近年来,大规模数据泄露事件层出不穷,不断引发社会各界对网络安全的担忧。2019 年还剩两个月就过去了,但网络上一点也不安生,“数据泄露”的字眼总是活跃在我们眼前,全球各地深受数据泄露事件的困扰,这已造成数以万计的损失。The Hacker News 作为一家领先的、受信任的、被广泛认可的网络安全专业新闻平台,为我们提供了如何避免数据泄露的思路。
未受保护的 IT 基础设施的代价是什么?Cybercrime Magazine 称,到 2021 年,全球损失将超过 60 亿美元。
在本文中,我们将分析 2019 年数据泄露的一些最常见和新出现的原因,并了解如何及时解决这些问题。
错误的云存储配置
很难找到这样的一天:不涉及未受保护的 AWS S3 存储、Elasticsearch 或 MongoDB 的安全事件。
Thales 和 Ponemon Institute 的一项全球研究表明,只有 32% 的组织认为保护云端中的数据是他们自己的责任。根据同一份报告,更糟糕的是,还有 51% 的组织仍然没有使用加密或令牌化来保护云端中的敏感数据。
McAfee 证实,声称 99% 的云端和 IaaS 错误配置都在终端用户的控制范围内,并且仍然未被注意到。Qualys EMEA 首席技术安全官 Macro Rottigni 就此问题解释说:“一些最常见的云数据库实现,一开始就没有将安全性或访问控制作为标准。必须有意识添加这些,可是这很容易被人为忽略。”
译注:EMEA 为 Europe, the Middle East and Africa 的首字母缩写,为欧洲、中东、非洲三地区的合称,通常是用作政府行政或商业上的区域划分方式。这种用法较常见于北美洲的企业。
2019 年,全球每次数据泄露的平均成本高达 392 万美元,这些发现相当令人震惊。遗憾的是,许多网络安全和 IT 专业人士仍然坦率地认为,云计算供应商有责任保护他们在云端中的数据。然而不幸的是,他们的大多数假设都不符合苛刻的法律现实。
几乎所有主要的云计算和 IaaS 服务提供商,都有经验丰富的律师事务所来起草一份无懈可击的合同,让你无法在法庭上更改或者否定这份合同。这份合同“白纸黑字”明确地规定,大多数事故的财务责任由客户承担,并为其他所有事项确立了有限责任,通常以几分钱来计算。
大多数中小型企业甚至都没有仔细阅读过这些条款,虽然在大型组织中,法律顾问会审查这些条款,但这些顾问往往与 IT 团队脱节。尽管如此,人们很难就更好的条件进行谈判,否则,云计算业务将变得如此危险、无利可图,以至于它会很快消失。这意味着你将成为唯一一个因错误配置或放弃云存储以及由此导致的数据泄露而受到责罚的实体。
未受保护的代码存储库
北卡罗来纳州立大学(NCSU)的研究发现,超过 100000 个 GitHub 存储库一直在泄漏秘密的 API 令牌和密钥,每天都有数以千计的新存储库泄密。
加拿大银行业巨头丰业银行(Scotiabank)最近上了新闻头条,他们将内部源代码、登录凭证和访问密钥存储在公开可访问的 GitHub 存储库中长达数月之久。
第三方,尤其是外部软件开发人员,通常是最薄弱的一环。他们的开发人员常常缺乏适当的培训和必要的安全意识,而这些恰恰是适当保护代码所必需的。他们同时拥有几个项目,但又期限紧迫,且客户不耐烦,他们就因此忽略或忘记安全的基本原理,将他们的代码置于公共领域中。
网络罪犯很清楚这个数字阿里巴巴的洞穴。专门从事 OSINT(Open-Source Intelligence,公开来源情报)数据发现的网络团伙小心翼翼地以连续的方式爬取现有的和新的代码库,并仔细地抓取数据。一旦发现有价值的东西,就会转卖给专注于利用和攻击行动的网络犯罪团伙。
鉴于这种入侵很少在异常检测系统中触发任何危险信号,一旦为时已晚,它们仍然不会被注意到或被发现。更糟糕的是,对此类入侵行为的调查成本高昂,而且几乎毫无前景可言。许多著名的 APT 攻击都涉及使用代码存储库中的凭据进行密码重用攻击。
易受攻击的开源软件
开源软件(Open Source Software,OSS)在企业系统中的快速扩展,在这场游戏中增加了更多的未知数,加剧了网络威胁的格局。
ImmuniWeb 最近的一份报告发现,在 100 家最大的银行中,有 97 家很脆弱,易受攻击 ,并且他们的 Web 和移动应用编写得很差劲,到处都是过时的、脆弱的开源组件、库和框架。发现的最古老的未经修补漏洞都是已知的,自 2011 年以来就已经公开披露了。
开源软件确实为开发人员节省了大量时间,并为组织节省了大量资金,但同样也带来了广泛的随之而来的风险,这些风险在很大程度上被低估了。
很少有组织能够正确地跟踪和维护一个包含无数开源软件及其组件的清单,这些都内置在他们的企业软件中。因此,当新发现的开源软件的安全漏洞被大肆利用时,他们会被因不知情而遭受蒙蔽,成为未知之未知的受害者。
如今,大中型组织在应用程序安全性方面的投资逐渐增加,特别是在 DevSecOps 和 Shift Left 测试的实现方面。
Gartner 敦促采用 Shift Left 软件测试,在软件开发生命周期(Software Development Lifecycle,SDLC)的早期阶段进行安全性测试,以免修复漏洞变得过于昂贵和耗时。但是,要实现 Shift Left 测试,全面更新的开源软件清单是必不可少的,否则,你只会把钱白白浪费掉。
如何预防和补救
请遵循以下五条建议,以经济高效的方式来降低风险。
1. 维护数字资产的最新完整清单
应该对软件、硬件、数据、用户和许可证进行持续的监控、分类和风险评分。
在公有云、容器、代码库、文件共享服务和外包的时代,这可不是一件容易的事,但是如果没有它,你可能会破坏网络安全努力的完整性,否定之前所有的网络安全投资。
记住,你并不能保护那些你看不到的东西。
2. 监控外部攻击面和风险暴露
许多组织把钱花在辅助性的甚至是理论性的风险上,而忽略了他们众多过时的、遗弃的或者仅仅是可以从互联网上访问的位置系统。这些影子资产对网络罪犯来说是唾手可得的果实。
攻击者是聪明而务实的。如果他们能够通过被遗忘的地下隧道悄悄进入你的城堡,他们就不会对你的城堡发起攻击。
因此,要确保你对外部攻击面有连续不断的了解,有足够的、最新的视野。
3. 保持软件更新、实施补丁管理和自动更新补丁
大多数成功的攻击,并不涉及使用复杂且昂贵的 0day 攻击,而是公开披露的漏洞,这些漏洞通常可以被利用进行攻击。
黑客会有系统地搜索你防御系统中最薄弱的环节,甚至是一个小小的、过时的 JS 库也可能是用来获取你的皇冠珠宝的意外之财。要为所有的系统和应用程序实施、测试和监控强壮的补丁管理系统。
4. 根据风险和威胁确定测试和补救工作的优先级
一旦你对数字资产有了清晰可见的了解,并正确实现了补丁管理策略,就可以确保一切都如你所期望的那样正常了。
为所有外部资产部署持续的安全监控,进行渗入测试,包括对业务关键性 Web 应用程序和 API 进行渗透测试。使用快速通知设置对任何异常情况的监控。
5. 密切关注暗网并监控数据泄露
大多数公司都没有意识到,在被黑客入侵的第三方网站和服务中暴露了多少公司的账户,这些账户正在暗网上销售。密码重用和暴力攻击的成功源于此。
更糟糕的是,即使是像 Pastebin 这样的合法网站,也经常暴露出大量泄漏、被盗或丢失的数据,这些数据人人都可以访问。持续监测和分析这些事件可以为你的公司节省数百万美元,最重要的是,还可以拯救你的声誉和公司的商誉。
降低复杂性和成本
我们遇到了一家瑞士公司 ImmuniWeb® 提供的创新产品,它以简单且经济高效的方式解决了这些问题。该公司的技术能力、综合方法和低廉价格给我们留下了深刻的印象。
ImmuniWeb Discovery 为你提供了对外部攻击面和风险暴露的卓越可见性和控制。你可以尝试ImmuniWeb® Discovery 进行以下操作:
- 快速发现你的外部数字资产,包括 API、云存储和物联网。
- 对应用程序的可入侵性和吸引力进行可行的、由数据驱动的安全评级。
- 持续监控公共代码库中未受保护的或泄露的源代码。
- 持续监控暗网中是否暴露了凭据和其他敏感数据。
- Web 和移动应用程序的安全生产软件组成分析。
- 关于域名和 SSL 证书即将过期的即时警报。
- 通过 API 与 SIEM 和其他安全系统集成。
我们希望,在 2020 年,你能够避免成为数据泄露的受害者!
作者介绍:
The Hacker News(THN),是一家领先的、受信任的、被广泛认可的网络安全专业新闻平台,每月吸引超过 800 万读者,包括 IT 专业人士、研究人员、黑客、技术人员和爱好者。