写点什么

2019 年数据泄露的三大原因,你该如何避免?

  • 2019-10-30
  • 本文字数:3315 字

    阅读完需:约 11 分钟

2019 年数据泄露的三大原因,你该如何避免?

近年来,大规模数据泄露事件层出不穷,不断引发社会各界对网络安全的担忧。2019 年还剩两个月就过去了,但网络上一点也不安生,“数据泄露”的字眼总是活跃在我们眼前,全球各地深受数据泄露事件的困扰,这已造成数以万计的损失。The Hacker News 作为一家领先的、受信任的、被广泛认可的网络安全专业新闻平台,为我们提供了如何避免数据泄露的思路。



未受保护的 IT 基础设施的代价是什么?Cybercrime Magazine 称,到 2021 年,全球损失将超过 60 亿美元


在本文中,我们将分析 2019 年数据泄露的一些最常见和新出现的原因,并了解如何及时解决这些问题。

错误的云存储配置

很难找到这样的一天:不涉及未受保护的 AWS S3 存储、Elasticsearch 或 MongoDB 的安全事件。


Thales 和 Ponemon Institute 的一项全球研究表明,只有 32% 的组织认为保护云端中的数据是他们自己的责任。根据同一份报告,更糟糕的是,还有 51% 的组织仍然没有使用加密或令牌化来保护云端中的敏感数据。


McAfee 证实,声称 99% 的云端和 IaaS 错误配置都在终端用户的控制范围内,并且仍然未被注意到。 Qualys EMEA 首席技术安全官 Macro Rottigni 就此问题解释说:“一些最常见的云数据库实现,一开始就没有将安全性或访问控制作为标准。必须有意识添加这些,可是这很容易被人为忽略。”


译注:EMEA 为 Europe, the Middle East and Africa 的首字母缩写,为欧洲、中东、非洲三地区的合称,通常是用作政府行政或商业上的区域划分方式。这种用法较常见于北美洲的企业。


2019 年,全球每次数据泄露的平均成本高达 392 万美元,这些发现相当令人震惊。遗憾的是,许多网络安全和 IT 专业人士仍然坦率地认为,云计算供应商有责任保护他们在云端中的数据。然而不幸的是,他们的大多数假设都不符合苛刻的法律现实。


几乎所有主要的云计算和 IaaS 服务提供商,都有经验丰富的律师事务所来起草一份无懈可击的合同,让你无法在法庭上更改或者否定这份合同。这份合同“白纸黑字”明确地规定,大多数事故的财务责任由客户承担,并为其他所有事项确立了有限责任,通常以几分钱来计算。



大多数中小型企业甚至都没有仔细阅读过这些条款,虽然在大型组织中,法律顾问会审查这些条款,但这些顾问往往与 IT 团队脱节。尽管如此,人们很难就更好的条件进行谈判,否则,云计算业务将变得如此危险、无利可图,以至于它会很快消失。这意味着你将成为唯一一个因错误配置或放弃云存储以及由此导致的数据泄露而受到责罚的实体。

未受保护的代码存储库

北卡罗来纳州立大学(NCSU)的研究发现,超过 100000 个 GitHub 存储库一直在泄漏秘密的 API 令牌和密钥,每天都有数以千计的新存储库泄密。


加拿大银行业巨头丰业银行(Scotiabank)最近上了新闻头条,他们将内部源代码、登录凭证和访问密钥存储在公开可访问的 GitHub 存储库中长达数月之久。


第三方,尤其是外部软件开发人员,通常是最薄弱的一环。他们的开发人员常常缺乏适当的培训和必要的安全意识,而这些恰恰是适当保护代码所必需的。他们同时拥有几个项目,但又期限紧迫,且客户不耐烦,他们就因此忽略或忘记安全的基本原理,将他们的代码置于公共领域中。


网络罪犯很清楚这个数字阿里巴巴的洞穴。专门从事 OSINT(Open-Source Intelligence,公开来源情报)数据发现的网络团伙小心翼翼地以连续的方式爬取现有的和新的代码库,并仔细地抓取数据。一旦发现有价值的东西,就会转卖给专注于利用和攻击行动的网络犯罪团伙。



鉴于这种入侵很少在异常检测系统中触发任何危险信号,一旦为时已晚,它们仍然不会被注意到或被发现。更糟糕的是,对此类入侵行为的调查成本高昂,而且几乎毫无前景可言。许多著名的 APT 攻击都涉及使用代码存储库中的凭据进行密码重用攻击。

易受攻击的开源软件

开源软件(Open Source Software,OSS)在企业系统中的快速扩展,在这场游戏中增加了更多的未知数,加剧了网络威胁的格局。


ImmuniWeb 最近的一份报告发现,在 100 家最大的银行中,有 97 家很脆弱,易受攻击 ,并且他们的 Web 和移动应用编写得很差劲,到处都是过时的、脆弱的开源组件、库和框架。发现的最古老的未经修补漏洞都是已知的,自 2011 年以来就已经公开披露了。


开源软件确实为开发人员节省了大量时间,并为组织节省了大量资金,但同样也带来了广泛的随之而来的风险,这些风险在很大程度上被低估了。


很少有组织能够正确地跟踪和维护一个包含无数开源软件及其组件的清单,这些都内置在他们的企业软件中。因此,当新发现的开源软件的安全漏洞被大肆利用时,他们会被因不知情而遭受蒙蔽,成为未知之未知的受害者。


如今,大中型组织在应用程序安全性方面的投资逐渐增加,特别是在 DevSecOps 和 Shift Left 测试的实现方面。



Gartner 敦促采用 Shift Left 软件测试,在软件开发生命周期(Software Development Lifecycle,SDLC)的早期阶段进行安全性测试,以免修复漏洞变得过于昂贵和耗时。但是,要实现 Shift Left 测试,全面更新的开源软件清单是必不可少的,否则,你只会把钱白白浪费掉。

如何预防和补救

请遵循以下五条建议,以经济高效的方式来降低风险。

1. 维护数字资产的最新完整清单

应该对软件、硬件、数据、用户和许可证进行持续的监控、分类和风险评分


在公有云、容器、代码库、文件共享服务和外包的时代,这可不是一件容易的事,但是如果没有它,你可能会破坏网络安全努力的完整性,否定之前所有的网络安全投资。


记住,你并不能保护那些你看不到的东西。

2. 监控外部攻击面和风险暴露

许多组织把钱花在辅助性的甚至是理论性的风险上,而忽略了他们众多过时的、遗弃的或者仅仅是可以从互联网上访问的位置系统。这些影子资产对网络罪犯来说是唾手可得的果实。


攻击者是聪明而务实的。如果他们能够通过被遗忘的地下隧道悄悄进入你的城堡,他们就不会对你的城堡发起攻击。


因此,要确保你对外部攻击面有连续不断的了解,有足够的、最新的视野。

3. 保持软件更新、实施补丁管理和自动更新补丁

大多数成功的攻击,并不涉及使用复杂且昂贵的 0day 攻击,而是公开披露的漏洞,这些漏洞通常可以被利用进行攻击。


黑客会有系统地搜索你防御系统中最薄弱的环节,甚至是一个小小的、过时的 JS 库也可能是用来获取你的皇冠珠宝的意外之财。要为所有的系统和应用程序实施、测试和监控强壮的补丁管理系统。

4. 根据风险和威胁确定测试和补救工作的优先级

一旦你对数字资产有了清晰可见的了解,并正确实现了补丁管理策略,就可以确保一切都如你所期望的那样正常了。


为所有外部资产部署持续的安全监控,进行渗入测试,包括对业务关键性 Web 应用程序和 API 进行渗透测试。使用快速通知设置对任何异常情况的监控。

5. 密切关注暗网并监控数据泄露

大多数公司都没有意识到,在被黑客入侵的第三方网站和服务中暴露了多少公司的账户,这些账户正在暗网上销售。密码重用和暴力攻击的成功源于此。


更糟糕的是,即使是像 Pastebin 这样的合法网站,也经常暴露出大量泄漏、被盗或丢失的数据,这些数据人人都可以访问。持续监测和分析这些事件可以为你的公司节省数百万美元,最重要的是,还可以拯救你的声誉和公司的商誉。

降低复杂性和成本

我们遇到了一家瑞士公司 ImmuniWeb® 提供的创新产品,它以简单且经济高效的方式解决了这些问题。该公司的技术能力、综合方法和低廉价格给我们留下了深刻的印象。


ImmuniWeb Discovery 为你提供了对外部攻击面和风险暴露的卓越可见性和控制。你可以尝试 ImmuniWeb® Discovery进行以下操作:


  • 快速发现你的外部数字资产,包括 API、云存储和物联网。

  • 对应用程序的可入侵性和吸引力进行可行的、由数据驱动的安全评级。

  • 持续监控公共代码库中未受保护的或泄露的源代码。

  • 持续监控暗网中是否暴露了凭据和其他敏感数据。

  • Web 和移动应用程序的安全生产软件组成分析。

  • 关于域名和 SSL 证书即将过期的即时警报。

  • 通过 API 与 SIEM 和其他安全系统集成。


我们希望,在 2020 年,你能够避免成为数据泄露的受害者!


作者介绍:


The Hacker News(THN),是一家领先的、受信任的、被广泛认可的网络安全专业新闻平台,每月吸引超过 800 万读者,包括 IT 专业人士、研究人员、黑客、技术人员和爱好者。


原文链接:


How to Avoid the Top Three Causes of Data Breaches in 2019


2019-10-30 06:002835

评论

发布
暂无评论
发现更多内容

边云协同!EM-BOX视频分析盒加速安全生产场景落地AI应用

百度大脑

人工智能 人脸识别 图像识别 百度大脑 人体识别

Linkerd 2.8 - 實現超級簡單又安全的多叢集(multicluster) Kubernetes 架構

Rammus

Kubernetes DevOps 运维 云原生 Service Mesh

程序员陪娃系列——育儿路上二三事

孙苏勇

程序员 陪伴 随笔杂谈

低代码平台会让程序员失业?测评了5个工具,谁能让效率提高N倍?

代码制造者

编程 编程语言 低代码 零代码 测评

【API进阶之路】帮公司省下20万调研费!如何巧用情感分析API实现用户偏好调研

华为云开发者联盟

反馈 API 华为云 API Explorer平台 用户调研

云图说 | 3分钟创建一个游戏类工作负载

华为云开发者联盟

Docker 容器 华为云 工作负载 2048游戏

太赞了!程序员应该访问的最佳网站都在这里了!

JackTian

GitHub 学习 编程 程序员 网站平台

程序员陪娃系列——小娃的到来

孙苏勇

程序员 陪伴 随笔杂谈

十多位全球技术专家,为你献上近十个小时的.Net微服务介绍

newbe36524

容器 微服务 .net core netcore

计算机网络基础(十六)---传输层-可靠传输的基本原理

书旅

计算机网络 网络 协议族 网络层

学了那么多技术,为何依然成不了架构师

菜根老谭

架构设计原则

一次好的聊天可以超过自己努力啃几周的书籍

良知犹存

程序人生

学生党学编程,有这个开源项目就够了!

JackTian

GitHub 学习 编程 程序员 学生党

《Java并发编程的艺术》读书笔记1:说说并发编程

Jason

多线程 并发

程序员陪娃系列——小小免费按摩师

孙苏勇

程序员 陪伴 随笔杂谈

一款基于 Python 语言的 Linux 资源监视器!

JackTian

Python GitHub Linux bashtop bpytop

内存总是不够?HBase&GeoMesa配置优化了解一下

华为云开发者联盟

内存模型 内存 HBase 大集群 GeoMesa

程序员陪娃系列——和孩子聊生死

孙苏勇

程序员 陪伴 随笔杂谈

程序员陪娃系列——育儿路上二三事续

孙苏勇

程序员 陪伴 随笔杂谈

程序员陪娃系列——见你的第一面

孙苏勇

程序员 陪伴 随笔杂谈

构造、析构期间被调虚函数发生的惨案,长教训!

华为云开发者联盟

代码 组合模式 封装、继承、多态 bug 回调函数

“云”上教与学,让教育不止步于课堂

Geek_116789

入职两周,怀疑自己进了假百度!跟传说中完全不一样!难道真有两家百度公司?

程序员生活志

百度 程序员

使用 supervisor 配置 ngrok 内网穿透为守护进程

jerry.mei

Linux 操作系统 ngrok 守护进程 内网穿透

移卡荣登2020「AI 最佳成长榜」,AI+金融科技赋能商业服务

DT极客

品质网络的迭变之路,以及运营商的未来之匙

脑极体

BIGO技术:实时计算平台建设

InfoQ_3597a20b53cc

互联网 BIGO

Android 原生 SQLite 数据库的一次封装实践

vivo互联网技术

sqlite android 数据库

趣文:那天我被拉入 C++ 亲友群

程序员生活志

c c++ 程序员

多角度分析,通讯时序数据的预测与异常检测挑战

华为云开发者联盟

时序数据库 即时通讯 异常检测 网络智能体 时序预测

数据库外键

will

数据库 性能 外键

2019 年数据泄露的三大原因,你该如何避免?_安全_The Hacker News_InfoQ精选文章