參考資料

前言

根據上一篇的內容和研究議題,應該要先了解,本篇主要目的在整理:

  • [x] 資料儲存的相關威脅與風險有哪些?
  • [ ] 零信任怎麼預防這些威脅與風險?

為了能夠整理儲存安全的相關威脅與風險,我整理了NIST所發布針對Cloud Stoage的相關安全標準,NIST SP 800-209的本文檔概述了:

  • 存儲技術格局的演變、當前的安全威脅以及由此產生的風險
  • 並主要提供一套全面的安全建議來應對威脅,涵蓋…
    • 信息技術 (IT) 基礎設施常見的安全管理領域: 例如物理安全、身份驗證和授權、變更管理、配置控制以及事件響應和恢復)
    • 存儲基礎設施特有的安全管理領域: 例如存儲基礎設施、數據保護、隔離、恢復保證和加密。

我只會挑我覺得有用或是可用的資料進行整理,不會放全部的內容上來,並且會有一些個人的觀點或說法,因此本篇參考即可,正確內容還是請參考NIST SP800-209為主

重點整理

以下也是我針對這個章節的重點整理,如果想要快速了解,可以閱讀這個章節即可。

Mapping Threats and Risks 總結第三章內容

威脅
可能的風險 威脅程度
後門和未修補的漏洞 - 依據「弱點類型」不同有不同風險。
-「憑證被盜或洩露」威脅所帶來的風險都適用。
特權升級 - 依據「管理者」或「使用者」憑證是否被盜或洩露。
-「憑證被盜或洩露」威脅所帶來的風險都適用。
人為錯誤與故意配置失誤 - 依據人為或配置錯誤的「種類」和「影響範圍」造成的風險不同。
- 如果是錯誤的配置,章節3.2所有風險皆可能發生。
實體媒體的物理偷竊 - 依據竊盜「範圍」有不同的風險。
- 「資料洩露和資料曝露」、「資料損毀」、「備份受損」、「數據不可用和阻斷服務」為可能因偷竊導致的風險。
不安全的映像、軟體和韌體 - 依據影響「種類」和「影響範圍」造成的風險不同。
- 如果是錯誤的配置,章節3.2所有風險皆可能發生。
惡意軟體與勒索軟體的感染 - 惡意軟體可能導致「權限提權」、「憑證被盜或洩露」威脅。
- 依據惡意軟體「出現的地點」像是應用系統或是管理系統,都可以影響導致章節3.2所有風險皆可能發生。
加密破解 - 可能導致「數據洩露和暴露」於 (a) 靜態數據、(b) 傳輸中的數據和 © 用戶/管理員會話中的數據
憑證被盜或洩露 1. 應用系統(Application System):「資料洩露和暴露」、「未經授權的數據更改和新增」、「資料損毀」等風險皆有可能。
2. 管理系統(Administrative System):「備份損毀」(Compromise of existing and future backups)、「惡意數據混淆和加密」(ransomware attack)、「數據不可用和阻斷服務」(DDOS Attack)、「存儲相關日誌和審計數據的篡改」、不安全的儲存設定參數,皆有可能發生。

2.11 儲存和資料管理 Storage and Data Management

在裡面提到了,以下的內容,主要關注的是儲存和資料管理的其他方面,而不是直接涉及「資訊安全」的控制措施。因此只會簡單介紹一下,以下內容在NIST SP 800-209稍微提到的內容。

我的感想:上述中,有探討意義的是「資料保護」,裡面提到的三個面向,在information assurance/security的部分可以好好探討。也可以思考「資料分類」與「資料保護」的結合。像是,透過資料分類,來進行存取控制的資料保護。

儲存資源配置和資源管理 Storage Resource Configuration and Resource Management
  • 內容:主要說明進行儲存資源配置或管理時生命週期要注意的點,像是針對「物理裝置」的管理與控制,跨多「資產」的變更協調、效能管理和最佳化、資產的管理、事件管理,都是被歸類於此。
  • 感想:非論文主軸
資料分類或分類 Data Classification or Categorization
  • 提到可以參考資料法規像是PII, PCI-DSS, HIPAA等,針對資料做更細緻的分類,並且針對不同的資料做不同的保護。
  • 主要可以分以下幾類:
    • 敏感性(例如,敏感 vs. 非敏感)
    • 頻率(例如,經常訪問 vs. 不經常訪問)
    • 環境(例如,生產環境 vs. 開發環境 vs. 測試環境 vs. 演示環境)。
資料消除 Data Sanitization
  • 說明需要根數據的類型和特定,使用適當的資料消除方式。
  • 提到,資料消除主要可以分以下幾類:
    • Clearn:例如,覆蓋現有數據;
    • Purge:例如,對於磁性媒體,使用強磁場進行消磁,對於加密數據,使用密碼擦除;
    • Destruct:例如,對媒體進行物理破壞,如燃燒,粉碎等。
資料保留 Data Retention
  • 說明在某些情況下,可能需要將特定資料保存一段短期、中期(即少於10年)或長期的時間。
  • 資料保留通常是透過將資料副本備份至某個媒介來實現的。這可能是為了滿足運營、法律、監管或法定要求。
資料保護 Data Protection
  • 是一個綜合性術語,指的是所有「確保資料可訪問、可用、不受損壞、並可供所有經授權的目的使用,且性能達到可接受水平的活動」。
  • 這些活動需要符合合規要求,包括隱私保護,以及所有物理、管理和技術手段,以確保資料不會被意外或未經授權地洩露、修改或破壞。
  • 資料保護所涉及的生命周期。這些階段包括:
    • (儲存)靜態資料/端點上的資料 - 存儲於伺服器或用戶端設備上的資料。
    • (傳輸過程)過程中的資料 - 在存儲設備之間、用戶端到伺服器或伺服器之間傳輸的資料。
    • (正在使用)使用中的資料 - 在查看、修改或在設備之間進行同步時的資料。
    • (離開安全範圍)超越安全範圍的資料 - 下載、物理媒體運送等過程中的資料。
  • 資料保護可以分為三個面相:
    1. storage: 主要探討「儲存」本身的相關保護,像是備份、恢復、複製、不可變、持續資料保護、snapshot等。
    2. privacy: 主要探討「資料本身的隱私」但是這個每個地區規則不同,在此不討論。
    3. information assurance/security: 主要是技術控制措施,每個措施都需要專門的部分來討論其細節。所以也先不討論。
資料壓縮 Data Reduction
  • 資料壓縮有兩個常見的方法,這兩種方法可以結合使用。
    • 資料去重:資料去重試圖將多個資料副本替換為指向共享副本的引用。有點像是都是相同檔案的話,就把他們指向同一個source就不用複製多個相同的資料了。
    • 資料壓縮:使用已知的演算法對資料進行編碼,以產生一種使用比未編碼表示法更少的儲存空間的資料表示形式

3. 儲存基礎設施的相關威脅 Threats, Risks, and Attack Surfaces

威脅 - 潛在引起不需要的事件的原因,可能對系統或組織造成損害。

第三章節主要提供有關存儲系統「安全威脅」、「風險」和「攻擊面」(可能使用的手段手段)的背景資訊。

3.1 Threat 威脅

主要提到九個威脅是Storage Infrastruture可能會碰到的:

3.3.1 憑證被盜或洩露 Credential Theft or Compromise
  • 最常用且最容易被入侵的是登錄密碼證書
  • 內文指出,有效的憑證盜用都是「直接取得使用者的密碼,而非猜測」,因此僅僅依靠密碼的長度和複雜性通常不足以保護系統免受攻擊。舉例來說以下情境皆不適用密碼的複雜度:
    • 現代勒索軟件通常會從其捕獲的數據集中收集密碼。
    • 鍵盤記錄也是一種不受密碼複雜性影響的證書盜竊方法,其中恶意软件可以虛擬地監視使用者輸入密碼[23]。
3.3.2 加密破解 Cracking Encryption
  • 加密金鑰生成利用「隨機性」來建立金鑰。但是仍有各種弱點,從「弱的加密算法」和「弱的金鑰生成器」到「服務器端的漏洞」、金鑰泄露、基本設計缺陷或漏洞,以及後門等等 [24]。
  • 簡單來說就是要注意:使用強大的加密方法很重要,同時也要妥善保護加密金鑰。積極更換加密金鑰可以成為一種策略,以防止金鑰被破解或不夠強大。在金鑰生成方面,金鑰的強度、質量和熵都起著重要作用,且金鑰不應重複使用。
3.3.3 惡意軟體與勒索軟體的感染 Infection of Malware and Ransomware
  • 文中提到,往往攻擊「存儲管理系統」比攻擊「存儲裝置」本身更容易。
  • 因此惡意軟體可能因安裝在存儲管理主機上,造成傷害,如竊取憑證、提升特權、資料損壞、損失或更改,以及破壞未來的備份等。
3.3.4 後門未修補的漏洞 Backdoors and Unpatched Vulnerabilities
  • 後門:通常是軟體機制或功能,由供應商、個別貢獻者(在罕見情況下,可能是國家或惡意行為者)故意創建,原因通常被作者認為是合理的(例如為了改進支援、調試、國家安全等)。
  • 由於門後具有潛在的危害性,它們並不在官方文檔中記錄,只有被限定的一組人才知道其存在。然而,隨著時間的推移,門後的存在可能會被故意或無意間洩露或被公眾發現。
3.3.5 特權升級 Privilege Escalation
  • 特權升級只利用軟體漏洞、設計或部署缺陷,或是配置錯誤,以至於獲得對於應用程式或使用者取得受保護資源的訪問權限
  • 特權升級與後門漏洞有很高的關聯,特權升級有兩種形式:
    1. 垂直特權升級(特權提升):低特權使用者或應用程式訪問高特權使用者或應用程式的功能或內容。
    2. 水平特權升級:普通使用者訪問為其他普通使用者所保留的功能或內容。
  • 對資料庫的影響:
    • 在儲存系統中,這種威脅可能導致各種風險,包括資料損壞、資料更改、資料丟失等。
    • 例如,攻擊者可以使用提升的特權來進入儲存系統,刪除儲存卷,並修改訪問配置。
    • 這種攻擊還可能危及資料的備份副本(例如,同步/非同步複本、快照)或未來備份的生成。
    • 特權升級本身可以在各種級別上發生,例如儲存元件(例如,儲存陣列、主機或客戶端)、網路設備或管理系統。
3.3.6 人為錯誤與故意配置失誤 Human Error and Deliberate Misconfiguration
  • 即使存在安全控制,使用者可能會進行技術上支援的儲存配置更改,但仍然會造成無法接受的風險。
  • 可能的人為錯誤包含以下:
    • 打字錯誤。
    • 缺乏對內部安全基準和供應商最佳實踐的了解或熟悉。
    • 個人或團隊之間的溝通失誤。
    • 儲存基礎架構的指導或自動化相關的錯誤:
      • 直接錯誤,例如腳本和配置文件中的缺陷。
      • 間接錯誤,例如未意識到的軟體依賴性。
    • 將受限制的物件儲存池映射到公共網路,停止複製或備份進行維護,卻未在之後重新啟用
3.3.7 實體媒體的物理偷竊 Physical Theft of Storage Media
  • 所有的數據最終都儲存在一個或多個實體媒體上,而這些媒體容易受到偷竊的威脅
  • 這些媒體,無論是在線或離線,都可能被從其指定的(固定)位置上移除,或者在實體運輸過程中被竊取(例如,正在運輸用於備份的媒體進行歸檔,或者作為數據中心遷移項目的一部分而運送存儲設備。
3.3.8 網路竊聽資料 Network Eavesdropping
  • 資料在傳輸時可能會被攔截
  • 傳輸可以涵蓋許多組件:網路卡(有線或無線)、傳輸電纜(傳輸電力或光線)、中繼器、交換器、路由器等。這些組件中的任何一個都可能受到破壞,而且很多形式的破壞是難以或不可能用最先進的工具和方法來檢測的。
  • 可能針對資料的相關工作:
    • 某些傳輸破壞可能可以進行資料的截取(也稱為被動竊聽)
    • 還可能涉及對傳輸的資料、元數據或控制流量進行插入、刪除或修改
3.3.9 不安全的映像、軟體和韌體 Insecure Images Software and Firmware
  • 對手可能試圖干擾儲存設備的軟體分發、更新或安裝過程,以引入不正確、過時或惡意修改的程式碼(例如二進位檔案、映像、韌體、驅動程式等)。
  • 軟體更新過程可能依賴於複雜的傳遞鏈路:鏈路中的每個環節都可能成為引入被篡改軟體的目標。
    • 發行者(例如供應商、第三方、開源社區): 發行者可能被滲透,以感染源碼庫、獲取註冊軟體或設備的存取權限,將經過修改的簽署二進位檔案發布在下載站點或更新伺服器上,
    • 傳遞方法(例如傳輸或下載、安裝媒體的運送、供應商員工的檔案複製)
    • **個別組織保存的本地副本(例如代理伺服器、內部檔案伺服器)**等。
  • 受影響的儲存元件包括: 磁碟驅動器、磁帶驅動器和磁帶庫、網路卡和控制器(例如HBA、網路介面卡或NIC、FCoE適配器等)、交換機和其他網路設備、儲存機箱和陣列、儲存作業系統、用戶端作業系統的儲存元件等。

3.2 Risk 風險

這這章節描述了安全風險的定義,這邊與3.1 Threat相比的差異像是:

Threat: 是一些可能會發生的攻擊的地方,或是造成Risk的可能原因,還沒做出傷害使用者或組織名譽的行為(Risk)。
Risk: 對資料的機密性 完整性 可用性 已經造成損害,而影響組織的使命、形象、資產和其他相關利益。

舉例來說,Threat包含一些「弱密碼、人為設定錯誤」(Threat)等,來造成「資料外洩」(Risk)

安全風險被定義為:一個實體(可能是組織、系統或資訊)受到潛在情況或事件的威脅的程度(影響x機率)。而這些風險主要涵蓋了機密性、完整性和可用性三個方面,這些風險可能影響到。組織的使命、形象、資產和其他相關利益

相關的安全風險有以下幾點:

資料洩露和資料曝露 Data Breach and Data Exposure
  • 資料洩露是指涉及敏感且受保護的資訊被複製、傳輸、查閱、故意向公眾公開,或被未經授權的個人或實體使用的事件。料洩漏的影響可以是廣泛的,從給使用者帶來不便,到將敏感或機密數據暴露出來,導致對組織的聲譽和運營健康造成不可挽回的損害。
  • 資料洩漏可能是由以兩種所引起:
    • 外部來源引起的,例如黑客或網絡犯罪分子。
    • 內部人員引起的,比如惡意內部人員或不滿的員工。
  • 可能的根本原因包括:上述的Threat就有一些包含在內。
    • 資料在儲存或傳輸過程中的弱加密(或完全未加密)
    • 軟體漏洞
    • 可拆卸媒體的遺失
    • 媒體的被竊
    • 錯誤或過於寬鬆的訪問限制
    • 不正確或不完整的資料清除實施(包括刪除的物件、退休或重新利用的媒體等)
    • 將資訊發送給錯誤的收件人
    • 將資料以不正確的方式上傳(例如,將受保護的資料上傳至公開的資料儲存庫)。
未經授權的數據更改和新增 Unauthorized Data Alteration and Addition
  • 攻擊者獲取了訪問數據存儲基礎設施的權限,以一種影響未來應用交易或影響數據其他用途的方式修改數據
  • 數據更改和新增可能來自外部或內部來源,並且可能以隱蔽或容易識別的方式進行。
  • 這種風險可以使用 “salami attack” 方法實現: 即攻擊者在長時間內從大量交易中偷取少量數據或資金。
  • 數據更改和新增的影響可能從損失資金到對聲譽和信任的永久損害不等。
資料損壞 Data Corruption
  • 資料損壞指的是在寫入、讀取、儲存、傳輸或處理過程中,資料遭受損壞或產生錯誤,導致原始資料出現意外變化
  • 通常情況下,當資料損壞發生時,包含該資料的物件在系統或相關應用程式存取時會產生意外結果(Exception)
    • 這些結果可能從輕微的資料損失到系統崩潰不等。
  • 具體的情境如下:
    • 如果一個文件檔案遭受損壞,使用者可能無法打開它,或者它可能打開時其中一部分或全部資料變得無法理解。
    • 有些類型的惡意軟體可能會故意損壞或摧毀檔案,通常是透過覆寫檔案內容為無效或垃圾程式碼,或以其他安全方式擦除其內容。
備份受損 Compromising Backups
  • 資料備份是非常重要的,這包括保存資料的複本、快照等。透過備份,當資料損壞或丟失時,我們能夠恢復這些資產。
  • 備份有幾點是要注意的:
    • 資料一致性:備份必須「正確生成」,並且要有適當的「保留頻率」和「更新頻率」
    • 備份安全性:備份的存儲也必須安全,以防止未經授權的存取
  • 備份不檔可能造成的故障原因如下。
    • 若備份時未考慮到一致性或寫入順序的完整性,可能會導致不正確的配置。
    • 而保留期限不足或備份更新不及時,可能導致某些舊或新資料無法復原。
  • 攻擊策略:
    • 干擾備份過程:當現有的備份無法受到威脅時,另一種可行的攻擊策略是干擾備份過程本身,逐漸"毒化"未來的備份。此時唯一可用的備份已經太老舊,導致無法完全恢復資料。
    • 專門感染系統或應用程式的備份複本:例如操作系統映像、軟體套件、韌體,甚至源代碼庫。這樣,當我們嘗試通過重建單個元件或整個環境來應對感染時,至少部分惡意程式碼會被還原到環境中,使攻擊者能夠迅速重新控制系統,或造成更多損害。
惡意數據混淆和加密 Malicious Data Obfuscation and Encryption
  • 「可逆的數據混淆和/或加密」會使「數據」對用戶或組織「變得不可用」,除非使用僅由攻擊者持有的密鑰進行還原。
  • 這種風險通常在勒索軟體攻擊中使用 - 一種將受害者的數據進行加密並要求贖金來恢復對數據的訪問權限的惡意軟體。
  • 近況:隨然最初是針對用戶裝置或企業伺服器上的數據或文件,但是最近已經發展到其他存儲組件,例如NAS和備份設備[30]。
  • 影響:這些攻擊通常旨在被識別,並且通常伴隨威脅和贖金指示。數據混淆和加密的影響可能從損失資金到永久損害聲譽和信任。
數據不可用和阻斷服務 Data Unavailability and Denial of Service
  • 數據客戶無法獲得對其部分或全部數據的訪問。儘管此類損害可能是可逆的(例如,通過還原被更改或刪除的設置),但它可能會導致系統或服務長時間的中斷和停機。
  • 數據可用性中斷風險可能原因:
    • 由於有意或無意地對「通信路徑」或「訪問配置」造成的損害。
    • 物理性損害:例如通信路徑中斷。
    • 邏輯性損害:
      • 網絡組件的端點配置錯誤。
      • 攻擊者可以修改或刪除塊存儲設備的存取控制(SAN)掩碼設置
      • 暫停 NFS(Network File System)中的導出設置,以致客戶無法訪問其數據。
存儲相關日誌和審計數據的篡改 Tampering of Storage-Related Log and Audit Data
  • 指攻擊者刪除或修改日誌數據(例如時間戳記),以阻止有效的審計軌跡,以掩蓋攻擊(實時或事後),或者向調查攻擊的人提供虛假信息
  • 攻擊行為:
    • 禁用日誌系統:攻擊者可能試圖暫時或永久地關閉目標系統的日誌功能,從而讓其活動不留痕跡,使其攻擊行為更加不容易被發現和跟蹤。
    • 將所有空閒空間填滿合成信息:攻擊者可能會寫入大量的虛假日誌信息,將空閒的日誌空間填滿,使真實的日誌數據無法被正確記錄和存儲,以混淆安全人員的調查和追蹤。
    • 將日誌數據發送到流氓日誌服務器:攻擊者可能針對客戶或使用者進行社交工程或欺騙手段,讓客戶將寶貴的日誌數據發送到攻擊者控制的偽冒或流氓日誌服務器,使得攻擊者能夠更容易地掌控敏感信息。
  • 影響:這些行為的目的都是為了干擾、混淆和遮蓋攻擊活動,以保護攻擊者的身份,並阻礙安全人員對攻擊事件進行追蹤和調查。
儲存作業系統、二進位檔案、韌體和映像的侵入 Compromising Storage OS or Binaries、 Firmware and Images
  • 針對儲存軟體的侵入,包括「儲存設備」的作業系統、韌體、映像等,所導致的不良後果,提供攻擊者進行遠端訪問的手段,讀取、複製、更改或摧毀數據及其副本,改變安全設定,暴露數據,改變儲存基礎架構的行為等。
  • 可能造成的結果:
    • 儲存行為的改變可用於引入各種潛在且難以檢測的攻擊
    • 向儲存客戶端呈現不正確的數據(即使存儲的數據完好無損)
    • 向儲存客戶端提供不正確的狀態(例如,對快照和安全設定的存在或狀態進行虛假報告)

3.3 Attack Surface 攻擊面

攻擊面被定義為“未經授權的使用者(攻擊者)可以嘗試「進入環境」並進行「數據輸入」(編輯或添加數據)或「提取數據」(數據竊取)等不同攻擊點(“攻擊向量”)的總和” [31]。

Attack surfaces are defined as “the sum of the different points (the “attack vectors”) where an unauthorized user (the “attacker”) can try to enter data into or extract data from an environment” [31].

本節將列出與儲存基礎架構相關的常見數位和實體攻擊面。

實體存取 Physical Access
  • 實體存取保護是最後防線,一但入侵者進入儲存基礎架構,那他們最終可能進行資料竊取、複製或毀損,甚至是修改存取配置已進行遠程存取。
  • 目標在於入侵實體設備:入侵資料中心、周邊區域、通訊基礎架構(纜線)、運輸實體物件(主機、磁碟等)。
  • 進行實體存取的方法可分兩種:
  1. 「顯性存取」:攻擊者假裝成合法人員,進入受保護的實體裝置。
  2. 「尾隨」:攻擊者扮演合法訪客尾隨讓攻擊者進入受保護的實體裝置範圍進行實體存取。
儲存系統的存取 Access to Storage Operating System
  • 這個攻擊的主要目標是透過操作「作業系統」來「入侵儲存設備」
  • 可能的威脅:
    • 「作業系統」都包含安全漏洞,因此應定期更新安全更新和補丁。
    • 「作業系統」都可能因配置不檔影響安全性,攻擊者可以透過多種方法獲取對作業系統的存取,包含:本地登入過程(SSH, rshell, telnet)、通過TCP/IP遠程登入、利用系統漏洞。
  • 如果是「超融合基礎架構(HCI)」,攻擊面可能會更大,因為涉及多個主機作業系統。
管理主機的存取 Access to Management Hosts
  • 大多儲存元件主要透過「商用作業系統的主機」進行「管理或配置」。
  • 攻擊者會以下方式滲透到管理主機中:
  1. 透過惡意軟體,滲透到管理主機。
  2. 操作作業系統的漏洞,進行攻擊。
  • 可以進行的攻擊行為包含:入侵可執行檔案、讀取快取資料、安裝竊聽裝置讀取記憶體資料、安裝惡意軟體、獲取配置資訊等。
  • 透過入侵管理主機可以實現的相關風險包含:資料損壞、資料丟失與竄改、備份破壞、竄改日誌和審計等,因此總結來說,入侵管理主機造成的損害可能是無限的
管理 API、管理軟體和帶內管理 Management APIs、 Management Software、 and In-Band Management
  • 通常「儲存基礎架構元件」會公開軟體的相關「管理接口」像是「使用者介面UI」、「API」或相關管理協議來對相關設備進行管理。
  • 舉例來說,可能會有「管理接口」包含:訪問協議(SOAP)、REST API等,與外部網路服務進行交互,用於密鑰管理、身份驗證和授權,
  • 上述所提到的管理接口,接可能產生各種攻擊面,包含:
  1. 帽中管理主機或彖已透過「管理接口(API)」訪問儲存設備,就無須滲透管理軟體就可獲訪問權限。
  2. 透過數據鏈路(Data Link,例如光纖通道)進行Band-Access帶內訪問,冒充客戶端發送管理命令。
儲存客戶端 Storage Clients
  • 儲存客戶端通常是「運算元件」或是安裝在運算元件的「應用程式」(那些會使用儲存協定對資源進行「讀取」)。
  • 透過入侵客戶端可能的攻擊手法包含:
  1. 攻擊者可能會透過客戶端傳送管理命令對儲存裝置進行危害。
  2. 若客戶端是用來建立備份時,可能因被入侵而導致未來的備份㔯害
儲存網路 Storage Network
  • 主要是透過入侵網路元件(包含host adapter, switches, cables, extendsers),對資料傳輸路徑的入侵,可能採取的攻擊行為包含:
  1. 資料:複製、檢視、重新導向、竊取。
  2. 配置資料:讀取使用者認證、加密金鑰等。
  3. 網路元件:透過破壞網路元件,修改有效載荷,對資料損毀或變更與添加。
  4. 實施中間人攻擊MITM:進行嗅探資料、繞過加密和驗證機制。
重要個人的計算環境 Compute Environment of Key Individuals
  • 有些「關鍵用戶」擁有對「儲存基礎架構的管理權限」,例如可以對儲存管理主機進行遠程連線。
  • 關鍵用戶的電腦環境(例如筆記型電腦、桌機、家用網路等)皆可能被利用作為條版,以獲取儲存基礎設之的存取權限,對儲存基礎設施造成損害。
  • 例如透過在孤艦用戶的裝置上安裝惡意軟體,該軟體再安裝鍵盤側錄,攔截登陸憑證。
電力網絡及其他公用設施 Electrical Network and other Utilities
  • 儲存基礎設施與電力網路相連,因此電力網路可能成為潛在攻擊面。可能的攻擊包含:
    • 突然的電流暴增、閃電:造成的損壞,甚至抹除電磁碟片上的數據。
    • 透過惡意軟體:(如PowerHammer)透過調節被感染的機器功耗(CPU工作負載)來進行數據外洩。或是透過改變電流流量盜取敏感資訊,例如密碼和加密密鑰。
    • 線路級別攻擊:透過竊聽被感染計算機的店員電纜擷取惡意軟體外洩的數句。
    • 非侵入式竊取:透過測量電源電纜上發射的信號,來進行解碼轉換二進位形式進行收集[33]。
  • 其他公用事業、安全和環境控制系統,可能的攻擊包含:
    • 對系統造成風險(例如過熱、洪水、爆炸)
    • 數據洩漏的風險(例如竊取視頻監控系統以攔截密碼輸入,或屏幕、面板、指示燈的內容,錄製聽覺信號)
    • 試圖劫持環境系統的內部傳輸能力(例如WiFi、藍牙)以試圖規避空隙隔離和網絡控制。

統整01:整理威脅與實體攻擊(參考OWASP)

在建立威脅模型之前,我們必須先將威脅中採取的攻擊手法整理得更加清楚,以便於進行威脅模型的建立。

API安全和資料庫之間有著密切的關聯。OWASP Top 10是由Open Web Application Security Project (OWASP) 發布的最常見的Web應用程式安全風險清單,而在2023年版本中,十大API安全風險被加入其中,反映了API安全在現代應用程式中的重要性。

另外,NIST SP 800-209提供了有關資料庫安全的指南,特別在第4.6節中,提及了與網絡基礎設施和協議相關的存取控制建議。這是因為資料庫涉及到數據的存儲、管理和訪問,而網絡基礎設施和協議則是支援數據傳輸和存取的重要組成部分。因此,這邊會參考:OWASP Top 10 2021, OWASP Top 10 2023 進行參考然後 將資料庫可能造成的威脅 與 NIST SP800-209 3.2節中談到真對資料庫的威脅,進行Mapping。

1. 憑證被盜或洩露 Credential Theft or Compromise

主要防禦方式:

  • 使⽤安全的加密傳輸協定如 TLS 1.2, TLS 1.3
  • 使⽤具迭代⽅法之雜湊演算法如 Argon2, scrypt, bcrypt 或 PBKDF2 搭配加鹽來儲存密碼
  • 以處理、儲存、傳輸⾏為模式分類,執⾏對應的控制措施
  • 針對包含敏感資料的回應停⽤快取
參考來源 相關威脅 說明
NIST SP 800-209 安全建議
NIST SP 800-209 3.3.1 憑證被盜或洩露 Credential Theft or Compromise NIST SP 800-209 指出,有效的憑證盜用大多「直接取得使用者的密碼,而非猜測」,因此僅僅依靠密碼的長度和複雜性通常不足以保護系統免受攻擊。 - 章節 4.9 加密
- 章節 4.3 身份驗證與數據訪問控制
OWASP 2023 API2:2023 Broken Authentication 無效身分認證 身份驗證機制若實施不當,能使攻擊者破壞或利用身份驗證權杖,暫時或永久地冒用其他用戶的身份。破壞系統識別用戶端/使用者的能力,會損害 API整體安全。 - 章節 4.9 加密
- 章節 4.3 身份驗證與數據訪問控制

2. 加密破解 Cracking Encryption

主要防禦方式:

  • 使用強大的加密方法很重要
  • 同時也要妥善保護加密金鑰。
  • 積極更換加密金鑰可以成為一種策略,以防止金鑰被破解或不夠強大。
  • 在金鑰生成方面,金鑰的強度、質量和熵都起著重要作用,且金鑰不應重複使用。
參考來源 相關威脅 說明
NIST SP 800-209 安全建議
NIST SP 800-209 3.3.2 加密破解 Cracking Encryption 使用 弱的加密算法 和 弱的金鑰生成器 到 服務器端的漏洞、金鑰泄露、基本設計缺陷或漏洞 - 章節 4.9 Encryption
- 要求:EN-SS-R9 - 加密金鑰管理要求
- 要求:EN-SS-R6 - 敏感數據的靜態加密
OWASP 2021 A02:2021 加密機制失效 Cryptographic Failures 此類別通常因資料加密使用較弱的加密算法或弱的金鑰生成器的加密演算法,導致敏感性資料外洩或者系統被破壞。 - 章節 4.9 Encryption
- 要求:EN-SS-R9 - 加密金鑰管理要求
- 要求:EN-SS-R6 - 敏感數據的靜態加密

3. 惡意軟體與勒索軟體的感染 Infection of Malware and Ransomware

主要防禦方式:

  • 對於關鍵任務的資訊,災難復原副本應該使用各種反惡意軟體掃描工具進行掃描,以檢測已知的漏洞和異常。
  • 對於敏感資料,應定期使用防毒工具掃描至少一個過去副本的子集識別是否有被感染的副本。
參考來源 相關威脅 說明
NIST SP 800-209 安全建議
NIST SP 800-209 3.3.3 惡意軟體與勒索軟體的感染 Infection of Malware and Ransomware 往往攻擊「存儲管理系統」比攻擊「存儲裝置」本身更容易。因此惡意軟體可能因安裝在存儲管理主機上,造成傷害,如竊取憑證、提升特權、資料損壞、損失或更改,以及破壞未來的備份等。 - 要求 AC-SS-R33 - 使用反惡意軟體掃描工具
- 要求 RA-SS-R11 - 數據副本的網路安全措施
- 要求:DP-SS-R3.c 對於備份相關的標準作業程序應包含的要求

4. 後門未修補的漏洞 Backdoors and Unpatched Vulnerabilities

主要防禦方式:

  • 通常 call home 或 remote access 被用於收集遙測和診斷數據,供製造商分析和解決技術問題,以及進行自動軟件更新。然而,這些功能也可能成為黑客攻擊的目標,因此如果不需要的話應該禁用,如果需要的話則應該限制和控制。
  • 確保儲存軟體版本更新
  • 安裝重要的安全更新和修補程式
  • 制定無法取得修補程式時應採取的緩解計劃
參考來源 相關威脅 說明
NIST SP 800-209 安全建議
NIST SP 800-209 3.3.4 後門未修補的漏洞 Backdoors and Unpatched Vulnerabilities 通常是軟體機制或功能,由供應商、個別貢獻者(在罕見情況下,可能是國家或惡意行為者)故意創建,由於門後具有潛在的危害性,它們並不在官方文檔中記錄,只有被限定的一組人才知道其存在。然而,隨著時間的推移,門後的存在可能會被故意或無意間洩露或被公眾發現。 - 要求:NC-SS-R10 停用未使用的儲存區域網路(SAN)埠
- 章節 4.6 網路設定指引
- 要求:AA-SS-R11 禁用或限制 call home 或 遠端存取
- 要求:CM-SS-R8 軟體更新和修補

5. 特權升級 Privilege Escalation

主要防禦方式:

  • 除公開的資源外,預設為拒絕存取
  • 建⽴存取控制機制,並重複套⽤
  • 記錄存取控制失效,並設定告警(例如:重覆登⼊失敗)
  • 對 API 存取進⾏流量限制,降低⾃動攻擊帶來的損害
  • 具⾝份識別之 Cookie,於登出、超時後被註銷
  • JWT 使⽤最短存取時間,若⻑時間存取 JWT 建議遵循 OAuth 標準使其失效
參考來源 相關威脅 說明
NIST SP 800-209 安全建議
NIST SP 800-209 3.3.5 特權升級 Privilege Escalation 利用軟體漏洞、設計或部署缺陷,或是配置錯誤,以至於獲得對於應用程式或使用者取得受保護資源的訪問權限。 - 章節 4.3 身份驗證與數據訪問控制
- 要求:AC-SS-R26 - 默認分區的權限
OWASP 2023 API3:2023 - Broken Object Property Level Authorization 物件屬性級別授權失效 物件屬性級別的授權驗證缺失或不當導致資訊外洩或被未授權者篡改。 同上
OWASP 2023 API5:2023 - Broken Function Level Authorization 無效功能權限控管 複雜的存取控制策略涉及不同的層級、組態和角色,並且在管理和常規功能之間沒有明確的分離,這可能讓攻擊者將APIf請求發送至不應該可存取的端點,且端點沒有設置存取控制所導致授權漏洞。 同上
OWASP 2021 A01:2021 Broken Access Control 權限控制失效 控制措施失效會導致未經授權的資訊洩露、修改、毀損,或執⾏超出原權限的業務功能。 同上
OWASP 2021 A07:2021-Identification and Authentication Failures 認證及驗證機制失效 以前被稱為Broken Authentication,常見的可能帳號登入登出的設計機制不完善,因此標準化的架構有協助降低次風險發生機率。 同上

6. 人為錯誤與故意配置失誤 Human Error and Deliberate Misconfiguration

主要防禦方式:

  • ⾃動化的流程,可以部署及確認環境中各類的安全設定
  • 開發及營運環境,都須有⼀致相同的設定,並且使⽤不同的認證資訊
  • 伺服器的功能最⼩化、區域化
  • 依據相關更新,來執⾏安全審視及更動 (請參照 A06:2021-危險或過舊的元件)
  • 使⽤安全表頭
  • 當生產數據損壞或丟失時,組織應該能夠通過複製或備份的數據副本來恢復數據,應確保數據資產及其恢復副本之間具有足夠的隔離。
  • 確保在業務中斷、災難恢復事件或資安攻擊後,能夠成功地復原。
  • 維護全面且即時的配置管理清單,管理變更,以及確保配置持續符合組織的安全基線和目前業界最佳實踐,同時確保其不受已知風險的影響。
參考來源 相關威脅 說明
NIST SP 800-209 安全建議
NIST SP 800-209 3.3.6 人為錯誤與故意配置失誤 Human Error and Deliberate Misconfiguration 因使用者進行技術上支援的儲存配置更改,導致無法接受的風險。 - 章節 4.7 隔離
- 章節 4.8 恢復保證
- 章節 4.11 配置管理
OWASP 2023 API4:2023 - Unrestricted Resource Consumption 不受限的資源消耗 API常設計用來供查詢回傳資料,因此API會請求需要的網路頻寬、CPU、記憶體和儲存等資源。其他資源,如電子郵件/SMS/電話或生物識別驗證,利用API整合由服務提供者提供,並按請求付費。成功的攻擊者可能利用這項風險,造成導致拒絕服務或增加營運成本。 同上
OWASP 2023 API8:2023 - Security Misconfiguration 安全組態錯誤 API和支援系統通常包含複雜的配置,主要讓API更具彈性及客製化。軟體和DevOps工程師可能會忽視這些配置,或在配置方面未遵循安全最佳實踐,因而打開攻擊大門。 同上
OWASP 2021 A05:2021- 安全配置錯誤 Security Misconfiguration 在系統正式環境開了不必要功能、服務、Port,導致有安全風險,XML外部實體攻擊(XXE)目前也被歸類於此類。 同上
OWASP 2021 A08:2021 Software and Data Integrity Failures 軟體及資料完整性失效 不安全的持續性整合/部署(CI/CD)流程、使⽤缺乏充⾜完整性驗證的⾃動更新。 同上

7. 實體媒體的物理偷竊 Physical Theft of Storage Media

主要防禦方式:

  • 網路攻擊恢復的備份應該儲存在離線的地方,而不是和生產數據存放在同一地點。
  • 這樣做可以確保即使攻擊者物理上進入生產地點,或者成功侵入物理位置,也無法訪問或破壞網路攻擊恢復的備份。
  • 實體安全是確保任何資訊科技「基礎建設安全」的「基本要素」。很多時候「儲存基礎建設的實體安全」要求與「其他基礎建設元素」(例如電腦和網路設備)相同(例如設施安全、監控、運輸等)。
    • 基礎建設元素可以參考的相關標準包含: NIST SP 800-53, Rev5 NIST SP 800-171 。
    • 有關媒體處置和銷毀可以參考:ISO 27040, NIST SP 800-88 有更近一步的討論。
參考來源 相關威脅 說明
NIST SP 800-209 安全建議
NIST SP 800-209 3.3.7 實體媒體的物理偷竊 Physical Theft of Storage Media 所有的數據最終都儲存在一個或多個實體媒體上,而這些媒體容易受到偷竊的威脅。無論是在線或離線,都可能被從其指定的(固定)位置上移除,或者在實體運輸過程中被竊取(例如,正在運輸用於備份的媒體進行歸檔,或者作為數據中心遷移項目的一部分而運送存儲設備。 章節 4.1 實體儲存安全

8. 網路竊聽資料 Network Eavesdropping

主要防禦方式:

  • 可以參考 NIST SP 800-209 章節 4.6 網路設定指引,該節主要涵蓋的網絡基礎設施(例如交換機、端口、HBA 和 NIC 配置、分區指南等)和協議。
參考來源 相關威脅 說明
NIST SP 800-209 安全建議
NIST SP 800-209 3.3.8 網路竊聽資料 Network Eavesdropping 資料在傳輸時可能會被攔截。傳輸可以涵蓋許多組件:網路卡(有線或無線)、傳輸電纜(傳輸電力或光線)、中繼器、交換器、路由器等。這些組件中的任何一個都可能受到破壞,涉及對傳輸的資料、元數據或控制流量進行插入、刪除或修改。 章節 4.6 網路設定指引

9. 不安全的映像、軟體和韌體 Insecure Images, Software and Firmware

從NIST SP 800-209中,較少有針對應用程式的相關安全建議,但是很多時候,資料的外洩也是因為應用程式的不安全所導致,但是裡面較少談論到如何針對應用程式AP與數據之間的安全性。

在標準中與應用程式相關的安全建議主要有以下:

  • 要求 4.2.1 資料備份、恢復和儲存
    • 提到資料備份、恢復和儲存方面,應考慮應用程式和業務流程層面的資料完整性
    • 嚴格要求還原速度的應用程式可用性
  • 要求 NC-SS-R3 - 使用混合方法進行 zoning
    • 基於主機的分區機制,主機上的應用程式可以存取和看到可存取的設被或儲存資源有哪些。
  • 要求:RA-SS-R9 - 分離數據與應用程式的還原
    • 還原數據時避免恢復受感染的代碼或軟體,應該將數據與應用程式進行分離。
  • 章節 4.3 身份驗證與數據訪問控制
    • 應限制應用程式的特權訪問,降低了存儲系統受到攻擊的風險。

而不安全的映像或軟體及韌體方面則是參考以下建議:

  • 要求 AC-SS-R33 - 使用反惡意軟體掃描工具
  • 要求 RA-SS-R11 - 數據副本的網路安全措施
  • 要求:DP-SS-R3.c 對於備份相關的標準作業程序應包含的要求
威脅來源 相關威脅 說明
NIST SP 800-209 安全建議
應用程式(客戶端) API1:2023 - Broken Object Level Authorization 不安全的物件授權 API 多半以公開方式處理物件識別,因此產生與物件存取控制相關的大範圍受攻擊面。OWASP建議物件授權應考慮在每項功能設計中,以防未授權的資訊洩露、資料被竄改或破壞。 - 要求 4.2.1 資料備份、恢復和儲存
- 要求 NC-SS-R3 - 使用混合方法進行 zoning
- 要求:RA-SS-R9 - 分離數據與應用程式的還原
- 章節 4.3 身份驗證與數據訪問控制
應用程式(客戶端) API6:2023 - Unrestricted Access to Sensitive Business Flows 不受限存取敏感商業流程 因應用程式流程上的問題所導致的威脅,受此影響的API可能是因為自動化流程過度使用所導致。 同上
應用程式(客戶端) API7:2023 - Server Side Request Forgery 伺服器端請求偽造 當API在未驗證使用者提供的 URI 的情況下獲取遠端資源時,可能會出現伺服器端請求偽造 (SSRF) 缺陷。這使攻擊者能夠強制應用程式將精心設計的請求發送到意想不到的目的地,即使受到防火牆或 VPN 的保護。 同上
應用程式(客戶端) API9:2023 - Improper Inventory Management 庫存管理不當 API通常比傳統Web應用程式暴露更多的端點,因此正確和更新文檔非常重要。對主機和API版本進行適當的管理也很重要,以減少如廢棄的API版本和暴露的測試端點等維護問題。 同上
應用程式(客戶端) A03:2021 Injection 注入式攻擊 XSS 攻擊、SQL Injection、Command Injection接屬於此類。 同上
應用程式(客戶端) A04:2021 Insecure Design 在設計系統及功能時,設計不完全導致產生的安全問題。 同上
應用程式(客戶端) A10:2021 SSRF 伺服端請求偽造 當網站伺服器取得遠端資源,卻未驗證由使⽤者提供的網址,此時就會發⽣偽造伺服端請求,即便有防⽕牆、VPN 或其他網路 ACL 保護的情況下,仍得以達成攻擊。雲端服務和其結構的複雜性,偽造伺服端請求的嚴重性將會愈來愈嚴峻。 同上
映像、軟體和韌體 3.3.9 不安全的映像、軟體和韌體 Insecure Images, Software and Firmware 可能試圖干擾儲存設備的軟體分發、更新或安裝過程,以引入不正確、過時或惡意修改的程式碼。軟體更新過程的每個環節都可能成為引入被篡改軟體的目標。包含:發行者(例如供應商、第三方、開源社區)、傳遞方法(例如傳輸或下載、安裝媒體的運送、供應商員工的檔案複製)、個別組織保存的本地副本(例如代理伺服器、內部檔案伺服器)等。 - 要求 AC-SS-R33 - 使用反惡意軟體掃描工具
- 要求 RA-SS-R11 - 數據副本的網路安全措施
- 要求:DP-SS-R3.c 對於備份相關的標準作業程序應包含的要求
第三方套件 API10:2023 Unsafe Consumption of APIs API的不安全使用 開發人員一般會更信任來自thrid-party API的資料,因此對thrid-party API採取較弱的安全標準。而攻擊者往往會優先攻擊Thrid-Party服務,而不是直接嘗試破壞目標API。 - 要求 AC-SS-R33 - 使用反惡意軟體掃描工具
- 要求 RA-SS-R11 - 數據副本的網路安全措施
- 要求:DP-SS-R3.c 對於備份相關的標準作業程序應包含的要求
第三方套件 A06:2021 Vulnerable and Outdated Components 危險或過舊的元件 在系統開發使用有已知弱點的元件(作業系統、軟體、套件、函示庫、框架)。 同上
第三方套件 A08:2021 Software and Data Integrity Failures 軟體及資料完整性失效 反序列化攻擊及第三⽅套件信任問題是此項⽬中之重點,這其中包含程式碼或基礎架構未能保護軟體及資料之完整性、不安全的反序列化、 使⽤不受信任來源之套件、函式庫、模組等。 同上

10. 資安記錄及監控失效 Security Logging and Monitoring Failures

因為 NIST SP 800-209沒有針對資安紀錄有獨立列出威脅,然而在OWASP Top 10 2021的A09,有提及資安紀錄及監控失效的相關威脅,同時 NIST SP 800-209 第四章節中也有提及,針對資安紀錄及監控失效的重要性,而建議採取的相關措施,因此本節在此新添加一威脅面向。

相關威脅 說明 防禦方式
AA09:2021 資安記錄及監控失效 Security Logging and Monitoring Failures 此類故障可能會直接影響可見性、事件警報和取證。 章節 4.4 (AL) 審計日誌

統整02:設計威脅模型

以下威脅模型是參考NIST SP 800-209 和 OWASP Top 10的常見威脅,所整理出來的威脅模型。裡面的環境主要簡單描述在資料基礎架構中,系統邊界、資料傳輸、備份監控等,可能會面臨的威脅。可以根據以下威脅,於統整01中的威脅參考相關的威脅描述與相關的安全建議。