Amazon。2020 年 9 月,地区法院部分批准了被告的驳回动议,部分则予以驳回。大多数过失索赔得以存续,而华盛顿州的过失索赔以及若干过失本身的理论被驳回。法院在该阶段得出结论,Thompson 的刑事行为并不必然取代被告所指控的过失。由于驳回动议阶段接受陈述充分的指控为真,该裁定确立了索赔可以继续;它并未确立 Capital One 或 Amazon 已实施所指控的行为。

该案以和解而非实质审理告终。最终批准令批准了一项 1.9 亿美元的非返还基金、身份防护与恢复服务以及商业实践承诺。和解解决了针对 Capital One 和 Amazon 的索赔。批准意味着法院认定谈判达成的解决方案在集体诉讼规则下是公平、合理且充分的。它并未在银行、AWS 和攻击者之间分配泄露责任的百分比。

这一区别很重要,因为“谁有责任?”这个问题可能引发错误答案。Thompson 因刑事行为被判有罪。Capital One 根据同意令调查结果承担监管制裁并接受纠正义务。Capital One 和 Amazon 面临的民事索赔部分存续并和解。提供商后来的设计变更与预防相关,但不构成法律过错的承认。每项陈述都有其来源和程序立场。将它们合并为一个笼统的判决将是不准确的。

IMDSv2 与更安全默认设置的治理

AWS 于 2019 年 11 月推出 IMDSv2,距 Capital One 披露泄露事件不到四个月。AWS 发布通知将其描述为针对未经授权元数据访问的纵深防御。客户可在新的或正在运行的实例上要求使用增强的请求方法,或关闭元数据访问。版本 1 仍可兼容。

IMDSv2 的会话令牌对多种混淆代理路径产生阻碍。转发简单 GET 请求的代理可能不允许初始 PUT。插入转发头部的反向代理可能被拒绝创建令牌。令牌绑定到实例,无法简单地从任意机器重放。跳限制可限制元数据响应在网络层中的传递距离。这些是有价值的协议控制,因为它们减少了应用程序和代理错误造成的后果。

它们并不消除最小权限的需要。如果恶意代码确实在实例上执行,它可能像合法代码一样执行令牌交换。如果存在漏洞的 SSRF 允许任意方法和头部,防护可能不够完整。如果附加角色可以读取不必要的数据湖,残余后果仍然很高。因此,元数据加固是序列中的一层,而非角色设计、出口控制、数据分段和监控的替代。

默认设置也存在时间维度。2019 年,客户须在该方法可用后选择并强制执行更强的方法。AWS 随后宣布了IMDSv2 默认启用路线图,将控制台快速启动和新发布的实例类型转向版本 2,同时保留兼容选项。这一进展揭示了平台治理的困境。立即强制变更可能破坏现有软件;延长可选性则使旧假设保持不变。提供商应使迁移可衡量,提供账户级强制执行,暴露剩余的版本 1 使用,并设定明确方向。客户应将可选的安全升级视为带有所有者和截止日期的风险决策,而非功能待办事项。

对董事会而言,教训是要询问默认债务。有多少工作负载仍依赖旧版元数据模式?原因何在?如果禁用,什么会中断?哪些应用程序无法容忍更低的跳限制?哪些组织策略阻止新例外?公司如何得知收购的账户或开发环境未发生偏离?可用但未衡量的安全功能带来的保证,不如与清单和执行挂钩的迁移计划。

数据本地化未遏制逻辑访问

泄露事件影响了美加边境两侧的人群。加拿大隐私专员办公室(Office of the Privacy Commissioner of Canada)在 Capital One 报告 600 万加拿大人受影响、包括部分人的 Social Insurance Numbers 被访问后,启动了调查。Capital One 的加拿大事件页面提供了国别通知和支持。跨境影响将本地化从一个抽象的云采购问题转变为问责问题。

本文所查阅的来源未确定每个受影响对象的精确 AWS 区域,也未显示加拿大记录存放于单独的加拿大区域。这一缺失应被保留。根据数据主体的国籍或全球云品牌推断存储位置是不负责任的。记录所证实的是,一起事件影响了受不同法律和监管制度管辖的大规模人群。

AWS 在其数据隐私材料中表示,客户控制客户内容,提供商和客户的责任遵循共同责任模型。其当前的数字主权框架强调客户对工作负载运行位置、数据访问、弹性和控制的选择。这些能力是相关的,但区域选择并非完整的主权结果。

本地化回答了在正常操作下,服务被配置在何处存储或处理数据。安全还必须回答:谁能使服务泄露数据,凭据可在何处行使,日志和备份去向何方,支持访问如何被控制,以及导出的数据是否能跨越所选边界。在 Capital One 的链条中,API 凭据比物理接近磁盘更具决定性。一旦角色被接受为授权,存储便可通过服务接口交付对象。国内区域本身不会阻止该逻辑路径。

因此,主权控制至少需要四个层次。第一层是安置:经批准的区域、复制设置、备份、分析、灾难恢复和支持服务。第二层是权限:身份、密钥使用、元数据访问,以及按网络、账户、组织或区域限制调用的策略。第三层是可观测性:保留于独立控制账户中的日志、跨区域转移的证据、异常源位置的告警,以及可供相关监管机构使用的记录。第四层是退出与连续性:能够以可用形式导出数据和日志、撤销提供商访问、轮换密钥,并在区域、提供商或法律传输机制不可用时运行经过测试的恢复安排。

该事件还表明,即使基础设施地理位置不确定,数据主体地理仍然重要。加拿大监管机构、受影响个人、通知做法以及身份修复需求,并未因 Capital One 总部位于美国而消失。跨国云项目应将数据集映射到其代表的人群和义务,而不仅仅是工程师所看到的账户和区域。

留存将访问路径变成了历史卷宗

Capital One 表示,受影响的最大数据类别包括 2005 年至 2019 年初的申请数据。这一跨度改变了风险分析。信用申请具有即时目的:评估资格、遵守法律、防止欺诈及建立账户。随着时间的推移,某些信息可能对于服务、法律保持、监管职责、模型治理、纠纷解决或欺诈分析仍是必要的。但必要性必须按字段、目的和期间加以证明。

留存通常被视为独立于云安全的隐私日程。泄露事件表明为何这一分离是人为的。被攻破角色可访问的数据量和年龄决定了影响。完美的删除计划虽无法阻止攻击者读取当前记录,却可防止一次凭据事件暴露十四年的申请历史。同样,若没有存储策略、密钥边界、访问角色或删除作业因分类而改变,将字段分类为敏感几乎不起作用。

适当的控制并非简单地“删除旧数据”,而是可辩护的生命周期:识别收集目的;阐明留存的法定和业务基础;将活跃操作数据与受限档案分离;最小化字段;令牌化持久标识符;强制执行删除;仅保留有记录例外的记录;并测试删除的数据是否也留下了副本、衍生数据集、缓存、快照和开发副本。每个例外都应有所有者和到期审查。

数据架构还应减少聚合。单个角色不应仅仅因为一个处理作业曾需要,便获得对广泛历史语料库的访问权限。按目的、敏感性、时间段和司法管辖区进行分区,使访问策略有东西可执行。若无这些边界,最小权限被迫在极大的存储桶或数据湖层面操作,而“能运行此应用程序”与“能读取该机构历史”之间的差异变得危险地微小。

云依赖包括证据依赖

Capital One 并非仅仅是租用远程磁盘。与任何大型云客户一样,它依赖于提供商定义的身份语义、元数据行为、API 日志记录、区域构造、存储控制、服务可用性、文档记录以及提供商保存和解释证据的能力。这是一种比正常运行时间更广泛的依赖。

2019 年事件并未导致 Capital One 核心银行服务长时间公开中断。连续性问题在于机密性和信任。公司必须调查庞大的云资产、识别受影响的记录、通知两个国家的人员、与执法部门和监管机构合作、提供监控、为诉讼辩护,并在继续运营的同时补救控制措施。这是在证据受损下的连续性:服务可能仍然可用,而机构必须确定其记录、身份流程和客户通信是否仍然可信。

Capital One 的2019 年 Form 10-K报告了 7200 万美元的 2019 年增量响应和补救费用,由 3400 万美元的保险赔款抵消。公司预计,其先前公布的 1 亿至 1.5 亿美元事件调整项目总费用将处于范围低端,部分成本将延续至 2019 年以后。它警告了监管干预、诉讼、补救成本、声誉损害以及信心丧失。这些数字发生在 8000 万美元 OCC 罚款和后续 1.9 亿美元集体诉讼和解基金之前,不应随意相加,因为保险、时间、和解范围及会计处理各有不同。

证据依赖应在合同和技术上加以规划。受监管的客户需要具有充足字段和保留期的日志、提供商事件的及时通知、配合取证收集、保存义务、区域和次级处理者信息、控制报告访问、漏洞沟通以及针对政府和监管机构请求的流程。它还需要在安全账户中自行保存关键日志副本,且该账户不会被受损工作负载更改。提供商控制面板显示服务运行正常,并不能证明客户身份的范围是适当的。

退出计划属于同一套方案。将数据和身份策略集中在单一提供商可提高标准化和可见性,但也可能使迁移变得困难。退出测试应衡量清点数据、重现访问策略、导出密钥或重新加密、转移日志、重建检测、满足本地化约束以及在原提供商处证明删除所需的时间。多云部署并非自动更安全;复制不成熟的控制可能加倍不确定性。目标是数据和证据的可信可移植性,而非虚饰的提供商数量。

和解解决了什么,又留下了什么

消费者和解规模可观,但其含义应谨慎表述。和解创建了一项 1.9 亿美元的基金,用于赔偿符合条件的自付损失、时间损失、身份防护服务、恢复服务、通知和管理费用以及法院批准的律师费。它还包含了商业实践承诺。最终批准令认定和解公平、合理且充分,并带有偏见性地驳回了被豁免的消费者索赔。

和解并未确立修正起诉书中的每一项指控都为真。它并未将驳回动议阶段的背景转化为证据后的裁决。它并未确定 AWS 的元数据设计造成了特定比例的损害,或 Capital One 的配置造成了其余部分。它并未抹去 Thompson 的刑事责任,也并未取代 OCC 单独的监管调查结果和命令。

这种未解决的分配本身就是一个治理教训。公司不能等待法院分配一个明确的百分比后才改进共享控制。平台提供商可能没有裁定责任,却仍添加了更安全的协议。客户可能对监管调查结果存在争议,却仍接受命令并彻底改革控制。董事会可能保留法律抗辩,同时将操作事实视为紧急事项。法律姿态与补救姿态可以不同而无矛盾。

OCC 随后宣布,于 2022 年 8 月 31 日终止了 2020 年终止令。终止是该特定命令的重要终点。它并未取消罚款、改写历史调查结果,或证明云风险已静止。它表明正式命令不再延续。成熟的董事会应将命令中的控制清单、测试、审计和报告纪律转化为常态治理,而非让它们随着监管监督的结束而到期。

针对元数据、身份和本地化风险的证据包

Capital One 的记录为那些在公有云中运行敏感工作负载的组织提供了实用的证据包。

绘制通往内部权限的公共路径。盘点每一个可互联网访问的代理、负载均衡器、WAF、API 网关和应用程序。对每一个,展示出站目标、元数据可达性、附加身份、允许的方法和标头,以及通过该身份可达到的最大数据权限。从攻击者角度测试路径,而不仅仅针对预期的架构图。

使元数据状态可衡量。记录是否需要元数据、是否可以禁用、要求哪个协议版本、跳限制、本地防火墙限制、容器影响以及观察到的旧版调用。在组织或账户级别强制执行首选状态。例外情况应识别依赖软件、风险所有者、补偿控制及移除日期。

计算凭据爆炸半径。对于每个运行时角色,枚举其可访问的存储前缀、数据库、队列、密钥、密钥操作和管理操作。估计在一个凭据生命周期内可从哪些网络位置读取多少敏感数据。测试有效权限,包括身份、资源、密钥、端点和组织策略的交集。

将存储访问与解密权限分离。加密不应合并到通过应用程序路径暴露的同一角色中。对持久标识字段使用令牌化或独立服务。当面向公共的身份调用密钥操作或读取超出其狭窄目的的数据类别时发出告警。

按目的和司法管辖数据。根据敏感性、目的、保留期和受影响人口对数据进行标记和分区。对主存储、副本、分析、备份和恢复强制执行经批准的区域。记录必然移动内容或支持数据的任何服务。测试跨区域和跨账户的拒绝访问,而不仅仅是配置位置。

拥有审计跟踪。将身份、元数据、存储、密钥、网络和数据丢失事件路由到独立管理的日志环境中。保护日志免受工作负载角色的影响。关联凭据检索、列表操作、对象读取、解密和出口。衡量告警是否被调查至有证据的结论,而不仅仅是是否生成。

协调控制全集。管理层的云控制目录、资产清单、配置清单、数据目录、风险登记簿和审计范围应具有公共标识符。内部审计应测试完整性,而非仅从管理层列表中抽样。未匹配的资产和控制应报告为未知覆盖。

上报重复和逾期发现。一个错过补救日期的配置差距,应列于其所暴露的身份和数据路径旁边。董事会报告应指明负责的高管、补偿控制、验证方法和截止日期。关闭应要求独立证据证明风险状况已改变。

演练跨境响应。泄露演练应识别涉及哪些人群和监管机构,哪些记录显示位置和访问,如何发送国别通知,以及如何针对不同的政府标识符和信用系统进行身份恢复。组织应能够在危机中说明受影响数据的存放位置,而无须临时拼凑答案。

维护提供商合作和退出权利。合同和操作程序应确保及时的日志访问、取证支持、事件通知、证据保存、区域承诺、次级处理者透明度及删除证明。团队应定期测试将数据、策略、密钥和审计证据导出到可用的恢复环境中。

该证据包要求严苛,因为风险是组合性的。WAF 可能满足基准。元数据服务可能按文档运行。角色可能有业务理由。存储桶可能是私有的。对象可能是加密的。日志可能存在。然而,交集仍可能允许公共请求变成授权导出。问责存在于交集之处。

持久的检验

Capital One 的泄露事件仍是一个有用的云问责案例,因为它抗拒两种简单的说法。第一种认为公有云导致了泄露。这忽略了客户控制的配置、权限、数据架构、监控以及 OCC 关于银行云风险计划的直接调查结果。第二种认为共同责任将问题完全归于客户。这将提供商的图表视为设计分析的终点,并忽视了更强的元数据服务防御、更安全的默认设置、提供商遥测以及合同证据的价值。

更好的说法是跟随链条。一个面向公共的控件可以中继非预期的请求。请求到达元数据信任边界。由此产生的临时身份拥有足够的权限列出和复制存储的信息。加密并未阻止被接受为授权的凭据读取数据。内部监控未产生及时的遏制。漫长的保留期限扩大了暴露的语料库。同一事件波及受美国和加拿大隐私制度管辖的人群。审计和董事会报告未能强制解决监管机构识别的更广泛云控制差距。

责任随后因裁判场所而分离。攻击者被定罪。银行监管机构对 Capital One 施加同意义务和罚款。消费者同时起诉 Capital One 和 Amazon;索赔部分存续并和解,而未进行过失的审判分配。AWS 引入了更具防御性的元数据协议。Capital One 描述了补救措施、加强的董事会监督,并承担了巨大的响应、执法及和解成本。

对于未来的董事会,决定性问题不是云提供商是否经过认证、存储桶是否加密或防火墙规则是否已修复。而是该机构能否证明,没有不受信任的路径可以获取权限过大的工作负载身份;对该身份的异常使用将被检测并解决;可访问的数据受目的、时间和司法管辖区的限制;以及提供商和客户的证据能够足够迅速地结合起来以治理风险。

这种证明是共同责任的实质含义。没有它,责任仅在纸面上被分割,而风险在生产中仍相互关联。