2019年黑客偷偷窃取你数据的5个地方

急剧上升的数据泄露给组织带来了无法估量的损失，并可能让网络安全主管失去工作。

1.云存储配置错误

网络安全公司泰利斯（Thales）在2019年对全球3000多名专业人士进行的一项全球云安全研究显示，48%的企业数据存储在云端，而三年前这一比例为35%。相比之下，只有32%的组织认为保护云中的数据是他们自己的责任，依靠云和IaaS提供商来保护数据。更糟糕的是，51%的组织不在云中使用加密或令牌化。

（ISC）和#178；《2019年云安全报告》指出，64%的网络安全专业人士认为数据丢失和泄漏是与云相关的最大风险。对42%的安全专业人员来说，滥用员工凭据和不当的访问控制是最大的挑战，而34%的人在云端与法规遵从性作斗争，33%的人将基础设施安全缺乏可视性列为他们的主要担忧。

然而，疏忽大意的第三方可能是最危险的陷阱，在很大程度上被低估，因此被忽视。2019年，Facebook、微软和丰田因因第三方泄露或违规而损失数百万客户记录而受到媒体无情的污蔑。

尽管发生了这些令人震惊的事件，但仍然很少有组织有一个经过深思熟虑、正确实施并持续实施的第三方风险管理计划，大多数组织依靠纸面提问者跳过实际验证和持续监控。

如何缓解：培训您的团队，实施组织范围内的云安全策略，持续运行公共云存储发现，以维护您的云基础设施的资源清册。

2.暗网

安全专家特洛伊·亨特（Troy Hunt）于2019年披露了臭名昭著的“1号”系列，它是一组电子邮件地址和明文密码，共2692818238行。任何人都可以匿名购买这些比特币数据，而不留下任何痕迹。作为最大的公开被盗凭证数据库之一，它只是黑暗网络上可供出售的受损数据的一部分。由于攻击的复杂性或简单的疏忽、资源或技能的缺乏，许多组织每天都在不知不觉中遭到黑客攻击。

有针对性的密码重复使用攻击和鱼叉式钓鱼很容易发起，不需要昂贵的0天攻击。虽然乍看起来微不足道，但它们可能非常高效。大多数组织在其公司资源中没有一致的密码策略，只将SSO部署到其中心基础架构。

辅助系统和辅助系统有自己的生活方式，通常密码政策很差甚至缺失，但可以获取商业秘密和知识产权。鉴于此类门户和资源众多，攻击者会小心翼翼地尝试窃取的凭据，最终得到他们想要的东西。

重要的是，此类攻击通常在技术上无法检测到，因为监控不足，或者仅仅因为它们不会触发通常的异常情况，只是让用户进来。经验丰富的黑客组织会在攻击发生前仔细分析受害者的情况，让他们从同一个ISP子网络登录，在相同的时间内，甚至比由精明的安全分析师支持的人工智能IDS系统还要出色。

如何缓解：确保数字资产的可见性，实施整体密码策略和事件响应计划，持续监控Dark Web和其他资源的泄漏和事件。

3.被遗弃和未受保护的网站

根据一家网络安全公司ImmuniWeb在2019年进行的研究，全球最大的100家银行中有97家拥有易受攻击的网站和网络应用程序。各种各样的问题都归因于开源软件、过时框架和JS库的失控使用，其中一些包含自2011年以来公开的可利用漏洞。

同一份报告显示，25%的电子银行应用程序甚至没有受到Web应用程序防火墙（WAF）的保护。最终，85%的应用程序未通过GDPR合规性测试，49%的应用程序未通过PCI DSS测试。

尽管攻击面管理（ASM）解决方案不断涌现，但大多数企业都在逐渐应对其外部攻击面的日益复杂和波动的复杂性。Web应用程序占据了由粗心或超载的开发人员留下的废弃或未知资产的列表。

演示和测试版本在一个组织中迅速扩散，偶尔会连接到带有敏感数据的生产数据库。下一个版本很快就上线了，而之前的版本则要在几个月内才能发布。人手不足的安全团队通常没有时间跟踪此类恶意应用程序，依赖于半数软件工程师从未阅读过的安全策略。

如果无人看管，即使是正确部署的web应用程序也可能成为定时炸弹。开源软件和专有软件都以惊人的频率在Bugtraq中引起轰动，带来了新的、主要是易于利用的安全漏洞。除了一些例外，与大规模黑客活动的速度相比，供应商发布安全补丁的行动迟缓。

大多数流行的CMS，如WordPress或Drupal，在默认安装中相对安全，但大量的第三方插件、主题和扩展消除了它们的安全性。

如何缓解：从所有面向外部的网站的免费网站安全测试开始，继续对最关键的web应用程序和API进行深入的web渗透测试。

4.移动应用的后端

现代企业现在慷慨投资于移动应用程序安全，利用DevSecOps中内置的安全编码标准、SAST/DAST/IAST测试，以及通过漏洞关联解决方案增强的RASP保护。遗憾的是，这些解决方案中的大多数只解决了冰山一角的问题，使得移动应用程序后端未经测试和保护。

虽然移动应用程序使用的大多数API都会发送或接收敏感数据，包括机密信息，但它们的隐私和安全性却被广泛遗忘或剥夺，导致不可原谅的后果。

类似地，大型组织通常会忘记，他们的移动应用程序的早期版本可以很容易地从互联网下载并进行反向工程。对于黑客来说，这些遗留应用程序是一个真正的克朗代克，他们在搜索废弃的、易受攻击的API，这些API通常仍然能够以不受控制的方式提供对组织王冠上珠宝的访问。

最终，大量攻击成为可能，从原始但高效的暴力强迫到用于数据抓取和盗窃的复杂身份验证和授权旁路。通常，最危险的攻击，包括SQL注入和RCE，都位于移动后端。即使没有WAF的保护，它们对务实的攻击者来说也是低效的果实。

如何缓解：建立全面的API清单，实施软件测试政策，对所有移动应用和后端进行免费移动应用安全测试，对关键应用进行移动渗透测试。

5.公共代码存储库

敏捷的CI/CD实践是一个伟大的商业推动者；然而，如果实施不当，它们很快就会演变成一场灾难。在这种情况下，公共代码库往往是破坏组织网络安全工作的最薄弱环节。

最近的一个例子来自银行业巨头丰业银行，据报道该银行将高度敏感的数据存储在公开且可访问的GitHub存储库中，公开其内部源代码、登录凭据和机密访问密钥。

第三方软件开发人员试图向不知情且有些天真的客户提供最具竞争力的报价，这大大加剧了这种情况。便宜的软件显然并非没有实质性的缺点，而糟糕的安全性是最重要的。

虽然很少有组织能够通过执行自动扫描和手动代码审查来控制软件代码的质量和安全性，但几乎没有一个组织能够在软件开发期间，尤其是开发之后，监控源代码的存储和保护方式。

不出所料，人类的错误占据了整个空间。即使是拥有成熟且经过专家测试的安全策略的模范组织，也会因为人为因素而尴尬地滑倒。经济现实决定了艰难的最后期限，这会导致负担过重、精疲力竭的程序员天真地忘记在新创建的存储库上设置适当的属性，让麻烦进来。

如何缓解：实施解决代码存储和访问管理的策略，在内部和第三方实施该策略，持续运行公共代码存储库以监控泄漏。

遵循此缓解建议可能会为您的组织节省无数不眠之夜和数百万美元。最后，一定要与业界同行分享关于攻击面管理（ASM）的信息，以增强他们的安全意识和网络安全恢复能力。