最近，我在以前的一篇文章中讨论了颇具争议的安全公司Wiz。在那篇文章中，我只是简单地提到了 Wiz与另一家名为 Orca 的安全公司之间的纠纷，而现在Wiz的安全产品又揭示了一个耐人寻味的秘密。

在这起证据充分的诉讼中，Orca声称Wiz非法盗用了他们从专利到营销策略等各个领域的概念。为了提供一些背景情况，诉状以Orca创始人与微软云安全团队会面并介绍其创新理念的事件开始。随后，微软云安全团队的成员离开微软，成立了一家竞争公司，直接利用这些理念，从而与Orca形成竞争。 （更多内容，请点击喵站此前报道：公开互撕！两个云安全独角兽掐架是什么世纪大场面？）

乍一看，这似乎很大胆、很明显，但我们必须了解其背景。我们现在谈论的是一个由以色列前军事情报人员组成的紧密团体，他们在民用市场迅速赢得了声誉，因为他们采用了非常激进和不公平的竞争策略，更类似于战时间谍活动。

说到间谍活动，Orca的投诉最近进行了修改，提供了一些证据，证明Wiz似乎有意使用不安全的快照扫描架构从客户那里偷取数据。 

云管理中的一个常见做法是为客户工作负载拍摄快照，以创建备份或促进灾难恢复。保持云快照的私密性至关重要，这一点怎么强调都不为过。所谓的安全供应商绝对不应该获取您的工作负载快照，并将其读取到其他地方，尤其是以关心您隐私的名义。

杰弗里-里切尔森（Jeffrey Richelson）在2001年撰写的《兰利的奇才》（The Wizards of Langley）一书中记录了耗资1000万美元的 "声猫"（Acoustic Kitty）项目。一家新成立的安全公司为自己取名为 "Wiz奇才"，自诩为间谍出身，似乎无人能及。

在我看来，这简直就是间谍活动。但我想得太远了。

云快照本质上是虚拟机（VM）的快速时间点副本，它捕获了整个工作负载的状态。它拥有特定时刻的数据、配置和存储。通常情况下，这样就可以将工作负载恢复到准确的状态，从而彻底改变备份和恢复工作。快照很快成为许多用途不可或缺的工具，包括测试、迁移以及帮助实现业务连续性、灾难恢复和减少停机时间。 

快照，顾名思义，可能包含各种敏感信息，包括专有数据、知识产权或客户记录。将快照暴露给第三方供应商会带来未经授权访问或数据泄露的巨大风险。鉴于许多行业和地区都有严格的数据隐私和安全法规，将快照传输给外部供应商的想法很可能会导致违反合规性规定和法律后果。 

联邦贸易委员会，你在听吗？ 

那么，为什么 Wiz 会想到将快照移动到他们的云账户中呢？这是个可怕的想法，完全没有必要，违反了基本的安全规定。然而，9月15日新的Orca修正诉状第46页就有这样的内容。

• 扫描配置：云取件利用云提供商API生成扫描磁盘列表，并发送给Wiz工作负载扫描仪。
• 创建快照：在专用账户中运行的工作负载扫描仪会创建快照并与扫描仪群集共享。创建的这些快照带有 "wiz:auto-gen-snapshot "标签，以帮助识别它们。
• 快照扫描：将快照映射为只读卷并进行扫描。扫描结果包括软件包、漏洞和错误配置的元数据，并发送到后台。
• 清理：从客户租户中删除快照。

请注意右下角的流程，Wiz在这里获取快照，然后将其从客户环境中剥离。

资料来源证据 ：Orca 诉 Wiz 案修正原告证据 2023-09-15

Orca的投诉指出了这里的一个营销细节。显然，他们在推销和发展自己的技术时，使用了这样一个概念：他们的扫描仪可以像核磁共振成像扫描人体一样扫描云计算机器。 

Orca很早就意识到，其云原生方法可以类比医学核磁共振成像，提供云环境的完整模型，而不会对其产生任何影响。早期的Orca营销材料指出“医疗核磁共振成像是一个恰当的比喻。这种成像不是用针和手术刀探查身体内部，而是通过带外方法获得内部器官和组织的详细图像。人的身体从未被触及”。

申诉书第10页称，Wiz 随后几乎一字不差地将Orca的MRI语言复制到自己的营销中。

就像核磁共振成像在不影响人体本身的情况下对人体进行三维扫描一样，快照扫描在不影响或中断实时工作量的情况下对工作量进行深入分析。

除了偷窃市场营销之外，问题似乎还在于Wiz文档中还说快照 “始终保留在客户租户内”，但他们的架构却表明事实并非如此：“共享快照”被读入Wiz云账户，不受客户控制。 

如果你相信Wiz自己的话，他们就不会“始终保持在内部”，因为他们对微软的私钥被配置为可被拥有该私钥的人以外的其他人读取而上蹿下跳、大喊大叫。别开玩笑了，Wiz再兴奋不过地告诉全世界微软被“攻破”了，但在他们自己的文档中，他们似乎把安全漏洞设计成了产品架构的固有问题。

相比之下，Orca文档中有一个非常重要的声明，其内容基本上与Wiz完全相反。 

请注意，为了安全起见，这些快照只能通过您的账户访问。

再看投诉中的Wiz文档，似乎 Wiz 创建了一个快照流程，设置了从客户账户之外的访问。他们刚刚基于过高的权限建立了一个全新的云扫描帝国，怎么会对微软——他们的前雇主，在云中过高的权限如此不满呢？

安全供应商，无论信誉如何（无论他们是否自称为不可触碰的“Wiz”ards），本质上都不安全，当然，他们自己也可能成为攻击目标。它们对快照的处理增加了攻击面和潜在漏洞的风险。 

此外，数据还受所在国家或地区法律法规的约束。Wiz移动快照可能意味着它们“莫名其妙”地出现在以色列，而以色列有不同的规定，这就给合规性带来了挑战。 

我说的“可能”是什么意思？ 

请阅读Orca 的投诉全文，其中记录了Wiz公司是如何从一种玩世不恭的法外军事间谍文化中建立起来的，这种文化甚至超出了工业盗窃的范畴。 

然后扪心自问，为什么他们的架构据称是为窃取客户快照数据而构建的......

我知道时下流行的说法是云安全意味着瞬息万变的环境，但实际上，我们十年前出版的《确保虚拟环境的安全：如何保护企业免受攻击》一书中提出的原则仍然是我们坚定不移的基石。保护客户工作负载和数据是重中之重，因此我们明确建议不要将快照转移给第三方安全供应商。要保持快照的私密性，对其进行严格的访问控制，这样才能监控快照活动，确保符合法规、法律和安全策略。

---

原文链接：https://www.flyingpenguin.com/?p=51164

最强搜索引擎上线

往期回顾

对OWASP TOP 10 榜单的五!大!质!疑!

TOP100网安热词｜围观媒体报道中的热门词汇

MSSP巨头意图收购SOAR明星厂商，获得自动化和AI加持

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

点击阅读原文，体验网安最强搜索引擎

原文始发于微信公众号（安全喵喵站）：大瓜！WIZ 的“MRI”快照架构是否侵犯了客户隐私？