《网络犯罪杂志》称,2019年最常见的数据泄露原因,到2021年,全球因数据泄露造成的损失将超过60亿美元。在这里,我们将介绍2019年数据泄露的一些最常见原因,并学习如何及时修复它们。如果没有涉及未受保护的AWSS3存储、Elasticsearch或MongoDB的安全事件,很难找到配置错误的云存储。一项全球研究表明,只有32%的组织认为保护云中的数据是他们自己的责任。更糟糕的是,根据同一份报告,51%的组织仍然没有使用加密来保护云中的敏感数据。报告证实了99%的云和IaaS错误配置在最终用户的控制范围内并且未被注意到的说法。Qualys欧洲、中东和非洲地区首席技术安全官MarcoRottigni解释了这个问题:“一开始,一些最常见的云数据库实施没有作为标准的安全或访问控制。它们必须有意添加,或者它们是容易错过”,根据2019年全球每次数据泄露的平均成本392万美元,这些发现令人震惊。可悲的是,许多网络安全和IT专业人士仍然坦率地认为云提供商有责任保护其云中的数据。此外,大多数他们的假设与严酷的法律现实不符。这意味着企业将是唯一对错误配置或过时的云存储以及由此导致的数据泄露负责的人。北卡罗来纳州立大学(NCSU)的未受保护代码存储库研究发现,超过100,000个GitHub存储库已经泄露秘密API令牌和加密密钥,每天添加数万个新存储库你公开的秘密。加拿大银行业巨头Scotiabank最近成为头条新闻,据报道,它已将内部源代码、登录凭据和访问密钥存储在一个可公开访问的GitHub存储库中数月之久。第三方(尤其是外部软件开发商)往往是最薄弱的环节。通常,他们的开发人员缺乏正确保护代码所需的适当培训和安??全意识。他们同时拥有多个项目、紧迫的期限和不耐烦的客户,因此他们忽略或忘记了安全的基础知识,将他们的代码置于公共领域。网络罪犯很清楚这种数字漏洞。专门从事OSINT数据发现的网络团伙以连续的模式精心抓取现有和新的代码存储库,仔细抓取数据。一旦发现有价值的东西,它就会被卖给专注于剥削和进攻行动的网络团伙。鉴于此类入侵很少在异常检测系统中触发任何危险信号,一旦为时已晚,它们就不会被注意到或检测到。更糟糕的是,对此类入侵的调查成本高昂,而且几乎没有必要。许多著名的APT攻击都涉及使用代码存储库中的凭据进行密码重用攻击。易受攻击的开源软件开源软件(OSS)在企业系统中的迅速扩散通过为游戏添加更多未知因素而加剧了网络威胁形势。ImmuniWeb的最新报告发现,100家大型银行中有97家容易受到攻击,它们的Web和移动应用程序编码很差,充斥着过时且脆弱的开源组件、库和框架。自2011年以来,已知最古老的未修补漏洞已为人所知并公开披露。OSS确实为开发人员节省了大量时间并为组织节省了资金,但它也伴随着各种随之而来且被大大低估的风险。很少有组织能够正确跟踪和维护无数OSS及其内置于企业软件中的组件的清单。因此,由于无知,他们在积极利用新发现的OSS安全漏洞的同时,成为未知未知数的受害者。如今,大中型组织正在对应用程序安全性进行增量投资,尤其是在DevSecOps和ShiftLeft测试的实施方面。但是要实现ShiftLeft测试,需要对OSS最新的checklist有一个全面的了解。如何预防和补救遵循以下五项建议,以经济高效的方式降低风险:1.保持数字资产(SSL证书)的最新和全面清单软件、硬件、数据、用户和许可证应持续更新监测、分类和风险评分。在公有云、容器、代码存储库、文件共享服务和外包的时代,这不是一件容易的事,但它的缺席会破坏网络安全工作的完整性,并抵消之前所有的网络安全投资。2.监控外部攻击面和风险暴露许多组织忽略了他们可以从Internet访问的大量过时、废弃或未知的系统,并将资金花在辅助甚至理论风险上。这些影子资产是网络犯罪分子垂涎的对象。攻击者聪明而务实。如果他们能够通过被遗忘的地下隧道潜入,那么一定要时刻注意外部攻击。3.保持软件更新,实施补丁管理和自动补丁大多数成功的攻击并不涉及使用复杂且昂贵的0day,而是公开披露的漏洞,通常可以通过有效利用来利用。黑客会系统地搜索您防御中最薄弱的环节以进入,即使是一个过时的小型JS库也可能是您的意外收获。为您的所有系统和应用程序实施、测试和监控强大的补丁管理系统。4.根据风险和威胁确定测试和补救工作的优先级一旦您清楚地了解了您的数字资产并正确实施了补丁管理策略,您就可以确保一切正常。为所有外部资产部署持续安全监控以进行深入测试,包括业务关键型Web应用程序和API的渗透测试。使用快速通知设置监控任何异常情况。5.密切关注暗网并监控数据泄露情况大多数企业都不知道有多少公司帐户在暴露于被黑的第三方网站和服务中的暗网上被出售。密码重用和暴力破解的成功源于此。更糟糕的是,即使像Pastebin这样的合法网站也经常暴露出大量泄露、被盗或丢失的数据,每个人都可以访问。持续监控和分析这些事件可能会节省数百万美元,最重要的是,可以节省声誉和商誉。更多内容:快速发现您的外部数字资产,包括API、云存储和物联网可操作的、数据驱动的应用程序可破解性和吸引力的安全评级持续监控公共代码存储库中不可用的公共代码存储库受保护或泄露的源代码持续进行监控暗网的凭据和其他敏感数据安全生产软件组成网络和移动应用程序分析域名和SSL证书即将到期时的即时警报通过API与SIEM和其他安全系统集成我们希望所有企业避免成为受害者2020年数据泄露!
