2019年最常見的數據泄露原因

高楓

《網絡犯罪》雜志表示，到2021年，全球因數據泄露的損失將超過60億美元。這里介紹一些2019年最常見的數據泄露原因以及如何及時解決這些問題。

錯誤配置的云存儲

現在很難找到沒有涉及不受保護的AWS S3存儲系統，Elasticsearch或MongoDB的安全事件。一項全球研究表明，只有32 %的組織認為在云中保護其數據是他們自己的責任。更糟糕的是，同一份報告顯示，仍有51 %的組織未使用加密來保護云中的敏感數據。

有報道顯示99 %的云和IaaS錯誤配置屬于最終用戶控制范圍，并且未被注意。Qualys歐洲，中東和非洲地區首席技術安全官Marco Rottigni解釋了這個問題：“一開始，一些最常見的云數據庫實現附帶沒有安全性或訪問控制作為標準。必須主動添加它們，否則很容易錯過。”

據2019年每個數據泄露的全球平均成本392萬美元，這些發現令人震驚。令人遺憾的是，許多網絡安全和IT專業人員仍然認為云提供商負責保護其云中的數據。而且，他們的大多數假設都不符合苛刻的法律現實。

這意味著企業將是唯一的責任者，要為錯誤配置或廢棄的云存儲以及由此導致的數據泄露負責。

未受保護的代碼存儲庫

北卡羅萊納州立大學的研究發現，超過100 000個GitHub存儲庫一直在泄漏秘密API令牌和加密密鑰，并且每天都有成千上萬的新存儲庫公開秘密。加拿大銀行業巨頭豐業銀行最近成為新聞頭條，據報道，該文件在公開開放且可訪問的GitHub存儲庫中存儲了幾個月的內部源代碼、登錄憑證和訪問密鑰。

第三方（尤其是外部軟件開發人員）通常是最薄弱的環節。開發人員缺乏保護代碼所必需的適當培訓和安全意識。他們一次擁有多個項目，期限緊迫且客戶不耐煩，因此他們忽略或忘記了安全性的基本原理，將其代碼置于公共領域。

網絡罪犯非常清楚這個數字漏洞。專門從事OSINT數據發現的網絡幫派會以連續模式精心抓取現有和新的代碼存儲庫，并小心地廢棄數據。一旦發現有價值的東西，就將其出售給專注于利用和進攻性行動的網絡幫派。

鑒于此類入侵很少會在異常檢測系統中觸發危險信號，因此不會引起注意或檢測它們，一旦發現為時已晚。更糟糕的是，對此類入侵的調查成本很高，且幾乎毫無根據。許多著名的APT攻擊都涉及使用代碼存儲庫中的憑據進行密碼重用攻擊。

脆弱的開源軟件

在企業系統中，開源軟件（OSS）的迅速擴散，通過向游戲中添加更多未知數而加劇網絡威脅的態勢。ImmuniWeb的最新報告發現，在100家較大的銀行中，有97家是脆弱的，并且Web和移動應用程序的編碼不佳，到處都是過時且脆弱的開源組件、庫和框架。自2011年以來，已知的最古老的未修補漏洞已廣為人知并公開披露。

OSS確實為開發人員節省了很多時間，并為組織節省了資金，但同樣也提供了各種各樣的風險。很少有組織能夠正確跟蹤和維護無數的OSS及其內置于企業軟件中的組件清單。因此，在積極利用新發現的OSS安全漏洞時，他們由于不知情而蒙蔽了眼睛，成為未知受害者。

如今，大中型組織在應用程序安全性方面進行了增量投資，特別是在DevSecOps和Shift Left測試的實施方面。但是，要實施Shift Left測試，必須全面了解OSS的最新清單。

如何預防和補救

請遵循以下5個建議，以節省成本的方式降低風險：

1.維護數字資產（SSL證書）的最新和整體清單

軟件、硬件、數據、用戶和許可證應得到持續監控、分類和風險評分。在公共云、容器、代碼存儲庫、文件共享服務和外包的時代，這不是一件容易的事，但是如果沒有它，可能會破壞網絡安全工作的完整性并否定以前的所有網絡安全投資。

2.監控外部攻擊面和風險暴露

很多組織無視他們可從Internet訪問的眾多過時、遺棄或只是未知的系統，而將錢花在輔助甚至理論風險上。這些影子資產是網絡犯罪分子垂涎的果實，攻擊者聰明而務實，他們能夠通過一條被遺忘的地下隧道悄悄進入。因此，請確保對外部攻擊有連續不斷的了解。

3.保持軟件更新，實施補丁程序管理和自動補丁程序

大多數成功的攻擊并不涉及使用復雜且成本高昂的0day，而是公開披露的漏洞，通常可有效地利用。黑客會系統地搜索防御領域中最薄弱的環節以進入，甚至一個很小的、過時的JS庫也可能使您受到攻擊。因此，需要為所有系統和應用程序實施、測試和監視強大的補丁程序管理系統。

4.根據風險和威脅確定測試和補救工作的優先級

一旦可以清楚地看到數字資產并正確實施了補丁程序管理策略，就可以確保一切正常。為所有外部資產部署連續的安全監控、進行深入測試，包括對關鍵業務Web應用程序和API的滲透測試。通過快速通知設置監視任何異常。

5.密切關注Dark Web并監視數據泄漏

大多數企業不知道在被黑客入侵的第三方網站和服務中暴露了多少公司帳戶，他們在Dark Web上被出售。密碼重用和暴力攻擊的成功源于此。更糟糕的是，即使像Pastebin這樣的合法網站也經常暴露出每個人都可以訪問的大量泄漏、被盜或丟失的數據。持續監視和分析這些事件可能節省數百萬美元，最重要的是可以減少聲譽和商譽的損失。

還有一些小點子：

快速發現外部數字資產，包括API、云存儲和物聯網；

對應用程序的可入侵性和吸引力進行可行的、數據驅動的安全性評級；

持續監視公共代碼存儲庫中未受保護或泄漏的源代碼；

持續監控Dark Web是否暴露了憑據和其他敏感數據；

Web和移動應用程序的安全生產軟件組成分析；

關于域名和SSL證書即將過期的即時警報；

通過API與SIEM和其他安全系統集成。

希望所有的企業都能避免在2020年成為數據泄露的受害者。