2019年最常见的数据泄露原因

高枫

《网络犯罪》杂志表示，到2021年，全球因数据泄露的损失将超过60亿美元。这里介绍一些2019年最常见的数据泄露原因以及如何及时解决这些问题。

错误配置的云存储

现在很难找到没有涉及不受保护的AWS S3存储系统，Elasticsearch或MongoDB的安全事件。一项全球研究表明，只有32 %的组织认为在云中保护其数据是他们自己的责任。更糟糕的是，同一份报告显示，仍有51 %的组织未使用加密来保护云中的敏感数据。

有报道显示99 %的云和IaaS错误配置属于最终用户控制范围，并且未被注意。Qualys欧洲，中东和非洲地区首席技术安全官Marco Rottigni解释了这个问题：“一开始，一些最常见的云数据库实现附带没有安全性或访问控制作为标准。必须主动添加它们，否则很容易错过。”

据2019年每个数据泄露的全球平均成本392万美元，这些发现令人震惊。令人遗憾的是，许多网络安全和IT专业人员仍然认为云提供商负责保护其云中的数据。而且，他们的大多数假设都不符合苛刻的法律现实。

这意味着企业将是唯一的责任者，要为错误配置或废弃的云存储以及由此导致的数据泄露负责。

未受保护的代码存储库

北卡罗莱纳州立大学的研究发现，超过100 000个GitHub存储库一直在泄漏秘密API令牌和加密密钥，并且每天都有成千上万的新存储库公开秘密。加拿大银行业巨头丰业银行最近成為新闻头条，据报道，该文件在公开开放且可访问的GitHub存储库中存储了几个月的内部源代码、登录凭证和访问密钥。

第三方（尤其是外部软件开发人员）通常是最薄弱的环节。开发人员缺乏保护代码所必需的适当培训和安全意识。他们一次拥有多个项目，期限紧迫且客户不耐烦，因此他们忽略或忘记了安全性的基本原理，将其代码置于公共领域。

网络罪犯非常清楚这个数字漏洞。专门从事OSINT数据发现的网络帮派会以连续模式精心抓取现有和新的代码存储库，并小心地废弃数据。一旦发现有价值的东西，就将其出售给专注于利用和进攻性行动的网络帮派。

鉴于此类入侵很少会在异常检测系统中触发危险信号，因此不会引起注意或检测它们，一旦发现为时已晚。更糟糕的是，对此类入侵的调查成本很高，且几乎毫无根据。许多著名的APT攻击都涉及使用代码存储库中的凭据进行密码重用攻击。

脆弱的开源软件

在企业系统中，开源软件（OSS）的迅速扩散，通过向游戏中添加更多未知数而加剧网络威胁的态势。ImmuniWeb的最新报告发现，在100家较大的银行中，有97家是脆弱的，并且Web和移动应用程序的编码不佳，到处都是过时且脆弱的开源组件、库和框架。自2011年以来，已知的最古老的未修补漏洞已广为人知并公开披露。

OSS确实为开发人员节省了很多时间，并为组织节省了资金，但同样也提供了各种各样的风险。很少有组织能够正确跟踪和维护无数的OSS及其内置于企业软件中的组件清单。因此，在积极利用新发现的OSS安全漏洞时，他们由于不知情而蒙蔽了眼睛，成为未知受害者。

如今，大中型组织在应用程序安全性方面进行了增量投资，特别是在DevSecOps和Shift Left测试的实施方面。但是，要实施Shift Left测试，必须全面了解OSS的最新清单。

如何预防和补救

请遵循以下5个建议，以节省成本的方式降低风险：

1.维护数字资产（SSL证书）的最新和整体清单

软件、硬件、数据、用户和许可证应得到持续监控、分类和风险评分。在公共云、容器、代码存储库、文件共享服务和外包的时代，这不是一件容易的事，但是如果没有它，可能会破坏网络安全工作的完整性并否定以前的所有网络安全投资。

2.监控外部攻击面和风险暴露

很多组织无视他们可从Internet访问的众多过时、遗弃或只是未知的系统，而将钱花在辅助甚至理论风险上。这些影子资产是网络犯罪分子垂涎的果实，攻击者聪明而务实，他们能够通过一条被遗忘的地下隧道悄悄进入。因此，请确保对外部攻击有连续不断的了解。

3.保持软件更新，实施补丁程序管理和自动补丁程序

大多数成功的攻击并不涉及使用复杂且成本高昂的0day，而是公开披露的漏洞，通常可有效地利用。黑客会系统地搜索防御领域中最薄弱的环节以进入，甚至一个很小的、过时的JS库也可能使您受到攻击。因此，需要为所有系统和应用程序实施、测试和监视强大的补丁程序管理系统。

4.根据风险和威胁确定测试和补救工作的优先级

一旦可以清楚地看到数字资产并正确实施了补丁程序管理策略，就可以确保一切正常。为所有外部资产部署连续的安全监控、进行深入测试，包括对关键业务Web应用程序和API的渗透测试。通过快速通知设置监视任何异常。

5.密切关注Dark Web并监视数据泄漏

大多数企业不知道在被黑客入侵的第三方网站和服务中暴露了多少公司帐户，他们在Dark Web上被出售。密码重用和暴力攻击的成功源于此。更糟糕的是，即使像Pastebin这样的合法网站也经常暴露出每个人都可以访问的大量泄漏、被盗或丢失的数据。持续监视和分析这些事件可能节省数百万美元，最重要的是可以减少声誉和商誉的损失。

还有一些小点子：

快速发现外部数字资产，包括API、云存储和物联网；

对应用程序的可入侵性和吸引力进行可行的、数据驱动的安全性评级；

持续监视公共代码存储库中未受保护或泄漏的源代码；

持续监控Dark Web是否暴露了凭据和其他敏感数据；

Web和移动应用程序的安全生产软件组成分析；

关于域名和SSL证书即将过期的即时警报；

通过API与SIEM和其他安全系统集成。

希望所有的企业都能避免在2020年成为数据泄露的受害者。