尽管ServiceNow去年实施了数据保护改进以避免此类安全问题,但过去一年中仍发现有一千个由ServiceNow托管的企业知识库(KB)实例在暴露敏感企业数据。
根据软件即服务(SaaS)安全公司AppOmni进行的安全研究,ServiceNow知识库总实例中近45%存在敏感数据泄露问题,包括个人身份信息(PII)、内部系统详情以及活跃的生产系统凭证/令牌。
AppOmni的SaaS安全研究主管Aaron Costello在9月17日发布的分析中指出,这些安全漏洞源于“知识库中的过时配置和访问控制配置错误”,这可能表明“对知识库访问控制存在系统性误解,或者至少有一个实例的访问控制不当被意外复制到另一个实例中”。
事实上,研究人员发现,在多个案例中,拥有多个ServiceNow实例的组织在每个实例中都始终如一地错误配置了知识库访问控制。
ServiceNow是一个基于云的IT服务管理平台。去年,该公司对其平台进行了安全更新,以防止未经身份验证的用户访问数据,包括默认增强访问控制列表(ACL)。然而,这些改进似乎并未对其知识库产生重大影响,Costello指出,知识库是“敏感内部数据的宝库”,本不应被组织外部人员看到。
为何在加强安全后仍发生泄露?
AppOmni将其发现告知了ServiceNow,后者与客户合作评估客户数据泄露实例,并“适当配置知识库文章的访问性”。ServiceNow首席信息安全官Ben De Bont在与AppOmni分析一同发布的声明中表示。
“我们致力于保护客户数据,安全研究人员是我们持续改进产品安全性的重要合作伙伴,”De Bont说。他感谢Costello和AppOmni不仅发现了安全漏洞,还推迟了研究成果的发布,以便ServiceNow能够与客户协调缓解措施。
如前所述,ServiceNow去年对其数据保护进行了两项重大更改,以提高其平台上托管数据的安全性。一是添加属性以防止选定的小部件在未经明确设置的情况下授予未经身份验证的用户访问数据的权限,二是引入了一个名为“安全属性”的新功能,该功能默认应用于大多数ACL。它包含特定的验证,以确保未经身份验证的用户无法访问数据。Costello指出,这些更新未能保护知识库中的数据有两个原因。一是可用于访问知识库文章内容的公共小部件未收到更新。二是大多数知识库使用名为“用户标准”的功能而不是ACL进行保护,“这使得添加‘UserIsAuthenticated’安全属性变得多余,因为它是ACL独有的功能”,Costello说。
尽管这可以解释ServiceNow知识库暴露的问题,但并不一定解释为什么组织普遍难以锁定知识库。Costello的研究发现,大多数企业实例(或他所研究的60%的案例)保留了不安全的KB安全属性,以“默认允许公共访问”。此外,许多管理员不知道在KB配置中存在各种授予未经身份验证用户访问权限的标准,这允许“外部用户钻空子并获得访问权限”,Costello写道。
如何缓解知识库数据暴露
KnowBe4公司的数据驱动防御布道者Roger Grimes指出,ServiceNow并不是唯一一个存在知识库数据泄露问题的托管提供商。微软也遇到了类似的问题,包括“在帮助台类型数据中泄露的完整内存转储”。
然而,当知识库数据泄露等安全问题出现时,指责SaaS提供商并不能解决问题,组织也需要对自己的知识库安全负责。
“现实是,我们都在学习如何在这个超连接和始终在线访问内容的世界中最好地保护我们的数据,”他说。“与其责怪供应商,不如利用这种类型问题的额外实例来检查我们自己的政策和流程。”
Costello建议组织可以采取的措施包括定期对知识库访问控制进行诊断以保持安全配置更新,并使用业务规则默认拒绝未经身份验证的访问知识库内容。
他还表示,组织应该了解知识库的相关安全属性,这些属性作为重要的安全护栏,影响着内部和外部用户尝试访问数据时如何决定访问控制。
Costello补充说,与ServiceNow(以及其他负责托管敏感企业数据的SaaS提供商)保持联系,并确保安全更新和努力是最新的,有助于防止数据泄露。