作者：The Hacker News 譯者：Sambodhi 來源：InfoQ

近年來，大規(guī)模數(shù)據(jù)泄露事件層出不窮，不斷引發(fā)社會各界對網(wǎng)絡(luò)安全的擔(dān)憂。2019 年還剩兩個月就過去了，但網(wǎng)絡(luò)上一點也不安生，“數(shù)據(jù)泄露”的字眼總是活躍在我們眼前，全球各地深受數(shù)據(jù)泄露事件的困擾，這已造成數(shù)以萬計的損失。The Hacker News 作為一家領(lǐng)先的、受信任的、被廣泛認可的網(wǎng)絡(luò)安全專業(yè)新聞平臺，為我們提供了如何避免數(shù)據(jù)泄露的思路。

 

 

未受保護的 IT 基礎(chǔ)設(shè)施的代價是什么?Cybercrime Magazine 稱，到 2021 年，全球損失將超過 60 億美元。

在本文中，我們將分析 2019 年數(shù)據(jù)泄露的一些最常見和新出現(xiàn)的原因，并了解如何及時解決這些問題。

錯誤的云存儲配置

很難找到這樣的一天：不涉及未受保護的 AWS S3 存儲、Elasticsearch 或 MongoDB 的安全事件。

Thales 和 Ponemon Institute 的一項全球研究表明，只有 32% 的組織認為保護云端中的數(shù)據(jù)是他們自己的責(zé)任。根據(jù)同一份報告，更糟糕的是，還有 51% 的組織仍然沒有使用加密或令牌化來保護云端中的敏感數(shù)據(jù)。

McAfee 證實，聲稱 99% 的云端和 IaaS 錯誤配置都在終端用戶的控制范圍內(nèi)，并且仍然未被注意到。 Qualys EMEA 首席技術(shù)安全官 Macro Rottigni 就此問題解釋說：“一些最常見的云數(shù)據(jù)庫實現(xiàn)，一開始就沒有將安全性或訪問控制作為標準。必須有意識添加這些，可是這很容易被人為忽略。”

譯注：EMEA 為 Europe, the Middle East and Africa 的首字母縮寫，為歐洲、中東、非洲三地區(qū)的合稱，通常是用作政府行政或商業(yè)上的區(qū)域劃分方式。這種用法較常見于北美洲的企業(yè)。

2019 年，全球每次數(shù)據(jù)泄露的平均成本高達 392 萬美元，這些發(fā)現(xiàn)相當令人震驚。遺憾的是，許多網(wǎng)絡(luò)安全和 IT 專業(yè)人士仍然坦率地認為，云計算供應(yīng)商有責(zé)任保護他們在云端中的數(shù)據(jù)。然而不幸的是，他們的大多數(shù)假設(shè)都不符合苛刻的法律現(xiàn)實。

幾乎所有主要的云計算和 IaaS 服務(wù)提供商，都有經(jīng)驗豐富的律師事務(wù)所來起草一份無懈可擊的合同，讓你無法在法庭上更改或者否定這份合同。這份合同“白紙黑字”明確地規(guī)定，大多數(shù)事故的財務(wù)責(zé)任由客戶承擔(dān)，并為其他所有事項確立了有限責(zé)任，通常以幾分錢來計算。

 

 

大多數(shù)中小型企業(yè)甚至都沒有仔細閱讀過這些條款，雖然在大型組織中，法律顧問會審查這些條款，但這些顧問往往與 IT 團隊脫節(jié)。盡管如此，人們很難就更好的條件進行談判，否則，云計算業(yè)務(wù)將變得如此危險、無利可圖，以至于它會很快消失。這意味著你將成為唯一一個因錯誤配置或放棄云存儲以及由此導(dǎo)致的數(shù)據(jù)泄露而受到責(zé)罰的實體。

未受保護的代碼存儲庫

北卡羅來納州立大學(xué)(NCSU)的研究發(fā)現(xiàn)，超過 100000 個 GitHub 存儲庫一直在泄漏秘密的 API 令牌和密鑰，每天都有數(shù)以千計的新存儲庫泄密。

加拿大銀行業(yè)巨頭豐業(yè)銀行(Scotiabank)最近上了新聞頭條，他們將內(nèi)部源代碼、登錄憑證和訪問密鑰存儲在公開可訪問的 GitHub 存儲庫中長達數(shù)月之久。

第三方，尤其是外部軟件開發(fā)人員，通常是最薄弱的一環(huán)。他們的開發(fā)人員常常缺乏適當?shù)呐嘤?xùn)和必要的安全意識，而這些恰恰是適當保護代碼所必需的。他們同時擁有幾個項目，但又期限緊迫，且客戶不耐煩，他們就因此忽略或忘記安全的基本原理，將他們的代碼置于公共領(lǐng)域中。

網(wǎng)絡(luò)罪犯很清楚這個數(shù)字阿里巴巴的洞穴。專門從事 OSINT(Open-Source Intelligence，公開來源情報)數(shù)據(jù)發(fā)現(xiàn)的網(wǎng)絡(luò)團伙小心翼翼地以連續(xù)的方式爬取現(xiàn)有的和新的代碼庫，并仔細地抓取數(shù)據(jù)。一旦發(fā)現(xiàn)有價值的東西，就會轉(zhuǎn)賣給專注于利用和攻擊行動的網(wǎng)絡(luò)犯罪團伙。

 

 

鑒于這種入侵很少在異常檢測系統(tǒng)中觸發(fā)任何危險信號，一旦為時已晚，它們?nèi)匀徊粫�被注意到或被發(fā)現(xiàn)。更糟糕的是，對此類入侵行為的調(diào)查成本高昂，而且?guī)缀鹾翢o前景可言。許多著名的 APT 攻擊都涉及使用代碼存儲庫中的憑據(jù)進行密碼重用攻擊。

易受攻擊的開源軟件

開源軟件(Open Source Software，OSS)在企業(yè)系統(tǒng)中的快速擴展，在這場游戲中增加了更多的未知數(shù)，加劇了網(wǎng)絡(luò)威脅的格局。

ImmuniWeb 最近的一份報告發(fā)現(xiàn)，在 100 家最大的銀行中，有 97 家很脆弱，易受攻擊 ，并且他們的 Web 和移動應(yīng)用編寫得很差勁，到處都是過時的、脆弱的開源組件、庫和框架。發(fā)現(xiàn)的最古老的未經(jīng)修補漏洞都是已知的，自 2011 年以來就已經(jīng)公開披露了。

開源軟件確實為開發(fā)人員節(jié)省了大量時間，并為組織節(jié)省了大量資金，但同樣也帶來了廣泛的隨之而來的風(fēng)險，這些風(fēng)險在很大程度上被低估了。

很少有組織能夠正確地跟蹤和維護一個包含無數(shù)開源軟件及其組件的清單，這些都內(nèi)置在他們的企業(yè)軟件中。因此，當新發(fā)現(xiàn)的開源軟件的安全漏洞被大肆利用時，他們會被因不知情而遭受蒙蔽，成為未知之未知的受害者。

如今，大中型組織在應(yīng)用程序安全性方面的投資逐漸增加，特別是在 DevSecOps 和 Shift Left 測試的實現(xiàn)方面。

 

 

Gartner 敦促采用 Shift Left 軟件測試，在軟件開發(fā)生命周期(Software Development Lifecycle，SDLC)的早期階段進行安全性測試，以免修復(fù)漏洞變得過于昂貴和耗時。但是，要實現(xiàn) Shift Left 測試，全面更新的開源軟件清單是必不可少的，否則，你只會把錢白白浪費掉。

如何預(yù)防和補救

請遵循以下五條建議，以經(jīng)濟高效的方式來降低風(fēng)險。

1. 維護數(shù)字資產(chǎn)的最新完整清單

應(yīng)該對軟件、硬件、數(shù)據(jù)、用戶和許可證進行持續(xù)的監(jiān)控、分類和風(fēng)險評分。

在公有云、容器、代碼庫、文件共享服務(wù)和外包的時代，這可不是一件容易的事，但是如果沒有它，你可能會破壞網(wǎng)絡(luò)安全努力的完整性，否定之前所有的網(wǎng)絡(luò)安全投資。

記住，你并不能保護那些你看不到的東西。

2. 監(jiān)控外部攻擊面和風(fēng)險暴露

許多組織把錢花在輔助性的甚至是理論性的風(fēng)險上，而忽略了他們眾多過時的、遺棄的或者僅僅是可以從互聯(lián)網(wǎng)上訪問的位置系統(tǒng)。這些影子資產(chǎn)對網(wǎng)絡(luò)罪犯來說是唾手可得的果實。

攻擊者是聰明而務(wù)實的。如果他們能夠通過被遺忘的地下隧道悄悄進入你的城堡，他們就不會對你的城堡發(fā)起攻擊。

因此，要確保你對外部攻擊面有連續(xù)不斷的了解，有足夠的、最新的視野。

3. 保持軟件更新、實施補丁管理和自動更新補丁

大多數(shù)成功的攻擊，并不涉及使用復(fù)雜且昂貴的 0day 攻擊，而是公開披露的漏洞，這些漏洞通常可以被利用進行攻擊。

黑客會有系統(tǒng)地搜索你防御系統(tǒng)中最薄弱的環(huán)節(jié)，甚至是一個小小的、過時的 JS 庫也可能是用來獲取你的皇冠珠寶的意外之財。要為所有的系統(tǒng)和應(yīng)用程序?qū)嵤�、測試和監(jiān)控強壯的補丁管理系統(tǒng)。

4. 根據(jù)風(fēng)險和威脅確定測試和補救工作的優(yōu)先級

一旦你對數(shù)字資產(chǎn)有了清晰可見的了解，并正確實現(xiàn)了補丁管理策略，就可以確保一切都如你所期望的那樣正常了。

為所有外部資產(chǎn)部署持續(xù)的安全監(jiān)控，進行滲入測試，包括對業(yè)務(wù)關(guān)鍵性 Web 應(yīng)用程序和 API 進行滲透測試。使用快速通知設(shè)置對任何異常情況的監(jiān)控。

5. 密切關(guān)注暗網(wǎng)并監(jiān)控數(shù)據(jù)泄露

大多數(shù)公司都沒有意識到，在被黑客入侵的第三方網(wǎng)站和服務(wù)中暴露了多少公司的賬戶，這些賬戶正在暗網(wǎng)上銷售。密碼重用和暴力攻擊的成功源于此。

更糟糕的是，即使是像 Pastebin 這樣的合法網(wǎng)站，也經(jīng)常暴露出大量泄漏、被盜或丟失的數(shù)據(jù)，這些數(shù)據(jù)人人都可以訪問。持續(xù)監(jiān)測和分析這些事件可以為你的公司節(jié)省數(shù)百萬美元，最重要的是，還可以拯救你的聲譽和公司的商譽。

降低復(fù)雜性和成本

我們遇到了一家瑞士公司 ImmuniWeb® 提供的創(chuàng)新產(chǎn)品，它以簡單且經(jīng)濟高效的方式解決了這些問題。該公司的技術(shù)能力、綜合方法和低廉價格給我們留下了深刻的印象。

ImmuniWeb Discovery 為你提供了對外部攻擊面和風(fēng)險暴露的卓越可見性和控制。你可以嘗試 ImmuniWeb® Discovery 進行以下操作：

快速發(fā)現(xiàn)你的外部數(shù)字資產(chǎn)，包括 API、云存儲和物聯(lián)網(wǎng)。

對應(yīng)用程序的可入侵性和吸引力進行可行的、由數(shù)據(jù)驅(qū)動的安全評級。

持續(xù)監(jiān)控公共代碼庫中未受保護的或泄露的源代碼。

持續(xù)監(jiān)控暗網(wǎng)中是否暴露了憑據(jù)和其他敏感數(shù)據(jù)。

Web 和移動應(yīng)用程序的安全生產(chǎn)軟件組成分析。

關(guān)于域名和 SSL 證書即將過期的即時警報。

通過 API 與 SIEM 和其他安全系統(tǒng)集成。

我們希望，在 2020 年，你能夠避免成為數(shù)據(jù)泄露的受害者!

作者介紹：The Hacker News(THN)，是一家領(lǐng)先的、受信任的、被廣泛認可的網(wǎng)絡(luò)安全專業(yè)新聞平臺，每月吸引超過 800 萬讀者，包括 IT 專業(yè)人士、研究人員、黑客、技術(shù)人員和愛好者。

原文鏈接：How to Avoid the Top Three Causes of Data Breaches in 2019

標簽： 數(shù)據(jù)泄露 數(shù)據(jù)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。