យុទ្ធនាការមេរោគចាប់ជម្រិតថ្មីត្រូវបានប្រើប្រាស់សម្រាប់អ៊ីនគ្រីបធុងផ្ទុកទិន្នន័យ Amazon S3 Buckets ដែលប្រើ Server-Side Encryption របស់ AWS ជាមួយនឹង Customer Provided Keys (SSE-C) ហើយត្រូវបានស្គាល់ដោយហេគឃ័រតែមួយគត់ និងបានជម្រិតទារប្រាក់លោះ ដើម្បីប្តូរនឹង Decryption Key។
យុទ្ធនាការចាប់ជម្រិតត្រូវបានរកឃើញដោយ Halcyon ដែលបានរាយការណ៍ថា ហេគឃ័រឈ្មោះ “Codefinger” បានធ្វើការអ៊ីនគ្រីបយ៉ាងហោចណាស់ជនរងគ្រោះចំនួន ២រូប។ ទោះជាយ៉ាងណា ប្រតិបត្តិការអាចកើនឡើង ឬតិចនិកអាចត្រូវបានប្រើប្រាស់ដោយហេគឃ័រនាពេលឆាប់ៗនេះ។
ការអ៊ីនគ្រីប Cloud Storage៖ សេវា Amazon Simple Storage (S3) គឺជាសេវាកម្មរក្សាទិន្នន័យដែលមានល្បឿនលឿន និងគួរឱ្យទុកចិត្ត និងត្រូវបានផ្តល់ដោយ Amazon Web Services (AWS) ហើយ S3 Buckets គឺជាអ្នករក្សាទុកក្លោដសម្រាប់រក្សាទុកឯកសារ ទិន្នន័យ Backups ប្រព័ន្ធផ្សព្វផ្សាយ និង Logs ជាដើម។ Customer Provided Keys (SSE-C) គឺជាជម្រើសនៃការអ៊ីនគ្រីប ដើម្បីធានានូវសុវត្ថិភាពទិន្នន័យ S3 ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ Key សម្រាប់អ៊ីនគ្រីបផ្ទាល់ខ្លួនរបស់ពួកគេដើម្បីប្រាស់ប្រាស់សម្រាប់អ៊ីនគ្រីប និងឌីគ្រីបទិន្នន័យរបស់ពួកគេដោយប្រើ AES-256 algorithm។ AWS មិនរក្សាទុកលេខសម្ងាត់ (key) ទេ ហើយអតិថិជនទទួលខុសត្រូវក្នុងការបង្កើតលេខសម្ងាត់ (Key) គ្រប់គ្រងលេខសម្ងាត់ និងរក្សាសុវត្ថិភាពលេខសម្ងាត់។ នៅក្នុងការវាយប្រហារដោយ Codefinger ហេគឃ័របានប្រើអត្តសញ្ញាណ AWS ដែលត្រូវបានខ្លួនបានគ្រប់គ្រង ដើម្បីកំណត់ទីតាំងទុកលេខសម្ងាត់របស់ជនរងគ្រោះជាមួយនឹងសិទ្ធិពិសេស ‘s3:GetObject’ និង ‘s3:PutObject’ ដែលអនុញ្ញាតឱ្យគណនីទាំងនេះអ៊ីគ្រីប Objects នៅក្នុង S3 Buckets តាមរយៈ SSE-C។ បន្ទាប់មក ហេគឃ័របង្កើត Key សម្រាប់អ៊ីនគ្រីបដើម្បីអ៊ីនគ្រីបទិន្នន័យរបស់ក្រុមគោលដៅ។ នៅពេលដែល AWS មិនរក្សាទុក Key សម្រាប់អ៊ីនគ្រីបទាំងនេះ ការសង្គ្រោះទិន្នន័យដោយគ្មានសាររបស់អ្នកវាយប្រហារគឺមិនអាចធ្វើបានទេ ទោះបីជាជនរងគ្រោះរាយការណ៍ពីសកម្មភាពដែលគ្មានការអនុញ្ញាតទៅ Amazon ក៏ដោយ។
Halcyon ពន្យល់ថា តាមរយៈការប្រើសេវាដើម AWS ពួកគេអាចអ៊ីនគ្រីបបានដោយសុវត្ថិភាព និងមិនអាចយកមកវិញបានដោយគ្មានកិច្ចសហប្រតិបត្តិការជាមួយពួកគេទេ។ ក្រោយមក ហេគឃ័របង្កើតគោលការណ៍លុបឯកសាររយៈពេល ៧ថ្ងៃ (a seven-day file deletion policy) ដោយប្រើ S3 Object Lifecycle Management API និងទម្លាក់សារជម្រិតទារប្រាក់នៅលើ Directories ដែលរងប៉ះពាល់ទាំងអស់ និងបានណែនាំជនរងគ្រោះឱ្យបង់ប្រាក់លោះនៅលើអាសយដ្ឋាន Bitcoin ដែលបានផ្តល់ជូនដើម្បីប្តូរនឹង Key AES-256។ ការជម្រិតទារប្រាក់ក៏ព្រមានជនរងគ្រោះថា ប្រសិនបើពួកគេព្យាយាមផ្លាស់ប្តូរការអនុញ្ញាតគណនី ឬកែប្រែឯកសារនៅក្នុង Bucket នោះ ហេគឃ័រនឹងបញ្ចប់ការចរចាដោយទុកឱ្យជនរងគ្រោះមិនអាចទាញយកទិន្នន័យត្រលប់មកវិញ។
ការការពារប្រឆាំងនឹង Codefinger៖ Halcyon បានរាយការណ៍ពីលទ្ធផលរបស់ខ្លួនទៅកាន់ Amazon និងក្រុមហ៊ុនផ្តល់សេវាក្លោដថា ពួកគេខិតខំប្រឹងប្រែងជូនដំណឹងទៅអតិថិជនដែលឃីរបស់ពួកគេត្រូវបានលាតត្រដាង ដូច្នេះពួកគេគួរតែចាត់វិធានការជាបន្ទាន់។ ក្រុមហ៊ុន Amazon ក៏បានលើកទឹកចិត្តអ្នកប្រើប្រាស់ឱ្យអនុវត្ត Protocol សុវត្ថិភាពតឹងរឹង និងអនុវត្តតាមជំហានទាំងនេះដើម្បីដោះស្រាយបញ្ហាសកម្មភាពលួចចូលគណនី AWS ដោយគ្មានការអនុញ្ញាតភ្លាម។ Halcyon ក៏បានស្នើសុំឱ្យ អតិថិជន AWS កំណត់គោលការណ៍ដ៏តឹងរឹង ដែលការពារការប្រើ SSE-C នៅលើ S3 buckets របស់ពួកគេ។ ទាក់ទងនឹង AWS keys ដែលមិនប្រើគួរតែបិទវាចោល ហើយ Key ដែលប្រើគួរតែផ្លាស់ប្តូរឱ្យបានញឹកញាប់ រីឯការអនុញ្ញាតគណនីគួរតែត្រូវបានរក្សាទុកនៅក្នុងកម្រិតអប្បបរមាដែលត្រូវការ។
AWS ជួយអតិថិជនរក្សាសុវត្ថិភាពធនធានក្លោដរបស់ពួកគេតាមរយៈ Model ដែលការទទួលខុសត្រូវ គឺត្រូវបានចែករំលែក។ នៅពេលដែល AWS ដឹងថា Key ត្រូវបានលាតត្រដាង ក្រុមហ៊ុននឹងជូនដំណឹងទៅអតិថិជនដែលរងផលប៉ះពាល់។ ក្រុមហ៊ុនក៏ស៊ើបអង្កេតយ៉ាងហ្មត់ចត់នូវរបាយការណ៍នៃ Key ដែលត្រូវបានលាតត្រដាង និងចាត់វិធានការភ្លាមៗដូចជា ការអនុវត្តគោលការណ៍ដាក់ឱ្យនៅដាច់ពីគេ ដើម្បីកាត់បន្ថយហានិភ័យសម្រាប់អតិថិជនដោយមិនរំខានដល់មជ្ឈដ្ឋាន IT របស់ពួកគេ។ ក្រុមហ៊ុនលើកទឹកចិត្តអតិថិជនទាំងអស់ឱ្យអនុវត្តគោលការណ៍សុវត្ថិភាព អត្តសញ្ញាណ និងអនុលោមតាមការអនុវត្តដ៏ល្អបំផុត។ នៅក្នុងព្រឹត្តិការណ៍ដែលអតិថិជនសង្ស័យថា ពួកគេអាចនឹងបង្ហាញអត្តសញ្ញាណរបស់ពួកគេ ពួកគេអាចចាប់ផ្តើមដោយធ្វើតាមជំហានដែលបានរៀបរាប់នៅក្នុងការបង្ហោះនេះ។ ដូចរាល់ដង អតិថិជនអាចទាក់ទងផ្នែកជំនួយ AWS ជាមួយនឹងសំណួរ ឬកង្វល់អំពីសុវត្ថិភាពគណនីរបស់ពួកគេ។ AWS ផ្តល់នូវសំណុំសមត្ថភាពដ៏សម្បូរបែបដែលលុបបំបាត់តម្រូវការក្នុងការរក្សាទុកព័ត៌មានសម្ងាត់នៅក្នុង Source code ឬនៅក្នុងឯកសារ Configuration។ តួនាទី IAM អនុញ្ញាតឱ្យកម្មវិធីបង្កើតសំណើ API ដែលបានចុះហត្ថលេខាដោយសុវត្ថិភាពពី EC2 Instances, ECS ឬ EKS Containers ឬមុខងារ Lambda ដោយប្រើព័ត៌មានសម្ងាត់រយៈពេលខ្លីដែលត្រូវបានដាក់ឱ្យប្រើដោយស្វ័យប្រវត្តិ។ សូម្បីតែ Compute Nodes ខាងក្រៅ AWS Cloud ក៏អាចធ្វើការហៅចេញដែលផ្ទៀងផ្ទាត់ដោយមិនមានព័ត៌មានបញ្ជាក់ AWS រយៈពេលវែងដោយប្រើមុខងារ Roles Anywhere។ ទីកន្លែងធ្វើការរបស់អ្នកអភិវឌ្ឍប្រើ Identity Center សម្រាប់ទទួលបានព័ត៌មានបញ្ជាក់អត្តសញ្ញាណរយៈពេលខ្លី ដែលគាំទ្រដោយអត្តសញ្ញាណអ្នកប្រើរយៈពេលវែងរបស់ពួកគេដែលត្រូវបានការពារដោយ MFA Tokens។ បច្ចេកវិទ្យាទាំងនេះពឹងផ្អែកលើសេវា AWS Security Token Service (AWS STS) ដើម្បីចេញព័ត៌មានសម្ងាត់សុវត្ថិភាពបណ្តោះអាសន្ន ដែលអាចគ្រប់គ្រងការចូលប្រើប្រាស់ AWS Resources របស់ពួកគេ ដោយមិនចាំបាច់ចែកចាយ ឬបង្កប់នូវព័ត៌មានសម្ងាត់សុវត្ថិភាព AWS យូរអង្វែងនៅក្នុងកម្មវិធីមួយ មិនថាជាកូដ ឬឯការ Configuration files។ សូម្បីតែការចូលប្រើបច្ចេកវិទ្យាដែលមិនមែនជា AWS ក៏អាចត្រូវបានការពារដោយប្រើសេវាគ្រប់គ្រងសម្ងាត់ AWS។ គោលបំណងនៃសេវាកម្មនោះគឺដើម្បីបង្កើត គ្រប់គ្រង ទាញយក និងផ្លាស់ប្តូរអត្តសញ្ញាណ non-AWS ដោយស្វ័យប្រវត្តិដូចមូលដ្ឋានទិន្នន័យឈ្មោះអ្នកប្រើ និងលេខសម្ងាត់ Non-AWS API kyes និងព័ត៌មានសម្ងាត់ផ្សេងទៀតតាមរយៈវត្តជីវិតរបស់ពួកវា បើយោងតាមអ្នកនាំពាក្យ Amazon៕
ប្រភពព័ត៌មាន៖ ប្រភពថ្ងៃទី១៣ ខែមករា ឆ្នាំ២០២៥
