アマゾンクラウドでの殺人

Code Spacesは、GitやSubversionなどのオプションを使用して開発者にソースコードリポジトリとプロジェクト管理サービスを提供する会社でした。それは7年間続いていて、顧客の不足はありませんでした。しかし、それはもう終わりです-会社は本質的に攻撃者によって殺害されました。

私たちはセキュリティ、バックアップ、そして特にクラウドについて話しますが、特に予算上の懸念を考慮すると、私たちが行っている努力のほとんどを定量化することは困難です。私たちは、私たちが持っているリソースで可能な限り壁を強化することができ、ほとんどの場合、それで十分です。ただし、それだけでは不十分な場合もあります。

[のInsiderThreat Deep Dive PDF特別レポートで、悪意のある攻撃の脅威を大幅に減らす方法を学びましょう。 |のSecurityCentralニュースレターで、最新のセキュリティ開発に関する最新情報を入手してください。 ]

コードスペースは主にAWS上に構築され、ストレージとサーバーインスタンスを使用してサービスを提供します。これらのサーバーインスタンスはハッキングされておらず、CodeSpacesのデータベースが侵害されたり盗まれたりすることもありませんでした。 Code SpacesのWebサイトのメッセージによると、攻撃者は会社のAWSコントロールパネルにアクセスし、CodeSpacesに制御を戻す代わりにお金を要求しました。 Code Spacesが準拠せず、自身のサービスの制御を取り戻そうとしたとき、攻撃者はリソースの削除を開始しました。ウェブサイトのメッセージにあるように、「私たちはようやくパネルアクセスを取り戻すことができましたが、彼がすべてのEBSスナップショット、S3バケット、すべてのAMI、一部のEBSインスタンス、およびいくつかのマシンインスタンスを削除する前ではありませんでした。」

攻撃はコードスペースを効果的に破壊しました。これは、誰かが深夜にオフィスビルに侵入し、身代金を要求し、要求が満たされない場合に手榴弾をデータセンターに投げ込むことと直接比較しています。唯一の違いは、企業のデータセンターを物理的に侵害するよりも、クラウドベースのプラットフォームに侵入する方がはるかに簡単なことです。

このシナリオは、CodeSpacesの貧しい人々には決して起こらなかったと思います。おそらく彼らはセキュリティ対策を維持し、サーバーのセキュリティを厳しくし、インフラストラクチャの大部分をAmazonに依存していました。他の何千もの企業とは異なります。それでも、コードスペースを攻撃したのは、AWSコントロールパネルにアクセスするのと同じくらい簡単でした。脅威が内部から来るとき、世界のすべてのセキュリティは重要ではありません、そしてそれはここで起こったことであるように見えます。

コードスペースはサービスとバックアップを複製していましたが、それらはすべて同じパネルから明らかに制御可能であったため、すぐに破壊されました。同社によれば、一部のデータはまだ残っており、残っているものへのアクセスを提供するために可能な限り顧客と協力しています。

これは、あなたと私に間違いなく起こる可能性があるので、私たち全員に大きな打撃を与えるはずの種類の話です。それは確かにサービスの分離が良いことであるという考えを強化します。

クラウドサービスを実行している場合は、いくつかの異なるベンダーを使用する必要があります。可能であれば、サービスを地理的に複数の場所に分散し、単純なサーバーインスタンスのイメージング以外の安全対策に数ドル余分に費やす必要があります。他のすべてがクラウドで実行されている場合はかなりの費用がかかりますが、必ずオフサイトバックアップを用意する必要があります(これは交渉の余地がないはずです)。

サードパーティのクラウドバックアップベンダーが彼らの拡声器を起動する時が来ました。この非常に悲しい話は、彼らに数人以上の顧客を獲得するはずです。

この無礼な攻撃からまだ動揺していることは間違いないが、コードスペースの背後にいる人々に、あなたは私の心からの哀悼の意を表します。このような大混乱の背後にいる人々が裁判にかけられることを望んでいますが、それはありそうもないようです。あなたの不幸が他の人が同様の運命を避けるのを助けるかもしれないことを知って、あなたが少し慰めをとることができますように。小さな快適さ、私は知っています。

このストーリー「Amazonクラウドでの殺人」は、もともと.comで公開されました。PaulVeneziaのTheDeepEndブログの詳細を.comで読んでください。最新のビジネステクノロジーニュースについては、Twitterで.comをフォローしてください。