Một nhà thầu của CISA vô tình làm lộ thông tin đăng nhập AWS GovCloud và kho lưu trữ Infrastructure-as-Code (IaC) trên một tài khoản GitHub cá nhân công khai, dẫn đến một sự cố nội bộ và việc cơ quan này công bố các bài học kinh nghiệm. Sự cố này làm nổi bật mối đe dọa bảo mật tiềm ẩn từ các sai sót của con người, ngay cả trong các môi trường được bảo vệ chặt chẽ. Một phóng viên điều tra đã liên hệ với CISA vào ngày 15 tháng 5 về việc phát hiện các khóa AWS GovCloud nội bộ trong một kho lưu trữ mã công khai. Thông tin này ban đầu đến từ một nhà nghiên cứu bảo mật liên tục quét các kho lưu trữ công khai để tìm các bí mật bị lộ.
Phản ứng và Biện pháp Khắc phục Ban đầu
Ngay lập tức, Văn phòng Giám đốc Công nghệ Thông tin (CIO) của CISA đã triển khai các biện pháp khẩn cấp theo phương châm “ngăn chặn rò rỉ”. Nhóm đã đưa kho lưu trữ công khai ngoại tuyến đồng thời bảo toàn bản sao forensic, chấm dứt hoạt động của môi trường phát triển bị ảnh hưởng, đặt lại các thông tin xác thực liên quan và thu hồi quyền truy cập hệ thống của cá nhân đó. Sau đó, các nhà điều tra xác định rằng tài liệu bị lộ không thuộc về kho lưu trữ chính thức của CISA trên GitHub mà là của một nhà thầu cá nhân. Nhà thầu này đã sao chép mã xây dựng và triển khai của cơ quan, cùng với các thông tin xác thực quản trị và xây dựng, để tự động hóa việc tạo cơ sở hạ tầng đám mây.
Phân tích Lỗ hổng và Bằng chứng
Phân tích nhật ký forensic xác nhận rằng các thông tin xác thực bị rò rỉ chưa từng được sử dụng bên ngoài môi trường của CISA, và không có dữ liệu khách hàng hay dữ liệu nhiệm vụ nào bị lộ. Để phòng ngừa tối đa, CISA đã xoay vòng tất cả các thông tin xác thực trên mọi môi trường mà cá nhân đó có quyền quản trị, không chỉ riêng các khóa bị lộ. Đồng thời, họ đã siết chặt các danh sách cho phép/từ chối đối với các kho lưu trữ mã và hạn chế khả năng người dùng tải lên các kho lưu trữ công khai.
Bài học kinh nghiệm và Cải tiến An ninh
Báo cáo sau sự cố của CISA đã chỉ ra cả điểm mạnh và những khoảng trống cần cải thiện. Cơ quan này ghi nhận khả năng phản ứng nhanh chóng là nhờ vào báo cáo từ bên ngoài và khả năng hiển thị Zero Trust. Tuy nhiên, CISA cũng nhấn mạnh một số lĩnh vực cần được chú trọng:
- Quản lý Thông tin Xác thực: Tăng cường các quy trình để đảm bảo an toàn và quản lý chặt chẽ thông tin đăng nhập, đặc biệt là đối với các môi trường nhạy cảm như AWS GovCloud.
- Quản trị Kho Lưu trữ Mã: Thiết lập các chính sách rõ ràng và kiểm soát truy cập nghiêm ngặt đối với việc sử dụng và chia sẻ kho lưu trữ mã, bao gồm cả các tài khoản cá nhân.
- Minh bạch Báo cáo Sự cố: Duy trì sự minh bạch trong quá trình báo cáo và xử lý sự cố để xây dựng lòng tin và cung cấp các bài học thực tế cho cộng đồng.
Các nhà phân tích bảo mật nhấn mạnh trường hợp này làm nổi bật rủi ro bảo mật liên quan đến yếu tố con người. Các nhà thầu và bên thứ ba xử lý mã hạ tầng cần được đào tạo về quản lý thông tin xác thực và quy trình ngừng cung cấp dịch vụ nghiêm ngặt tương đương với nhân viên chính thức. Sai sót vô tình trong quá trình làm việc bình thường, chứ không phải các cuộc tấn công tinh vi, đã gây ra sự cố lộ lọt này.
Tầm quan trọng của Minhh bạch và Học hỏi
CISA định hình việc công bố sự cố này theo triết lý “khi nào, chứ không phải nếu” (when, not if). Họ tin rằng sự minh bạch về chính sự cố của mình sẽ xây dựng lòng tin và cung cấp cho các tổ chức khác những bài học thực tế, có thể hành động để củng cố việc quản lý thông tin xác thực, quản trị kho lưu trữ và sự rõ ràng trong báo cáo sự cố trong môi trường của họ. Việc chủ động chia sẻ kinh nghiệm quý báu này giúp nâng cao khả năng phòng vệ chung cho toàn bộ hệ sinh thái an ninh mạng. Thông tin chi tiết hơn về các bài học kinh nghiệm có thể được tìm thấy trên trang tin tức của CISA: CISA’s After-Action Review.
Sự cố này cũng là lời nhắc nhở về tầm quan trọng của việc liên tục đánh giá và cập nhật các biện pháp bảo mật, đặc biệt là khi sử dụng các dịch vụ đám mây và các công cụ IaC. Việc áp dụng các thực tiễn tốt nhất về an ninh mạng và đào tạo nhân sự là yếu tố then chốt để giảm thiểu rủi ro tương tự. Đây là một ví dụ điển hình về tin tức bảo mật cần được các chuyên gia chú ý để phòng ngừa.










