如何避免2019年数据泄露的前三大原因

在这里，我们将讨论2019年最常见和最新出现的数据泄露原因，并了解如何及时解决这些问题。

配置错误的云存储

很难找到一天不发生涉及未受保护的AWS S3存储、Elasticsearch或MongoDB的安全事件。Thales和Ponemon Institute的一项全球研究表明，只有32%的组织认为保护云中的数据是他们自己的责任。更糟糕的是，根据同一份报告，51%的组织仍然没有使用加密或令牌化来保护云中的敏感数据。

McAfee证实了这一点，声称99%的云计算和IaaS错误配置属于最终用户的控制范围，仍然没有引起注意。Qualys的EMEA首席技术安全官马可·罗蒂尼（Marco Rottigni）解释了这个问题：“一些最常见的云数据库实现一开始就没有标准的安全或访问控制。它们必须故意添加，这很容易被忽略。”

2019年，全球每次数据泄露的平均成本为392万美元，这些发现相当令人震惊。不幸的是，许多网络安全和IT专业人士仍然坦率地认为，云提供商有责任保护他们在云中的数据。不幸的是，他们的大多数假设都不符合严酷的法律现实。

几乎所有主要的云计算和IaaS提供商都有经验的律师事务所起草了一份严密的合同，在法庭上你无法修改或否定。黑墨水条款明确地将大多数事故的财务责任转移到客户的肩上，并对其他一切建立有限责任，通常以便士计算。

大多数中小企业公司甚至没有仔细阅读这些条款，而在大型组织中，这些条款由法律顾问审查，而法律顾问往往与IT团队脱节。然而，人们很难协商更好的条件，否则，云业务将变得如此危险和无利可图，它将迅速消失。这意味着，您将是唯一一个因错误配置或放弃云存储以及由此导致的数据泄露而受到指责和惩罚的实体。

不受保护的代码存储库

北卡罗来纳州立大学（NCSU）的研究发现，超过10万个GitHub存储库一直在泄漏机密API令牌和加密密钥，每天有数千个新存储库泄露机密。据报道，加拿大银行业巨头丰业银行在公开且可访问的GitHub存储库中存储了数月的内部源代码、登录凭据和访问密钥，最近成为新闻头条。

第三方，尤其是外部软件开发人员，通常是最薄弱的环节。通常，他们的开发人员缺乏适当的培训和安全意识，无法及时保护他们的代码。由于同时有几个项目、苛刻的截止日期和不耐烦的客户，他们忽视或忘记了安全的基本原理，让自己的代码进入公共领域。

网络罪犯非常清楚阿里巴巴这个数字洞穴。专门从事OSIT数据发现的网络帮派以连续模式仔细地抓取现有和新代码存储库，小心地销毁数据。一旦发现有价值的东西，就会卖给专注于剥削和攻击行动的网络帮派。

鉴于此类入侵很少会在异常检测系统中触发任何危险信号，一旦已经太晚了，它们仍然没有被注意到或检测到。更糟糕的是，对此类入侵行为的调查成本高昂，而且几乎没有前瞻性。许多著名的APT攻击都涉及使用代码存储库中的凭据的密码重复使用攻击。

易受攻击的开源软件

开放源代码软件（OSS）在企业系统中的快速扩散，通过在游戏中添加更多未知因素，加剧了网络威胁。ImmuniWeb最近的一份报告发现，100家最大的银行中有97家存在漏洞，而且网络和移动应用程序的编码很差，充斥着过时且易受攻击的开源组件、库和框架。自2011年以来，已知并公开披露了发现的最古老的未修补漏洞。

OSS确实为开发人员节省了大量时间，也为组织节省了大量资金，但同时也带来了广泛的风险，这些风险在很大程度上被低估了。很少有组织能够正确地跟踪和维护无数OSS及其内置于企业软件中的组件。因此，当新检测到的OSS安全漏洞在野外被攻击时，他们被未知蒙蔽了双眼，成为未知的受害者。

如今，大中型企业在应用程序安全方面的投资不断增加，尤其是在DevSecOps和左移测试的实现方面。Gartner敦促采用左移软件测试，在软件开发生命周期（SDLC）的早期阶段进行安全测试，以免修复漏洞变得过于昂贵和耗时。然而，要实现左移测试，必须有一个完整且完整的OSS清单；否则，你只会把钱扔进下水道。

如何预防和补救

遵循以下五条建议，以经济高效的方式降低风险：

1.对您的数字资产进行全面的盘点

应对软件、硬件、数据、用户和许可证进行持续监控、分类和风险评分。在公共云、容器、代码存储库、文件共享服务和外包的时代，这不是一项容易的任务，但如果没有它，你可能会破坏你网络安全工作的完整性，否定之前所有的网络安全投资。记住，你不能保护你看不见的东西。

2.监控你的外部攻击面和风险暴露

许多组织把钱花在辅助甚至理论上的风险上，忽视了他们众多过时、废弃或完全未知的系统，这些系统可以从互联网上访问。这些影子资产对网络罪犯来说是唾手可得的成果。攻击者既聪明又务实；如果他们能通过一条被遗忘的地下隧道悄悄进入你的城堡，他们就不会攻击你的城堡。因此，要确保你对你的外部攻击表面有一个完整的、持续的了解。

3.保留您的软件，实施补丁管理和自动补丁

大多数成功的攻击都不涉及使用复杂且昂贵的0天攻击，但公开披露的漏洞通常可以通过有效的攻击获得。黑客会系统性地搜索你防御周界中最薄弱的环节以进入，即使是一个小小的过时JS库也可能是一笔意外之财，让你获得王冠上的珠宝。为您的所有系统和应用程序实施、测试和监控强健的补丁管理系统。

4.根据风险和威胁确定测试和补救工作的优先级

一旦你对你的数字资产有了清晰的可视性，并且有了一个正确实施的补丁管理策略，那么是时候确保一切都按照你的预期运行了。为所有外部资产部署持续的安全监控，进行深入测试，包括对业务关键型web应用程序和API的渗透测试。设置通过快速通知监控任何异常。

5.密切关注黑暗网络，监控数据泄露

大多数公司都没有意识到，被黑客入侵的第三方网站和服务暴露出来的公司账户中，有多少是在黑暗的网络上出售的。密码重用和暴力攻击的新兴成功源于此。更糟糕的是，即使是像Pastebin这样的合法网站也经常暴露出大量泄露、被盗或丢失的数据，所有人都可以访问这些数据。对这些事件的持续监控和分析可以节省数百万美元，最重要的是，还可以节省您的声誉和商誉。

降低复杂性和成本

我们遇到了一家瑞士公司ImmuniWeb的创新产品#174；以简单且成本效益高的方式解决这些问题。我们对它的技术能力、整合的方法和易得的价格印象深刻。

ImmuniWeb Discovery为您提供了对外部攻击面和风险暴露的卓越可视性和控制。



试试ImmuniWeb®；发现用于：

• 快速发现外部数字资产，包括API、云存储和物联网
• 对应用程序的可攻击性和吸引力进行可操作、数据驱动的安全评级
• 持续监控公共代码存储库中未受保护或泄漏的源代码
• 持续监控Dark Web中暴露的凭据和其他敏感数据
• web和移动应用程序的生产安全软件组成分析
• 关于域名和SSL证书过期的即时警报
• 通过API与SIEMs和其他安全系统集成

We hope you will avoid becoming a victim of a data breach in 2020!