信息來(lái)源:51cto
《網(wǎng)絡(luò)犯罪雜志》表示��,到2021年,全球因數(shù)據(jù)泄露損失將超過(guò)60億美元�。在這里��,我們將介紹一些2019年最常見(jiàn)的數(shù)據(jù)泄露原因���,并了解如何及時(shí)解決這些問(wèn)題���。
錯(cuò)誤配置的云存儲(chǔ)
很難找到?jīng)]有涉及不受保護(hù)的AWS S3存儲(chǔ)�����,Elasticsearch或MongoDB的安全事件��。一項(xiàng)全球研究表明��,只有32%的組織認(rèn)為在云中保護(hù)其數(shù)據(jù)是他們自己的責(zé)任��。根據(jù)同一份報(bào)告�,更糟糕的是����,仍有51%的組織未使用加密來(lái)保護(hù)云中的敏感數(shù)據(jù)。
有報(bào)道稱證實(shí)����,聲稱有99%的云和IaaS錯(cuò)誤配置屬于最終用戶控制范圍,并且未被注意����。Qualys歐洲�����,中東和非洲地區(qū)首席技術(shù)安全官M(fèi)arco Rottigni��,他解釋了這個(gè)問(wèn)題:“一開始�,一些最常見(jiàn)的云數(shù)據(jù)庫(kù)實(shí)現(xiàn)附帶沒(méi)有安全性或訪問(wèn)控制作為標(biāo)準(zhǔn)����。必須故意添加它們,否則很容易錯(cuò)過(guò)�����?��!?
據(jù)2019年每個(gè)數(shù)據(jù)泄露的全球平均成本392萬(wàn)美元�����,這些發(fā)現(xiàn)令人震驚����。令人遺憾的是���,許多網(wǎng)絡(luò)安全和IT專業(yè)人員仍然坦率地認(rèn)為云提供商負(fù)責(zé)保護(hù)其云中的數(shù)據(jù)����。而且�����,他們的大多數(shù)假設(shè)都不符合苛刻的法律現(xiàn)實(shí)�。
這意味著企業(yè)將是唯一的責(zé)任者,要為錯(cuò)誤配置或廢棄的云存儲(chǔ)以及由此導(dǎo)致的數(shù)據(jù)泄露而負(fù)責(zé)�。
未受保護(hù)的代碼存儲(chǔ)庫(kù)
北卡羅萊納州立大學(xué)(NCSU)的研究發(fā)現(xiàn),超過(guò)100,000個(gè)GitHub存儲(chǔ)庫(kù)一直在泄漏秘密API令牌和加密密鑰����,并且每天都有成千上萬(wàn)的新存儲(chǔ)庫(kù)公開秘密。加拿大銀行業(yè)巨頭豐業(yè)銀行最近成為新聞?lì)^條新聞����,據(jù)報(bào)道,該文件在公開開放且可訪問(wèn)的 GitHub存儲(chǔ)庫(kù)中存儲(chǔ)了幾個(gè)月的內(nèi)部源代碼��,登錄憑證和訪問(wèn)密鑰�。
第三方(尤其是外部軟件開發(fā)人員)通常是最薄弱的環(huán)節(jié)。通常��,他們的開發(fā)人員缺乏適當(dāng)保護(hù)其代碼所必需的適當(dāng)培訓(xùn)和安全意識(shí)。他們一次擁有多個(gè)項(xiàng)目����,期限緊迫且客戶不耐煩,因此他們忽略或忘記了安全性的基本原理����,將其代碼置于公共領(lǐng)域。
網(wǎng)絡(luò)罪犯非常清楚這個(gè)數(shù)字漏洞�����。專門從事OSINT數(shù)據(jù)發(fā)現(xiàn)的網(wǎng)絡(luò)幫派會(huì)以連續(xù)模式精心抓取現(xiàn)有和新的代碼存儲(chǔ)庫(kù)����,并小心地廢棄數(shù)據(jù)。一旦發(fā)現(xiàn)有價(jià)值的東西�����,就將其出售給專注于利用和進(jìn)攻性行動(dòng)的網(wǎng)絡(luò)幫派���。
鑒于此類入侵很少會(huì)在異常檢測(cè)系統(tǒng)中觸發(fā)任何危險(xiǎn)信號(hào)��,因此一旦為時(shí)已晚����,便不會(huì)引起注意或檢測(cè)到它們�����。更糟糕的是�����,對(duì)此類入侵的調(diào)查成本很高���,幾乎是毫無(wú)根據(jù)的���。許多著名的APT攻擊都涉及使用代碼存儲(chǔ)庫(kù)中的憑據(jù)進(jìn)行的密碼重用攻擊。
脆弱的開源軟件
在企業(yè)系統(tǒng)中���,開源軟件(OSS)的迅速擴(kuò)散通過(guò)向游戲中添加更多未知數(shù)而加劇了網(wǎng)絡(luò)威脅的態(tài)勢(shì)��。ImmuniWeb的最新報(bào)告發(fā)現(xiàn)�,在100家較大的銀行中����,有97家是脆弱的�,并且Web和移動(dòng)應(yīng)用程序的編碼不佳��,到處都是過(guò)時(shí)且脆弱的開源組件�,庫(kù)和框架。自2011年以來(lái)����,已知的最古老的未修補(bǔ)漏洞已廣為人知并公開披露。
OSS確實(shí)為開發(fā)人員節(jié)省了很多時(shí)間�����,并為組織節(jié)省了資金�,但同樣也提供了各種各樣的伴隨而又被大大低估的風(fēng)險(xiǎn)。很少有組織能夠正確地跟蹤和維護(hù)無(wú)數(shù)的OSS及其內(nèi)置于企業(yè)軟件中的組件的清單�。因此,在野外積極利用新發(fā)現(xiàn)的OSS安全漏洞時(shí)����,他們由于不知情而蒙蔽了眼睛,成為未知未知數(shù)的受害者���。
如今��,大中型組織在應(yīng)用程序安全性方面進(jìn)行了增量投資�����,特別是在DevSecOps和Shift Left測(cè)試的實(shí)施方面�。但是�����,要實(shí)施Shift Left測(cè)試�,必須全面了解OSS的最新清單。
如何預(yù)防和補(bǔ)救
請(qǐng)遵循以下五個(gè)建議�,以節(jié)省成本的方式降低風(fēng)險(xiǎn):
1.維護(hù)數(shù)字資產(chǎn)(SSL證書)的最新和整體清單
軟件,硬件���,數(shù)據(jù)��,用戶和許可證應(yīng)得到持續(xù)監(jiān)控�,分類和風(fēng)險(xiǎn)評(píng)分�����。在公共云�����,容器,代碼存儲(chǔ)庫(kù)���,文件共享服務(wù)和外包的時(shí)代����,這不是一件容易的事����,但是如果沒(méi)有它,可能會(huì)破壞網(wǎng)絡(luò)安全工作的完整性并否定以前的所有網(wǎng)絡(luò)安全投資���。
2.監(jiān)控外部攻擊面和風(fēng)險(xiǎn)暴露
很多組織無(wú)視他們可從Internet訪問(wèn)的眾多過(guò)時(shí)���,遺棄或只是未知的系統(tǒng),而將錢花在輔助甚至理論風(fēng)險(xiǎn)上����。這些影子資產(chǎn)是網(wǎng)絡(luò)犯罪分子垂涎的果實(shí)。攻擊者聰明而務(wù)實(shí)�。如果他們能夠通過(guò)一條被遺忘的地下隧道悄悄進(jìn)入,因此����,請(qǐng)確保對(duì)外部攻擊有連續(xù)不斷的了解��。
3.保持軟件更新����,實(shí)施補(bǔ)丁程序管理和自動(dòng)補(bǔ)丁程序
大多數(shù)成功的攻擊并不涉及使用復(fù)雜且成本高昂的0day���,而是公開披露的漏洞�����,通?�?赏ㄟ^(guò)有效利用利用���。黑客會(huì)系統(tǒng)地搜索防御領(lǐng)域中最薄弱的環(huán)節(jié)以進(jìn)入,甚至是一個(gè)很小的過(guò)時(shí)的JS庫(kù)也可能是您獲得意外之財(cái)�。為您的所有系統(tǒng)和應(yīng)用程序?qū)嵤瑴y(cè)試和監(jiān)視強(qiáng)大的補(bǔ)丁程序管理系統(tǒng)��。
4.根據(jù)風(fēng)險(xiǎn)和威脅確定測(cè)試和補(bǔ)救工作的優(yōu)先級(jí)
一旦可以清楚地看到數(shù)字資產(chǎn)并正確實(shí)施了補(bǔ)丁程序管理策略�,就可以確保一切正常�。為所有外部資產(chǎn)部署連續(xù)的安全監(jiān)控,進(jìn)行深入測(cè)試��,包括對(duì)關(guān)鍵業(yè)務(wù)Web應(yīng)用程序和API的滲透測(cè)試��。通過(guò)快速通知設(shè)置監(jiān)視任何異常��。
5.密切關(guān)注Dark Web并監(jiān)視數(shù)據(jù)泄漏
大多數(shù)企業(yè)不知道在被黑客入侵的第三方網(wǎng)站和服務(wù)中暴露了多少公司帳戶在Dark Web上被出售�。密碼重用和暴力攻擊的成功源于此����。更糟糕的是����,即使像Pastebin這樣的合法網(wǎng)站也經(jīng)常暴露出每個(gè)人都可以訪問(wèn)的大量泄漏,被盜或丟失的數(shù)據(jù)���。持續(xù)監(jiān)視和分析這些事件可能節(jié)省數(shù)百萬(wàn)美元��,最重要的是,可以節(jié)省聲譽(yù)和商譽(yù)���。
還有一些小點(diǎn)子:
1.快速發(fā)現(xiàn)您的外部數(shù)字資產(chǎn)���,包括API��,云存儲(chǔ)和物聯(lián)網(wǎng)
2.對(duì)應(yīng)用程序的可入侵性和吸引力進(jìn)行可行的,數(shù)據(jù)驅(qū)動(dòng)的安全性評(píng)級(jí)
3.持續(xù)監(jiān)視公共代碼存儲(chǔ)庫(kù)中未受保護(hù)或泄漏的源代碼
4.持續(xù)監(jiān)控Dark Web是否暴露了憑據(jù)和其他敏感數(shù)據(jù)
5.Web和移動(dòng)應(yīng)用程序的安全生產(chǎn)軟件組成分析
6.關(guān)于域名和SSL證書即將過(guò)期的即時(shí)警報(bào)
7.通過(guò)API與SIEM和其他安全系統(tǒng)集成
我們希望所有的企業(yè)都能避免在2020年成為數(shù)據(jù)泄露的受害者!
