信息來(lái)源:51cto
《網(wǎng)絡(luò)犯罪雜志》表示,到2021年,全球因數(shù)據(jù)泄露損失將超過(guò)60億美元。在這里,我們將介紹一些2019年最常見(jiàn)的數(shù)據(jù)泄露原因,并了解如何及時(shí)解決這些問(wèn)題。
錯(cuò)誤配置的云存儲(chǔ)
很難找到?jīng)]有涉及不受保護(hù)的AWS S3存儲(chǔ),Elasticsearch或MongoDB的安全事件。一項(xiàng)全球研究表明,只有32%的組織認(rèn)為在云中保護(hù)其數(shù)據(jù)是他們自己的責(zé)任。根據(jù)同一份報(bào)告,更糟糕的是,仍有51%的組織未使用加密來(lái)保護(hù)云中的敏感數(shù)據(jù)。
有報(bào)道稱(chēng)證實(shí),聲稱(chēng)有99%的云和IaaS錯(cuò)誤配置屬于最終用戶(hù)控制范圍,并且未被注意。Qualys歐洲,中東和非洲地區(qū)首席技術(shù)安全官M(fèi)arco Rottigni,他解釋了這個(gè)問(wèn)題:“一開(kāi)始,一些最常見(jiàn)的云數(shù)據(jù)庫(kù)實(shí)現(xiàn)附帶沒(méi)有安全性或訪(fǎng)問(wèn)控制作為標(biāo)準(zhǔn)。必須故意添加它們,否則很容易錯(cuò)過(guò)?!?
據(jù)2019年每個(gè)數(shù)據(jù)泄露的全球平均成本392萬(wàn)美元,這些發(fā)現(xiàn)令人震驚。令人遺憾的是,許多網(wǎng)絡(luò)安全和IT專(zhuān)業(yè)人員仍然坦率地認(rèn)為云提供商負(fù)責(zé)保護(hù)其云中的數(shù)據(jù)。而且,他們的大多數(shù)假設(shè)都不符合苛刻的法律現(xiàn)實(shí)。
這意味著企業(yè)將是唯一的責(zé)任者,要為錯(cuò)誤配置或廢棄的云存儲(chǔ)以及由此導(dǎo)致的數(shù)據(jù)泄露而負(fù)責(zé)。
未受保護(hù)的代碼存儲(chǔ)庫(kù)
北卡羅萊納州立大學(xué)(NCSU)的研究發(fā)現(xiàn),超過(guò)100,000個(gè)GitHub存儲(chǔ)庫(kù)一直在泄漏秘密API令牌和加密密鑰,并且每天都有成千上萬(wàn)的新存儲(chǔ)庫(kù)公開(kāi)秘密。加拿大銀行業(yè)巨頭豐業(yè)銀行最近成為新聞?lì)^條新聞,據(jù)報(bào)道,該文件在公開(kāi)開(kāi)放且可訪(fǎng)問(wèn)的 GitHub存儲(chǔ)庫(kù)中存儲(chǔ)了幾個(gè)月的內(nèi)部源代碼,登錄憑證和訪(fǎng)問(wèn)密鑰。
第三方(尤其是外部軟件開(kāi)發(fā)人員)通常是最薄弱的環(huán)節(jié)。通常,他們的開(kāi)發(fā)人員缺乏適當(dāng)保護(hù)其代碼所必需的適當(dāng)培訓(xùn)和安全意識(shí)。他們一次擁有多個(gè)項(xiàng)目,期限緊迫且客戶(hù)不耐煩,因此他們忽略或忘記了安全性的基本原理,將其代碼置于公共領(lǐng)域。
網(wǎng)絡(luò)罪犯非常清楚這個(gè)數(shù)字漏洞。專(zhuān)門(mén)從事OSINT數(shù)據(jù)發(fā)現(xiàn)的網(wǎng)絡(luò)幫派會(huì)以連續(xù)模式精心抓取現(xiàn)有和新的代碼存儲(chǔ)庫(kù),并小心地廢棄數(shù)據(jù)。一旦發(fā)現(xiàn)有價(jià)值的東西,就將其出售給專(zhuān)注于利用和進(jìn)攻性行動(dòng)的網(wǎng)絡(luò)幫派。
鑒于此類(lèi)入侵很少會(huì)在異常檢測(cè)系統(tǒng)中觸發(fā)任何危險(xiǎn)信號(hào),因此一旦為時(shí)已晚,便不會(huì)引起注意或檢測(cè)到它們。更糟糕的是,對(duì)此類(lèi)入侵的調(diào)查成本很高,幾乎是毫無(wú)根據(jù)的。許多著名的APT攻擊都涉及使用代碼存儲(chǔ)庫(kù)中的憑據(jù)進(jìn)行的密碼重用攻擊。
脆弱的開(kāi)源軟件
在企業(yè)系統(tǒng)中,開(kāi)源軟件(OSS)的迅速擴(kuò)散通過(guò)向游戲中添加更多未知數(shù)而加劇了網(wǎng)絡(luò)威脅的態(tài)勢(shì)。ImmuniWeb的最新報(bào)告發(fā)現(xiàn),在100家較大的銀行中,有97家是脆弱的,并且Web和移動(dòng)應(yīng)用程序的編碼不佳,到處都是過(guò)時(shí)且脆弱的開(kāi)源組件,庫(kù)和框架。自2011年以來(lái),已知的最古老的未修補(bǔ)漏洞已廣為人知并公開(kāi)披露。
OSS確實(shí)為開(kāi)發(fā)人員節(jié)省了很多時(shí)間,并為組織節(jié)省了資金,但同樣也提供了各種各樣的伴隨而又被大大低估的風(fēng)險(xiǎn)。很少有組織能夠正確地跟蹤和維護(hù)無(wú)數(shù)的OSS及其內(nèi)置于企業(yè)軟件中的組件的清單。因此,在野外積極利用新發(fā)現(xiàn)的OSS安全漏洞時(shí),他們由于不知情而蒙蔽了眼睛,成為未知未知數(shù)的受害者。
如今,大中型組織在應(yīng)用程序安全性方面進(jìn)行了增量投資,特別是在DevSecOps和Shift Left測(cè)試的實(shí)施方面。但是,要實(shí)施Shift Left測(cè)試,必須全面了解OSS的最新清單。
如何預(yù)防和補(bǔ)救
請(qǐng)遵循以下五個(gè)建議,以節(jié)省成本的方式降低風(fēng)險(xiǎn):
1.維護(hù)數(shù)字資產(chǎn)(SSL證書(shū))的最新和整體清單
軟件,硬件,數(shù)據(jù),用戶(hù)和許可證應(yīng)得到持續(xù)監(jiān)控,分類(lèi)和風(fēng)險(xiǎn)評(píng)分。在公共云,容器,代碼存儲(chǔ)庫(kù),文件共享服務(wù)和外包的時(shí)代,這不是一件容易的事,但是如果沒(méi)有它,可能會(huì)破壞網(wǎng)絡(luò)安全工作的完整性并否定以前的所有網(wǎng)絡(luò)安全投資。
2.監(jiān)控外部攻擊面和風(fēng)險(xiǎn)暴露
很多組織無(wú)視他們可從Internet訪(fǎng)問(wèn)的眾多過(guò)時(shí),遺棄或只是未知的系統(tǒng),而將錢(qián)花在輔助甚至理論風(fēng)險(xiǎn)上。這些影子資產(chǎn)是網(wǎng)絡(luò)犯罪分子垂涎的果實(shí)。攻擊者聰明而務(wù)實(shí)。如果他們能夠通過(guò)一條被遺忘的地下隧道悄悄進(jìn)入,因此,請(qǐng)確保對(duì)外部攻擊有連續(xù)不斷的了解。
3.保持軟件更新,實(shí)施補(bǔ)丁程序管理和自動(dòng)補(bǔ)丁程序
大多數(shù)成功的攻擊并不涉及使用復(fù)雜且成本高昂的0day,而是公開(kāi)披露的漏洞,通??赏ㄟ^(guò)有效利用利用。黑客會(huì)系統(tǒng)地搜索防御領(lǐng)域中最薄弱的環(huán)節(jié)以進(jìn)入,甚至是一個(gè)很小的過(guò)時(shí)的JS庫(kù)也可能是您獲得意外之財(cái)。為您的所有系統(tǒng)和應(yīng)用程序?qū)嵤?,測(cè)試和監(jiān)視強(qiáng)大的補(bǔ)丁程序管理系統(tǒng)。
4.根據(jù)風(fēng)險(xiǎn)和威脅確定測(cè)試和補(bǔ)救工作的優(yōu)先級(jí)
一旦可以清楚地看到數(shù)字資產(chǎn)并正確實(shí)施了補(bǔ)丁程序管理策略,就可以確保一切正常。為所有外部資產(chǎn)部署連續(xù)的安全監(jiān)控,進(jìn)行深入測(cè)試,包括對(duì)關(guān)鍵業(yè)務(wù)Web應(yīng)用程序和API的滲透測(cè)試。通過(guò)快速通知設(shè)置監(jiān)視任何異常。
5.密切關(guān)注Dark Web并監(jiān)視數(shù)據(jù)泄漏
大多數(shù)企業(yè)不知道在被黑客入侵的第三方網(wǎng)站和服務(wù)中暴露了多少公司帳戶(hù)在Dark Web上被出售。密碼重用和暴力攻擊的成功源于此。更糟糕的是,即使像Pastebin這樣的合法網(wǎng)站也經(jīng)常暴露出每個(gè)人都可以訪(fǎng)問(wèn)的大量泄漏,被盜或丟失的數(shù)據(jù)。持續(xù)監(jiān)視和分析這些事件可能節(jié)省數(shù)百萬(wàn)美元,最重要的是,可以節(jié)省聲譽(yù)和商譽(yù)。
還有一些小點(diǎn)子:
1.快速發(fā)現(xiàn)您的外部數(shù)字資產(chǎn),包括API,云存儲(chǔ)和物聯(lián)網(wǎng)
2.對(duì)應(yīng)用程序的可入侵性和吸引力進(jìn)行可行的,數(shù)據(jù)驅(qū)動(dòng)的安全性評(píng)級(jí)
3.持續(xù)監(jiān)視公共代碼存儲(chǔ)庫(kù)中未受保護(hù)或泄漏的源代碼
4.持續(xù)監(jiān)控Dark Web是否暴露了憑據(jù)和其他敏感數(shù)據(jù)
5.Web和移動(dòng)應(yīng)用程序的安全生產(chǎn)軟件組成分析
6.關(guān)于域名和SSL證書(shū)即將過(guò)期的即時(shí)警報(bào)
7.通過(guò)API與SIEM和其他安全系統(tǒng)集成
我們希望所有的企業(yè)都能避免在2020年成為數(shù)據(jù)泄露的受害者!