凭证泄露响应方案

事件类型：凭证泄露

凭证泄露指的是个人或组织在使用各种服务（如云服务、社交媒体、电子邮件等）时，其身份验证信息（如用户名、密码、API密钥、访问令牌等）被未经授权的第三方获取或泄露。这种情况可能通过多种方式发生，包括但不限于网络钓鱼、恶意软件、社交工程、系统漏洞等。一旦凭证被泄露，攻击者可能会利用这些信息来访问敏感数据、进行非法交易或破坏系统，对业务造成严重影响。

事件响应方案

针对以上问题，华为云推出了安全云脑（SecMaster）服务，它是华为云原生的新一代安全运营中心，集华为云多年安全经验，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。

事件响应流程

1. 识别身份凭证是否受损或泄露。
   1. 如果您收到如下提示信息，您需要排查并识别您的身份凭证是否受损或泄露：
      • 来自华为云服务（例如，华为云证书管理服务 CCM、安全云脑 SecMaster、云审计服务 CTS等）、外部监控系统的告警或指标；
      • 来自承包商或第三方服务提供商的提示信息；
      • 通过内部或外部安全研究人员排查信息；
      • 内部系统信息；
      • 匿名举报信息；
      • 其他途径的信息。例如，攻击者通过被泄露的凭证，窃取您的数据，并修改您面向公众的资源时。
   2. 确认已针对该事件提交工单或案例。如果没有，请手动提交。
   3. 确定并记录问题对最终用户的影响或体验。

      无论从用户角度来看，此类场景可能没有直接的用户影响，请将调查结果记录在与此事件相关的工单或案例中。

   4. 对于自动创建的工单或案例，确定哪些告警或指标是存在问题的。

      例如触发告警或指标可能是CTS服务指标指示您的IAM配置的某些方面不合规，或者IAM服务警报，表明可能存在凭据泄露。也可能是一个计费警报，当您的计费成本已超过预定阈值，触发告警和通知。

   5. 确定已泄露的凭据集。
      • 如果以创建工单或案例，请检查该工单或案例中是否记录了用户/角色名称、用户或角色ID或访问密钥ID。
      • 如果告警来自安全云脑基线检查，您可以在控制台查看基线检查结果，找到受影响凭证的访问密钥ID。具体操作请参见查看基线检查结果。
      • 如果告警来自CTS服务，您可以在控制台事件列表，查看跟踪结果。“资源名称”为访问密钥，Credential字段则包含“access_key_id”、“account_id”、“user_name”和其他信息。
   6. 确定凭证可能被破坏或泄露的时间。在该时间后进行的任何API操作应被视为恶意操作，在该时间后创建的任何资源应被视为被泄露。
   7. 如果您的应用程序发生服务中断，需确定造成中断的可能事件。如果中断事件与凭据泄漏无关，需检查部署管道以确定在事件发生之前是否进行了任何更改。您可以通过CTS服务，协助查看所有账户活动的日志。
   8. 事件沟通：
      • 根据组织的事件响应计划确定利益相关方的角色。
      • 通知相关干系人，包括法务人员、技术团队和开发人员，并确保他们被添加到工单和作战室中，以进行持续更新。
   9. 外部沟通：
      • 确保您的法律顾问了解情况，并将其纳入内部利益相关者更新的，特别是外部沟通的状态更新。
      • 将负责公共或外部沟通的同事添加到工单中，以便他们可以接收定期收到有关事件的状态更新，并履行其沟通职责。
      • 如果您所在辖区有法规要求报告此类事件，请确保贵组织中负责通知当地或联邦执法机构的人员也收到有关该事件的通知/被添加到工单中。请咨询您的法律顾问、执法部门，以获取有关收集和保存证据和监管局的指导。即使法规没有要求，向开放数据库、政府机构或非政府组织报告，您的报告也可能有助于跟踪类似的活动或帮助其他人。

2. 控制事件。

   您可以通过禁用受损凭证或撤销与这些凭证相关的权限，从而阻止使用受损凭据调用API。

   1. 禁用1识别到的受损凭证。
      1. 如果是永久IAM用户凭证，请在IAM控制台，删除用户凭证，具体操作请参见删除IAM用户。
      2. 如果是通过IAM获取的临时安全凭证，则会关联到IAM角色。您可以通过如下方法禁用这些功能：
         1. 撤销所有当前角色会话。如果攻击者获取新的临时安全凭证，并继续攻击，跳转到2.a.ii.2。
         2. 删除添加到该角色的所有IAM策略，修改已有策略以阻止所有访问，或者修改角色的策略以防止攻击者承担该角色。

            由于凭证在颁发后的指定时间段内仍然有效，因此请务必注意，修改信任策略后，凭证在有效期内将被允许继续使用。2.a.ii.1和2.a.ii.2将阻止所有用户使用通过承担角色获得的凭证，包括任何合法用户或应用程序。

   2. 您可以在30分钟左右的时间内通过CTS服务控制台查看持续使用的凭证，无论是访问密钥、IAM用户还是角色，确认受损凭证已被禁用。

3. 消除事件。

   您需要排查凭证在受损后执行了哪些API操作，创建、删除或修改了哪些资源，并采取响应措施，消除影响。

   1. 使用您的首选监控工具，访问CTS服务，并采集受损凭证执行的所有API操作，日志采集时间为受损时间到当前时间。
      • 如果您使用的是第三方工具（如Splunk或其他工具）采集云审计服务日志，请按照从该工具获取日志信息的正常过程进行操作。
      • 如果您不使用第三方工具，而是将日志发送到华为云对象存储服务（OBS），您可以使用华为云日志服务LTS采集、查询和存储日志。
   2. 在日志服务LTS控制台，查询凭证在受损或泄露后的日期/时间采取的所有API操作。
   3. 从结果列表中，确定哪些API调用：
      • 访问敏感数据，例如，OBS Object。
      • 创建新的华为云资源，例如数据库、云服务器等。
      • 创建资源的服务，包括ECS弹性伸缩组等。
      • 创建或修改权限，同时，还应排查包括（但不限于）以下API方法：CreateUser、CreateRole、AssumeRole*、Get*Token、Attach*Policy、*Image*、*Provider、Tag*、Create*、Delete*、Update*等。
      • 删除现有华为云资源。
      • 修改现有华为云资源。
   4. 根据上一步的结果，确定是否有任何应用程序可能受到影响。如果有，获取受影响的每个资源的ID或标记信息，并通知资源的所有者。
   5. 基于以上结果，如果创建了额外的凭证获取资源（IAM用户、角色等），根据2.a，禁用和删除这些资源的所有凭证。
   6. 重复3.a到3.e，排查是否仍存在额外发现的凭证，直到全部处置完成。

4. 从事故中恢复。
   1. 恢复被修改的资源：
      • 如果资源可以被销毁和替换，则添加新的资源。
      • 如果资源无法被替换，请执行以下任一操作：
        • 从备份还原资源。
        • 准备新资源并将其配置到应用程序的基础架构中，同时隔离受损资源并将其从应用程序的基础架构中移除。
        • 销毁受损资源，或继续将其隔离以备取证。
      • 恢复删除的资源：
        1. 通过排查确定资源所属的应用程序。如果资源标签未在CTS服务条目中列出，且华为云配置支持该资源，则检查华为云的配置。
        2. 如果删除的资源可以从备份中恢复，请直接恢复；如果删除的资源无法从备份中恢复，请查阅CMDB以获取资源的配置，重新创建资源并将其配置到应用程序的基础结构中。

5. 事故后活动。
   • 针对某些受损资源进行调查取证，分析攻击者对受损资源使用了哪些攻击手段，并确定是否需要针对相关资源或应用程序采取额外的风险和风险缓解措施。
     1. 对于任何已隔离以供进一步分析的受损资源，对这些资源执行取证活动，并将调查结果纳入事后报告。
     2. 确保正确更新CMDB以反映受影响的所有资源和应用程序的当前状态。
   • 审查事件本身和对它的响应，确定哪些措施起作用，哪些措施不起作用，根据这些信息更新改进流程，并记录调查结果。