信息來源:51cto
《網(wǎng)絡(luò)犯罪雜志》表示����,到2021年�,全球因數(shù)據(jù)泄露損失將超過60億美元。在這里���,我們將介紹一些2019年最常見的數(shù)據(jù)泄露原因�,并了解如何及時解決這些問題。
錯誤配置的云存儲
很難找到?jīng)]有涉及不受保護的AWS S3存儲�,Elasticsearch或MongoDB的安全事件。一項全球研究表明�����,只有32%的組織認為在云中保護其數(shù)據(jù)是他們自己的責任����。根據(jù)同一份報告��,更糟糕的是�,仍有51%的組織未使用加密來保護云中的敏感數(shù)據(jù)。
有報道稱證實�����,聲稱有99%的云和IaaS錯誤配置屬于最終用戶控制范圍����,并且未被注意。Qualys歐洲�,中東和非洲地區(qū)首席技術(shù)安全官Marco Rottigni,他解釋了這個問題:“一開始,一些最常見的云數(shù)據(jù)庫實現(xiàn)附帶沒有安全性或訪問控制作為標準����。必須故意添加它們,否則很容易錯過���?�!?
據(jù)2019年每個數(shù)據(jù)泄露的全球平均成本392萬美元����,這些發(fā)現(xiàn)令人震驚�。令人遺憾的是,許多網(wǎng)絡(luò)安全和IT專業(yè)人員仍然坦率地認為云提供商負責保護其云中的數(shù)據(jù)�。而且,他們的大多數(shù)假設(shè)都不符合苛刻的法律現(xiàn)實�。
這意味著企業(yè)將是唯一的責任者,要為錯誤配置或廢棄的云存儲以及由此導(dǎo)致的數(shù)據(jù)泄露而負責�����。
未受保護的代碼存儲庫
北卡羅萊納州立大學(xué)(NCSU)的研究發(fā)現(xiàn)�,超過100,000個GitHub存儲庫一直在泄漏秘密API令牌和加密密鑰,并且每天都有成千上萬的新存儲庫公開秘密�����。加拿大銀行業(yè)巨頭豐業(yè)銀行最近成為新聞頭條新聞,據(jù)報道��,該文件在公開開放且可訪問的 GitHub存儲庫中存儲了幾個月的內(nèi)部源代碼�,登錄憑證和訪問密鑰。
第三方(尤其是外部軟件開發(fā)人員)通常是最薄弱的環(huán)節(jié)�。通常,他們的開發(fā)人員缺乏適當保護其代碼所必需的適當培訓(xùn)和安全意識�。他們一次擁有多個項目����,期限緊迫且客戶不耐煩,因此他們忽略或忘記了安全性的基本原理�����,將其代碼置于公共領(lǐng)域��。
網(wǎng)絡(luò)罪犯非常清楚這個數(shù)字漏洞���。專門從事OSINT數(shù)據(jù)發(fā)現(xiàn)的網(wǎng)絡(luò)幫派會以連續(xù)模式精心抓取現(xiàn)有和新的代碼存儲庫�����,并小心地廢棄數(shù)據(jù)�����。一旦發(fā)現(xiàn)有價值的東西�����,就將其出售給專注于利用和進攻性行動的網(wǎng)絡(luò)幫派���。
鑒于此類入侵很少會在異常檢測系統(tǒng)中觸發(fā)任何危險信號�����,因此一旦為時已晚����,便不會引起注意或檢測到它們��。更糟糕的是�����,對此類入侵的調(diào)查成本很高��,幾乎是毫無根據(jù)的。許多著名的APT攻擊都涉及使用代碼存儲庫中的憑據(jù)進行的密碼重用攻擊�。
脆弱的開源軟件
在企業(yè)系統(tǒng)中,開源軟件(OSS)的迅速擴散通過向游戲中添加更多未知數(shù)而加劇了網(wǎng)絡(luò)威脅的態(tài)勢��。ImmuniWeb的最新報告發(fā)現(xiàn)�,在100家較大的銀行中,有97家是脆弱的�,并且Web和移動應(yīng)用程序的編碼不佳,到處都是過時且脆弱的開源組件���,庫和框架�。自2011年以來����,已知的最古老的未修補漏洞已廣為人知并公開披露�。
OSS確實為開發(fā)人員節(jié)省了很多時間,并為組織節(jié)省了資金��,但同樣也提供了各種各樣的伴隨而又被大大低估的風險����。很少有組織能夠正確地跟蹤和維護無數(shù)的OSS及其內(nèi)置于企業(yè)軟件中的組件的清單。因此���,在野外積極利用新發(fā)現(xiàn)的OSS安全漏洞時��,他們由于不知情而蒙蔽了眼睛�,成為未知未知數(shù)的受害者。
如今�����,大中型組織在應(yīng)用程序安全性方面進行了增量投資����,特別是在DevSecOps和Shift Left測試的實施方面。但是����,要實施Shift Left測試,必須全面了解OSS的最新清單���。
如何預(yù)防和補救
請遵循以下五個建議�,以節(jié)省成本的方式降低風險:
1.維護數(shù)字資產(chǎn)(SSL證書)的最新和整體清單
軟件����,硬件,數(shù)據(jù)�����,用戶和許可證應(yīng)得到持續(xù)監(jiān)控,分類和風險評分�����。在公共云����,容器,代碼存儲庫�,文件共享服務(wù)和外包的時代,這不是一件容易的事���,但是如果沒有它���,可能會破壞網(wǎng)絡(luò)安全工作的完整性并否定以前的所有網(wǎng)絡(luò)安全投資����。
2.監(jiān)控外部攻擊面和風險暴露
很多組織無視他們可從Internet訪問的眾多過時,遺棄或只是未知的系統(tǒng)��,而將錢花在輔助甚至理論風險上�。這些影子資產(chǎn)是網(wǎng)絡(luò)犯罪分子垂涎的果實�����。攻擊者聰明而務(wù)實���。如果他們能夠通過一條被遺忘的地下隧道悄悄進入,因此����,請確保對外部攻擊有連續(xù)不斷的了解。
3.保持軟件更新����,實施補丁程序管理和自動補丁程序
大多數(shù)成功的攻擊并不涉及使用復(fù)雜且成本高昂的0day,而是公開披露的漏洞����,通常可通過有效利用利用�����。黑客會系統(tǒng)地搜索防御領(lǐng)域中最薄弱的環(huán)節(jié)以進入����,甚至是一個很小的過時的JS庫也可能是您獲得意外之財����。為您的所有系統(tǒng)和應(yīng)用程序?qū)嵤?��,測試和監(jiān)視強大的補丁程序管理系統(tǒng)���。
4.根據(jù)風險和威脅確定測試和補救工作的優(yōu)先級
一旦可以清楚地看到數(shù)字資產(chǎn)并正確實施了補丁程序管理策略,就可以確保一切正常����。為所有外部資產(chǎn)部署連續(xù)的安全監(jiān)控,進行深入測試��,包括對關(guān)鍵業(yè)務(wù)Web應(yīng)用程序和API的滲透測試���。通過快速通知設(shè)置監(jiān)視任何異常��。
5.密切關(guān)注Dark Web并監(jiān)視數(shù)據(jù)泄漏
大多數(shù)企業(yè)不知道在被黑客入侵的第三方網(wǎng)站和服務(wù)中暴露了多少公司帳戶在Dark Web上被出售�����。密碼重用和暴力攻擊的成功源于此。更糟糕的是,即使像Pastebin這樣的合法網(wǎng)站也經(jīng)常暴露出每個人都可以訪問的大量泄漏�����,被盜或丟失的數(shù)據(jù)�。持續(xù)監(jiān)視和分析這些事件可能節(jié)省數(shù)百萬美元,最重要的是��,可以節(jié)省聲譽和商譽�����。
還有一些小點子:
1.快速發(fā)現(xiàn)您的外部數(shù)字資產(chǎn)�,包括API,云存儲和物聯(lián)網(wǎng)
2.對應(yīng)用程序的可入侵性和吸引力進行可行的�,數(shù)據(jù)驅(qū)動的安全性評級
3.持續(xù)監(jiān)視公共代碼存儲庫中未受保護或泄漏的源代碼
4.持續(xù)監(jiān)控Dark Web是否暴露了憑據(jù)和其他敏感數(shù)據(jù)
5.Web和移動應(yīng)用程序的安全生產(chǎn)軟件組成分析
6.關(guān)于域名和SSL證書即將過期的即時警報
7.通過API與SIEM和其他安全系統(tǒng)集成
我們希望所有的企業(yè)都能避免在2020年成為數(shù)據(jù)泄露的受害者!
