数据逐渐成为企业核心资产,也被越来越多的黑客所觊觎。黑客疯狂盗取数据,是因为这些数据对于他们来说就是产生利益价值的金库。作为一家领先的、受信任的、被广泛认可的网络安全专业新闻平台,The Hacker News 为我们揭示了在新时代下,黑客会从哪里窃取数据,并提供了防御的思路。
数据泄露爆炸式的增长给组织带来了不可估量的损失,并可能会让网络安全主管因此丢掉饭碗。
在本文中,我们研究了 2019 年网络犯罪分子窃取公司和政府的数据却从没被人发现的前五个地方,然后学习如何避免成为毫无道德原则攻击者的牺牲品。
1. 配置错误的云存储
2019 年,网络安全公司 Thales 对全球 3000 多名专业人士进行的全球云计算安全调查显示,48% 的企业数据存储在云端,而这一数字在三年前为 35%。
对比鲜明的是,只有 32% 的组织认为保护云端中的数据是他们自己的责任,其他都是指望云计算和 IaaS 供应商来保护他们的数据。更糟糕的是,有高达 51% 的组织在云端中没有使用加密或凭证化。
(ISC)²《云计算安全报告 2019》显示,64% 的网络安全专业人员认为数据丢失和泄漏是与云计算相关的最大风险。对于 42% 的安全专业人员来说,滥用员工凭证和不当的访问控制是最大的挑战,而 34% 的安全专业人员努力在云环境中实现合规性,有 33% 的安全专业人员认为对基础设施安全缺乏可见性,这是他们最关心的问题。
但是,疏忽大意的第三方也可能是最危险的陷阱,这种陷阱在很大程度上仍然被人们低估,因为被忽视了。2019 年,Facebook、微软和丰田汽车因为第三方泄漏或违规而导致数百万客户记录丢失,被媒体毫不留情地指责。
尽管发生了这些令人震惊的事件,但仍然很少有组织有经过周详考虑的、妥善并持续执行的第三方风险管理计划,大多数组织还停留在纸质问卷,而不进行实际核查,也不做持续监控。
如何防范: 为你的团队提供培训,实施整个组织范围内的云安全策略,持续运行公共云存储的发现,以维护云基础设施的最新清单。
2. 暗网
2019 年,安全专家 Troy Hunt 披露了 Notorious Collection #1 文件,该文件包括一组电子邮件地址和明文密码,总计有 2692818238 行。
任何人都可以用比特币匿名购买这些数据而不留任何痕迹。作为已知最大的被盗凭证数据库之一,它只是暗网上可供出售的泄漏数据的一小部分。由于攻击的复杂性,或者只是简单的疏忽、资源或技能的缺乏,许多组织每天都遭到黑客攻击却浑然不知。
有针对性的密码复用攻击和鱼叉式网络钓鱼(Spear phishing)很容易发动,而且也不需要昂贵的 0day 漏洞利用程序。尽管一眼看上去,它们貌似微不足道的样子,但它们的效率却有可能高得惊人。
大多数组织在整个公司资源中没有一致的密码策略,仅仅只是将单点登录部署到其中心基础设施中。
译注: 鱼叉式网络钓鱼(Spear phishing)指一种源于亚洲与东欧,只针对特定目标进行攻击的网络钓鱼攻击。当进行攻击的骇客锁定目标后,会以电子邮件的方式,假冒该公司或组织的名义寄发难以辨真伪之档案,诱使员工进一步登录其账号密码,使攻击者可以以此借机安装特洛伊木马或其他间谍软件,窃取机密;或于员工时常浏览之网页中置入病毒自动下载器,并持续更新受感染系统内之变种病毒,使使用者穷于应付。由于鱼叉式网络钓鱼锁定之对象并非一般个人,而是特定公司、组织之成员,故受窃之资讯已非一般网络钓鱼所窃取之个人资料,而是其他高度敏感性资料,如知识产权及商业机密。
译注: 0day 漏洞,是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。通俗地讲就是,除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。强如微软、苹果这样的公司,在面对 0day 漏洞的攻击时候,也只能采取事后补救,对系统升级等方法。不是他们不想去收集漏洞,而是那些发现 0day 的人更愿意将 0day 卖给黑产而不是提交给这些公司,而原因只有一个 —— 漏洞提交的奖励远不及卖给黑产的收益。
组织中各个辅助系统各自为政,通常使用较差的密码策略,甚至缺少密码策略,但它们可以访问商业机密和知识产权。考虑到这类门户网站和资源的数量如此众多,攻击者会小心翼翼地尝试盗取凭证,最终得到他们想要的东西。
重要的是,这类攻击在技术上往往无法检测,因为监控不足,或者仅仅是因为它们不会触发通常的异常警报,只是让用户进入而已。经验丰富的黑客组织会在攻击之前,仔细分析受害者的资料,然后模仿受害者在同一时间段内,从与他们同一个 ISP 子网登陆。黑客团队甚至比精明的安全分析师所支持的人工智能驱动的入侵检测系统还要聪明。
如何防范: 确保数字资产的可见性,实施整体密码策略和事件响应计划,持续监控暗网和其他资源的泄漏和事件。
3. 已遭废弃和未受保护的网站
根据网络安全公司 ImmuniWeb 2019 年的研究报告称,全球 100 家最大银行中,有 97 家存在易受攻击的网站和网络应用程序。一系列的问题都归咎于对开源软件、过时的框架和 JS 库的不受控制的使用,其中一些包含了自 2011 年以来公开已知的可利用漏洞。
这份报告还显示,25% 的电子银行应用程序甚至没有受到 Web 应用防火墙的保护。最终,85% 的应用程序没有通过 GDPR 合规性测试,49% 没有通过 PCI DSS 测试。
译注: PCI DSS,全称 Payment Card Industry (PCI) Data Security Standard, 第三方支付行业 (支付卡行业 PCI DSS) 数据安全标准,是由 PCI 安全标准委员会的创始成员 (visa、mastercard、American Express、Discover Financial Services、JCB 等) 制定,立在使国际上采用一致的数据安全措施。PCI DSS 对于所有涉及信用卡信息机构的安全方面作出标准的要求,其中包括安全管理、策略、过程、网络体系结构、软件设计的要求的列表等,全面保障交易安全。PCI DSS 适用于所有涉及支付卡处理的实体,包括商户、处理机构、购买者、发行商和服务提供商及储存、处理或传输持卡人资料的所有其他实体。PCI DSS 包括一组保护持卡人信息的基本要求,并可能增加额外的管控措施,以进一步降低风险。
尽管出现了攻击表面管理(Attack Surface Management,ASM)的解决方案,但大多数企业都疲于应付外部攻击表面增长的、波动的复杂性。在粗心或超负荷的开发人员遗弃的或未知资产的列表中,Web 应用程序占据了大头。
译注: 攻击表面(英语:Attack surface),也称攻击面、攻击层面,它是指软件环境中可以被未授权用户(攻击者)输入或提取数据而受到攻击的点位(攻击矢量)。
演示和测试版本在整个组织中迅速扩散,偶尔会连接到具有敏感数据的生产数据库中。下一个版本很快就会上线,而上一个版本还会被人们继续使用几个月。人手不足的安全团队通常没有时间跟踪这类流氓应用程序,他们依赖半数软件工程师从来没有读过的安全策略。
即使是已经正确部署的 Web 应用程序,如果不加注意,它也有可能会成为一颗定时炸弹。开源软件和专有软件都在 Bugtraq 中频繁出现,带来新的安全漏洞,而且这些漏洞绝大部分都容易被利用。
除了一些例外,与大规模黑客活动的速度相比,供应商在发布安全补丁方面行动迟缓。
译注: Bugtraq 是专门针对计算机安全问题的电子邮件列表。主题问题是关于漏洞的讨论、供应商安全相关的公告、利用方法以及如何修复它们。订阅地址在 https://www.securityfocus.com/
大多数流行的 CMS,如 WordPress 或 Drupal,在它们的默认安装中是相对安全的;但大量的第三方插件、主题和扩展却破坏了它们的安全性。
如何防范: 首先对所有面向外埠的网站进行免费的网站安全测试,然后继续对最关键的 Web 应用程序和 API 进行深入的 Web 渗透测试。
4. 移动应用的后端
现在,现代企业对移动应用程序的安全进行了慷慨的投资,利用 DevSecOps、SAST/DAST/IAST 测试中内置的安全编码标准,以及通过漏洞关联解决方案增强的 RASP 保护。
遗憾的是,这些解决方案中的大多数只是解决了冰山一角的问题,而移动应用后端依然未经测试,也不受保护。
虽然移动应用使用的大多数 API 发送或接受敏感数据(包括机密信息),但它们的隐私和安全性却被人们普遍遗忘或剥夺,导致不可原谅的后果。
同样的,大型企业通常也会忘记,他们的移动应用的早期版本可以很容易地从互联网上下载并进行逆向工程。这类遗留应用是真正的“克朗代克河的黄金”,那些黑客正在找寻的被遗弃的、易受攻击的 API,通常仍然能够以不受控制的方式访问组织的“皇冠上的宝石”。
译注: 克朗代克河( Klondike River )是加拿大育空河的一条支流,得名于克朗代克淘金热。克朗代克河发源于奥吉尔维山脉,在道森市附近注入育空河,长约 160 公里。1896 年,克朗代克流域发现金矿,至今仍在开采中。“克朗代克” 一词来源于土著语言,意为 “砧石”。
最终,大量的攻击成为可能,从原始但高效的暴力攻击到用于数据抓取和盗窃的复杂的身份验证和绕过授权检查。通常,最危险的攻击,包括 SQL 注入和远程代码执行(Reote Code Execution,RCE),都位于移动后端。即使没有 Web 应用防火墙的保护,对于实用主义的攻击者来说,也是唾手可得的果实。
如何防范: 建立完整的 API 详细目录,实施软件测试策略,对所有移动应用和后端进行免费的移动应用安全测试,对关键应用进行移动渗透测试。
5. 公共代码存储库
敏捷开发、持续集成 / 持续交付的实践是一个伟大的业务使能者;然而,如果实施不当,它们很快就会演变成一场灾难。在这种情况下,公共代码存储库往往是破坏组织网络安全努力的最薄弱环节。
最近的一个例子是银行业巨头加拿大丰业银行(Scotiabank),据报道,该银行将高度敏感的数据存储在公开可访问的 GitHub 存储库中,暴露了其内部源代码、登录凭证和机密访问密钥。
第三方软件开发商大大加剧了这种情况,他们试图向不知情且有些天真的客户提供极具竞争力的报价。很显然,便宜的软件并非没有明显的缺陷,而很差的安全性就是最大的缺陷。
尽管很少有组织能够通过执行自动扫描和手动代码审查来保持对软件代码质量和安全性的控制,但实际上,几乎没有一家组织能够在软件开发过程中,特别是开发之后,监控源代码如何存储和保护。
毫不奇怪的是,人为错误占了主导地位。即使是那些拥有成熟的、经过专业测试的安全策略的典范组织,也会因人为因素而尴尬地失败。然而,由经济现实所规定的苛刻的截止日期会使程序员不堪重负、精疲力竭,他们有意无意地忘记了在新创建的存储库上设置适当的属性,结果引来了麻烦。
如何防范: 实现针对代码存储和访问管理的策略,在内部和第三方实施,持续运行公共代码存储库以监视泄漏。
如果你能做到遵循本文这些建议,可以让你免去无数个不眠之夜,并为你的组织节省数百万美元。最后,一定要与业界同行分享有关攻击表面管理的信息,以增强他们的安全意识和网络安全弹性。
作者介绍:
The Hacker News(THN),是一家领先的、受信任的、被广泛认可的网络安全专业新闻平台,每月吸引超过 800 万读者,包括 IT 专业人士、研究人员、黑客、技术人员和爱好者。
原文链接:
5 Places Where Hackers Are Stealthily Stealing Your Data In 2019
评论