作者：The Hacker News 譯者：Sambodhi 來(lái)源：InfoQ

近年來(lái)，大規(guī)模數(shù)據(jù)泄露事件層出不窮，不斷引發(fā)社會(huì)各界對(duì)網(wǎng)絡(luò)安全的擔(dān)憂(yōu)。2019 年還剩兩個(gè)月就過(guò)去了，但網(wǎng)絡(luò)上一點(diǎn)也不安生，“數(shù)據(jù)泄露”的字眼總是活躍在我們眼前，全球各地深受數(shù)據(jù)泄露事件的困擾，這已造成數(shù)以萬(wàn)計(jì)的損失。The Hacker News 作為一家領(lǐng)先的、受信任的、被廣泛認(rèn)可的網(wǎng)絡(luò)安全專(zhuān)業(yè)新聞平臺(tái)，為我們提供了如何避免數(shù)據(jù)泄露的思路。

 

 

未受保護(hù)的 IT 基礎(chǔ)設(shè)施的代價(jià)是什么?Cybercrime Magazine 稱(chēng)，到 2021 年，全球損失將超過(guò) 60 億美元。

在本文中，我們將分析 2019 年數(shù)據(jù)泄露的一些最常見(jiàn)和新出現(xiàn)的原因，并了解如何及時(shí)解決這些問(wèn)題。

錯(cuò)誤的云存儲(chǔ)配置

很難找到這樣的一天：不涉及未受保護(hù)的 AWS S3 存儲(chǔ)、Elasticsearch 或 MongoDB 的安全事件。

Thales 和 Ponemon Institute 的一項(xiàng)全球研究表明，只有 32% 的組織認(rèn)為保護(hù)云端中的數(shù)據(jù)是他們自己的責(zé)任。根據(jù)同一份報(bào)告，更糟糕的是，還有 51% 的組織仍然沒(méi)有使用加密或令牌化來(lái)保護(hù)云端中的敏感數(shù)據(jù)。

McAfee 證實(shí)，聲稱(chēng) 99% 的云端和 IaaS 錯(cuò)誤配置都在終端用戶(hù)的控制范圍內(nèi)，并且仍然未被注意到。 Qualys EMEA 首席技術(shù)安全官 Macro Rottigni 就此問(wèn)題解釋說(shuō)：“一些最常見(jiàn)的云數(shù)據(jù)庫(kù)實(shí)現(xiàn)，一開(kāi)始就沒(méi)有將安全性或訪(fǎng)問(wèn)控制作為標(biāo)準(zhǔn)。必須有意識(shí)添加這些，可是這很容易被人為忽略。”

譯注：EMEA 為 Europe, the Middle East and Africa 的首字母縮寫(xiě)，為歐洲、中東、非洲三地區(qū)的合稱(chēng)，通常是用作政府行政或商業(yè)上的區(qū)域劃分方式。這種用法較常見(jiàn)于北美洲的企業(yè)。

2019 年，全球每次數(shù)據(jù)泄露的平均成本高達(dá) 392 萬(wàn)美元，這些發(fā)現(xiàn)相當(dāng)令人震驚。遺憾的是，許多網(wǎng)絡(luò)安全和 IT 專(zhuān)業(yè)人士仍然坦率地認(rèn)為，云計(jì)算供應(yīng)商有責(zé)任保護(hù)他們?cè)谠贫酥械臄?shù)據(jù)。然而不幸的是，他們的大多數(shù)假設(shè)都不符合苛刻的法律現(xiàn)實(shí)。

幾乎所有主要的云計(jì)算和 IaaS 服務(wù)提供商，都有經(jīng)驗(yàn)豐富的律師事務(wù)所來(lái)起草一份無(wú)懈可擊的合同，讓你無(wú)法在法庭上更改或者否定這份合同。這份合同“白紙黑字”明確地規(guī)定，大多數(shù)事故的財(cái)務(wù)責(zé)任由客戶(hù)承擔(dān)，并為其他所有事項(xiàng)確立了有限責(zé)任，通常以幾分錢(qián)來(lái)計(jì)算。

 

 

大多數(shù)中小型企業(yè)甚至都沒(méi)有仔細(xì)閱讀過(guò)這些條款，雖然在大型組織中，法律顧問(wèn)會(huì)審查這些條款，但這些顧問(wèn)往往與 IT 團(tuán)隊(duì)脫節(jié)。盡管如此，人們很難就更好的條件進(jìn)行談判，否則，云計(jì)算業(yè)務(wù)將變得如此危險(xiǎn)、無(wú)利可圖，以至于它會(huì)很快消失。這意味著你將成為唯一一個(gè)因錯(cuò)誤配置或放棄云存儲(chǔ)以及由此導(dǎo)致的數(shù)據(jù)泄露而受到責(zé)罰的實(shí)體。

未受保護(hù)的代碼存儲(chǔ)庫(kù)

北卡羅來(lái)納州立大學(xué)(NCSU)的研究發(fā)現(xiàn)，超過(guò) 100000 個(gè) GitHub 存儲(chǔ)庫(kù)一直在泄漏秘密的 API 令牌和密鑰，每天都有數(shù)以千計(jì)的新存儲(chǔ)庫(kù)泄密。

加拿大銀行業(yè)巨頭豐業(yè)銀行(Scotiabank)最近上了新聞?lì)^條，他們將內(nèi)部源代碼、登錄憑證和訪(fǎng)問(wèn)密鑰存儲(chǔ)在公開(kāi)可訪(fǎng)問(wèn)的 GitHub 存儲(chǔ)庫(kù)中長(zhǎng)達(dá)數(shù)月之久。

第三方，尤其是外部軟件開(kāi)發(fā)人員，通常是最薄弱的一環(huán)。他們的開(kāi)發(fā)人員常常缺乏適當(dāng)?shù)呐嘤?xùn)和必要的安全意識(shí)，而這些恰恰是適當(dāng)保護(hù)代碼所必需的。他們同時(shí)擁有幾個(gè)項(xiàng)目，但又期限緊迫，且客戶(hù)不耐煩，他們就因此忽略或忘記安全的基本原理，將他們的代碼置于公共領(lǐng)域中。

網(wǎng)絡(luò)罪犯很清楚這個(gè)數(shù)字阿里巴巴的洞穴。專(zhuān)門(mén)從事 OSINT(Open-Source Intelligence，公開(kāi)來(lái)源情報(bào))數(shù)據(jù)發(fā)現(xiàn)的網(wǎng)絡(luò)團(tuán)伙小心翼翼地以連續(xù)的方式爬取現(xiàn)有的和新的代碼庫(kù)，并仔細(xì)地抓取數(shù)據(jù)。一旦發(fā)現(xiàn)有價(jià)值的東西，就會(huì)轉(zhuǎn)賣(mài)給專(zhuān)注于利用和攻擊行動(dòng)的網(wǎng)絡(luò)犯罪團(tuán)伙。

 

 

鑒于這種入侵很少在異常檢測(cè)系統(tǒng)中觸發(fā)任何危險(xiǎn)信號(hào)，一旦為時(shí)已晚，它們?nèi)匀徊粫?huì)被注意到或被發(fā)現(xiàn)。更糟糕的是，對(duì)此類(lèi)入侵行為的調(diào)查成本高昂，而且?guī)缀鹾翢o(wú)前景可言。許多著名的 APT 攻擊都涉及使用代碼存儲(chǔ)庫(kù)中的憑據(jù)進(jìn)行密碼重用攻擊。

易受攻擊的開(kāi)源軟件

開(kāi)源軟件(Open Source Software，OSS)在企業(yè)系統(tǒng)中的快速擴(kuò)展，在這場(chǎng)游戲中增加了更多的未知數(shù)，加劇了網(wǎng)絡(luò)威脅的格局。

ImmuniWeb 最近的一份報(bào)告發(fā)現(xiàn)，在 100 家最大的銀行中，有 97 家很脆弱，易受攻擊 ，并且他們的 Web 和移動(dòng)應(yīng)用編寫(xiě)得很差勁，到處都是過(guò)時(shí)的、脆弱的開(kāi)源組件、庫(kù)和框架。發(fā)現(xiàn)的最古老的未經(jīng)修補(bǔ)漏洞都是已知的，自 2011 年以來(lái)就已經(jīng)公開(kāi)披露了。

開(kāi)源軟件確實(shí)為開(kāi)發(fā)人員節(jié)省了大量時(shí)間，并為組織節(jié)省了大量資金，但同樣也帶來(lái)了廣泛的隨之而來(lái)的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)在很大程度上被低估了。

很少有組織能夠正確地跟蹤和維護(hù)一個(gè)包含無(wú)數(shù)開(kāi)源軟件及其組件的清單，這些都內(nèi)置在他們的企業(yè)軟件中。因此，當(dāng)新發(fā)現(xiàn)的開(kāi)源軟件的安全漏洞被大肆利用時(shí)，他們會(huì)被因不知情而遭受蒙蔽，成為未知之未知的受害者。

如今，大中型組織在應(yīng)用程序安全性方面的投資逐漸增加，特別是在 DevSecOps 和 Shift Left 測(cè)試的實(shí)現(xiàn)方面。

 

 

Gartner 敦促采用 Shift Left 軟件測(cè)試，在軟件開(kāi)發(fā)生命周期(Software Development Lifecycle，SDLC)的早期階段進(jìn)行安全性測(cè)試，以免修復(fù)漏洞變得過(guò)于昂貴和耗時(shí)。但是，要實(shí)現(xiàn) Shift Left 測(cè)試，全面更新的開(kāi)源軟件清單是必不可少的，否則，你只會(huì)把錢(qián)白白浪費(fèi)掉。

如何預(yù)防和補(bǔ)救

請(qǐng)遵循以下五條建議，以經(jīng)濟(jì)高效的方式來(lái)降低風(fēng)險(xiǎn)。

1. 維護(hù)數(shù)字資產(chǎn)的最新完整清單

應(yīng)該對(duì)軟件、硬件、數(shù)據(jù)、用戶(hù)和許可證進(jìn)行持續(xù)的監(jiān)控、分類(lèi)和風(fēng)險(xiǎn)評(píng)分。

在公有云、容器、代碼庫(kù)、文件共享服務(wù)和外包的時(shí)代，這可不是一件容易的事，但是如果沒(méi)有它，你可能會(huì)破壞網(wǎng)絡(luò)安全努力的完整性，否定之前所有的網(wǎng)絡(luò)安全投資。

記住，你并不能保護(hù)那些你看不到的東西。

2. 監(jiān)控外部攻擊面和風(fēng)險(xiǎn)暴露

許多組織把錢(qián)花在輔助性的甚至是理論性的風(fēng)險(xiǎn)上，而忽略了他們眾多過(guò)時(shí)的、遺棄的或者僅僅是可以從互聯(lián)網(wǎng)上訪(fǎng)問(wèn)的位置系統(tǒng)。這些影子資產(chǎn)對(duì)網(wǎng)絡(luò)罪犯來(lái)說(shuō)是唾手可得的果實(shí)。

攻擊者是聰明而務(wù)實(shí)的。如果他們能夠通過(guò)被遺忘的地下隧道悄悄進(jìn)入你的城堡，他們就不會(huì)對(duì)你的城堡發(fā)起攻擊。

因此，要確保你對(duì)外部攻擊面有連續(xù)不斷的了解，有足夠的、最新的視野。

3. 保持軟件更新、實(shí)施補(bǔ)丁管理和自動(dòng)更新補(bǔ)丁

大多數(shù)成功的攻擊，并不涉及使用復(fù)雜且昂貴的 0day 攻擊，而是公開(kāi)披露的漏洞，這些漏洞通�？梢员焕�用進(jìn)行攻擊。

黑客會(huì)有系統(tǒng)地搜索你防御系統(tǒng)中最薄弱的環(huán)節(jié)，甚至是一個(gè)小小的、過(guò)時(shí)的 JS 庫(kù)也可能是用來(lái)獲取你的皇冠珠寶的意外之財(cái)。要為所有的系統(tǒng)和應(yīng)用程序?qū)嵤�、測(cè)試和監(jiān)控強(qiáng)壯的補(bǔ)丁管理系統(tǒng)。

4. 根據(jù)風(fēng)險(xiǎn)和威脅確定測(cè)試和補(bǔ)救工作的優(yōu)先級(jí)

一旦你對(duì)數(shù)字資產(chǎn)有了清晰可見(jiàn)的了解，并正確實(shí)現(xiàn)了補(bǔ)丁管理策略，就可以確保一切都如你所期望的那樣正常了。

為所有外部資產(chǎn)部署持續(xù)的安全監(jiān)控，進(jìn)行滲入測(cè)試，包括對(duì)業(yè)務(wù)關(guān)鍵性 Web 應(yīng)用程序和 API 進(jìn)行滲透測(cè)試。使用快速通知設(shè)置對(duì)任何異常情況的監(jiān)控。

5. 密切關(guān)注暗網(wǎng)并監(jiān)控?cái)?shù)據(jù)泄露

大多數(shù)公司都沒(méi)有意識(shí)到，在被黑客入侵的第三方網(wǎng)站和服務(wù)中暴露了多少公司的賬戶(hù)，這些賬戶(hù)正在暗網(wǎng)上銷(xiāo)售。密碼重用和暴力攻擊的成功源于此。

更糟糕的是，即使是像 Pastebin 這樣的合法網(wǎng)站，也經(jīng)常暴露出大量泄漏、被盜或丟失的數(shù)據(jù)，這些數(shù)據(jù)人人都可以訪(fǎng)問(wèn)。持續(xù)監(jiān)測(cè)和分析這些事件可以為你的公司節(jié)省數(shù)百萬(wàn)美元，最重要的是，還可以拯救你的聲譽(yù)和公司的商譽(yù)。

降低復(fù)雜性和成本

我們遇到了一家瑞士公司 ImmuniWeb® 提供的創(chuàng)新產(chǎn)品，它以簡(jiǎn)單且經(jīng)濟(jì)高效的方式解決了這些問(wèn)題。該公司的技術(shù)能力、綜合方法和低廉價(jià)格給我們留下了深刻的印象。

ImmuniWeb Discovery 為你提供了對(duì)外部攻擊面和風(fēng)險(xiǎn)暴露的卓越可見(jiàn)性和控制。你可以嘗試 ImmuniWeb® Discovery 進(jìn)行以下操作：

快速發(fā)現(xiàn)你的外部數(shù)字資產(chǎn)，包括 API、云存儲(chǔ)和物聯(lián)網(wǎng)。

對(duì)應(yīng)用程序的可入侵性和吸引力進(jìn)行可行的、由數(shù)據(jù)驅(qū)動(dòng)的安全評(píng)級(jí)。

持續(xù)監(jiān)控公共代碼庫(kù)中未受保護(hù)的或泄露的源代碼。

持續(xù)監(jiān)控暗網(wǎng)中是否暴露了憑據(jù)和其他敏感數(shù)據(jù)。

Web 和移動(dòng)應(yīng)用程序的安全生產(chǎn)軟件組成分析。

關(guān)于域名和 SSL 證書(shū)即將過(guò)期的即時(shí)警報(bào)。

通過(guò) API 與 SIEM 和其他安全系統(tǒng)集成。

我們希望，在 2020 年，你能夠避免成為數(shù)據(jù)泄露的受害者!

作者介紹：The Hacker News(THN)，是一家領(lǐng)先的、受信任的、被廣泛認(rèn)可的網(wǎng)絡(luò)安全專(zhuān)業(yè)新聞平臺(tái)，每月吸引超過(guò) 800 萬(wàn)讀者，包括 IT 專(zhuān)業(yè)人士、研究人員、黑客、技術(shù)人員和愛(ài)好者。

原文鏈接：How to Avoid the Top Three Causes of Data Breaches in 2019

標(biāo)簽： 數(shù)據(jù)泄露 數(shù)據(jù)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。