精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

2019年最常見的數(shù)據(jù)泄露原因

責(zé)任編輯:cres

2019-11-13 11:01:01

摘自:GDCA數(shù)安時(shí)代

《網(wǎng)絡(luò)犯罪雜志》表示,到2021年,全球因數(shù)據(jù)泄露損失將超過60億美元。在這里,我們將介紹一些2019年最常見的數(shù)據(jù)泄露原因,并了解如何及時(shí)解決這些問題。

《網(wǎng)絡(luò)犯罪雜志》表示,到2021年,全球因數(shù)據(jù)泄露損失將超過60億美元。在這里,我們將介紹一些2019年最常見的數(shù)據(jù)泄露原因,并了解如何及時(shí)解決這些問題。
 
錯(cuò)誤配置的云存儲
 
很難找到?jīng)]有涉及不受保護(hù)的AWS S3存儲,Elasticsearch或MongoDB的安全事件。一項(xiàng)全球研究表明,只有32%的組織認(rèn)為在云中保護(hù)其數(shù)據(jù)是他們自己的責(zé)任。根據(jù)同一份報(bào)告,更糟糕的是,仍有51%的組織未使用加密來保護(hù)云中的敏感數(shù)據(jù)。
 
有報(bào)道稱證實(shí),聲稱有99%的云和IaaS錯(cuò)誤配置屬于最終用戶控制范圍,并且未被注意。Qualys歐洲,中東和非洲地區(qū)首席技術(shù)安全官M(fèi)arco Rottigni,他解釋了這個(gè)問題:“一開始,一些最常見的云數(shù)據(jù)庫實(shí)現(xiàn)附帶沒有安全性或訪問控制作為標(biāo)準(zhǔn)。必須故意添加它們,否則很容易錯(cuò)過。”
 
據(jù)2019年每個(gè)數(shù)據(jù)泄露的全球平均成本392萬美元,這些發(fā)現(xiàn)令人震驚。令人遺憾的是,許多網(wǎng)絡(luò)安全和IT專業(yè)人員仍然坦率地認(rèn)為云提供商負(fù)責(zé)保護(hù)其云中的數(shù)據(jù)。而且,他們的大多數(shù)假設(shè)都不符合苛刻的法律現(xiàn)實(shí)。
 
這意味著企業(yè)將是唯一的責(zé)任者,要為錯(cuò)誤配置或廢棄的云存儲以及由此導(dǎo)致的數(shù)據(jù)泄露而負(fù)責(zé)。
 
未受保護(hù)的代碼存儲庫
 
北卡羅萊納州立大學(xué)(NCSU)的研究發(fā)現(xiàn),超過100,000個(gè)GitHub存儲庫一直在泄漏秘密API令牌和加密密鑰,并且每天都有成千上萬的新存儲庫公開秘密。加拿大銀行業(yè)巨頭豐業(yè)銀行最近成為新聞?lì)^條新聞,據(jù)報(bào)道,該文件在公開開放且可訪問的 GitHub存儲庫中存儲了幾個(gè)月的內(nèi)部源代碼,登錄憑證和訪問密鑰。
 
第三方(尤其是外部軟件開發(fā)人員)通常是最薄弱的環(huán)節(jié)。通常,他們的開發(fā)人員缺乏適當(dāng)保護(hù)其代碼所必需的適當(dāng)培訓(xùn)和安全意識。他們一次擁有多個(gè)項(xiàng)目,期限緊迫且客戶不耐煩,因此他們忽略或忘記了安全性的基本原理,將其代碼置于公共領(lǐng)域。
 
網(wǎng)絡(luò)罪犯非常清楚這個(gè)數(shù)字漏洞。專門從事OSINT數(shù)據(jù)發(fā)現(xiàn)的網(wǎng)絡(luò)幫派會以連續(xù)模式精心抓取現(xiàn)有和新的代碼存儲庫,并小心地廢棄數(shù)據(jù)。一旦發(fā)現(xiàn)有價(jià)值的東西,就將其出售給專注于利用和進(jìn)攻性行動(dòng)的網(wǎng)絡(luò)幫派。
 
鑒于此類入侵很少會在異常檢測系統(tǒng)中觸發(fā)任何危險(xiǎn)信號,因此一旦為時(shí)已晚,便不會引起注意或檢測到它們。更糟糕的是,對此類入侵的調(diào)查成本很高,幾乎是毫無根據(jù)的。許多著名的APT攻擊都涉及使用代碼存儲庫中的憑據(jù)進(jìn)行的密碼重用攻擊。
 
脆弱的開源軟件
 
在企業(yè)系統(tǒng)中,開源軟件(OSS)的迅速擴(kuò)散通過向游戲中添加更多未知數(shù)而加劇了網(wǎng)絡(luò)威脅的態(tài)勢。ImmuniWeb的最新報(bào)告發(fā)現(xiàn),在100家較大的銀行中,有97家是脆弱的,并且Web和移動(dòng)應(yīng)用程序的編碼不佳,到處都是過時(shí)且脆弱的開源組件,庫和框架。自2011年以來,已知的最古老的未修補(bǔ)漏洞已廣為人知并公開披露。
 
OSS確實(shí)為開發(fā)人員節(jié)省了很多時(shí)間,并為組織節(jié)省了資金,但同樣也提供了各種各樣的伴隨而又被大大低估的風(fēng)險(xiǎn)。很少有組織能夠正確地跟蹤和維護(hù)無數(shù)的OSS及其內(nèi)置于企業(yè)軟件中的組件的清單。因此,在野外積極利用新發(fā)現(xiàn)的OSS安全漏洞時(shí),他們由于不知情而蒙蔽了眼睛,成為未知未知數(shù)的受害者。
 
如今,大中型組織在應(yīng)用程序安全性方面進(jìn)行了增量投資,特別是在DevSecOps和Shift Left測試的實(shí)施方面。但是,要實(shí)施Shift Left測試,必須全面了解OSS的最新清單。
 
如何預(yù)防和補(bǔ)救
 
請遵循以下五個(gè)建議,以節(jié)省成本的方式降低風(fēng)險(xiǎn):
 
1.維護(hù)數(shù)字資產(chǎn)(SSL證書)的最新和整體清單
 
軟件,硬件,數(shù)據(jù),用戶和許可證應(yīng)得到持續(xù)監(jiān)控,分類和風(fēng)險(xiǎn)評分。在公共云,容器,代碼存儲庫,文件共享服務(wù)和外包的時(shí)代,這不是一件容易的事,但是如果沒有它,可能會破壞網(wǎng)絡(luò)安全工作的完整性并否定以前的所有網(wǎng)絡(luò)安全投資。
 
2.監(jiān)控外部攻擊面和風(fēng)險(xiǎn)暴露
 
很多組織無視他們可從Internet訪問的眾多過時(shí),遺棄或只是未知的系統(tǒng),而將錢花在輔助甚至理論風(fēng)險(xiǎn)上。這些影子資產(chǎn)是網(wǎng)絡(luò)犯罪分子垂涎的果實(shí)。攻擊者聰明而務(wù)實(shí)。如果他們能夠通過一條被遺忘的地下隧道悄悄進(jìn)入,因此,請確保對外部攻擊有連續(xù)不斷的了解。
 
3.保持軟件更新,實(shí)施補(bǔ)丁程序管理和自動(dòng)補(bǔ)丁程序
 
大多數(shù)成功的攻擊并不涉及使用復(fù)雜且成本高昂的0day,而是公開披露的漏洞,通常可通過有效利用利用。黑客會系統(tǒng)地搜索防御領(lǐng)域中最薄弱的環(huán)節(jié)以進(jìn)入,甚至是一個(gè)很小的過時(shí)的JS庫也可能是您獲得意外之財(cái)。為您的所有系統(tǒng)和應(yīng)用程序?qū)嵤瑴y試和監(jiān)視強(qiáng)大的補(bǔ)丁程序管理系統(tǒng)。
 
4.根據(jù)風(fēng)險(xiǎn)和威脅確定測試和補(bǔ)救工作的優(yōu)先級
 
一旦可以清楚地看到數(shù)字資產(chǎn)并正確實(shí)施了補(bǔ)丁程序管理策略,就可以確保一切正常。為所有外部資產(chǎn)部署連續(xù)的安全監(jiān)控,進(jìn)行深入測試,包括對關(guān)鍵業(yè)務(wù)Web應(yīng)用程序和API的滲透測試。通過快速通知設(shè)置監(jiān)視任何異常。
 
5.密切關(guān)注Dark Web并監(jiān)視數(shù)據(jù)泄漏
 
大多數(shù)企業(yè)不知道在被黑客入侵的第三方網(wǎng)站和服務(wù)中暴露了多少公司帳戶在Dark Web上被出售。密碼重用和暴力攻擊的成功源于此。更糟糕的是,即使像Pastebin這樣的合法網(wǎng)站也經(jīng)常暴露出每個(gè)人都可以訪問的大量泄漏,被盜或丟失的數(shù)據(jù)。持續(xù)監(jiān)視和分析這些事件可能節(jié)省數(shù)百萬美元,最重要的是,可以節(jié)省聲譽(yù)和商譽(yù)。
 
還有一些小點(diǎn)子:
 
· 快速發(fā)現(xiàn)您的外部數(shù)字資產(chǎn),包括API,云存儲和物聯(lián)網(wǎng)
 
· 對應(yīng)用程序的可入侵性和吸引力進(jìn)行可行的,數(shù)據(jù)驅(qū)動(dòng)的安全性評級
 
· 持續(xù)監(jiān)視公共代碼存儲庫中未受保護(hù)或泄漏的源代碼
 
· 持續(xù)監(jiān)控Dark Web是否暴露了憑據(jù)和其他敏感數(shù)據(jù)
 
· Web和移動(dòng)應(yīng)用程序的安全生產(chǎn)軟件組成分析
 
· 關(guān)于域名和SSL證書即將過期的即時(shí)警報(bào)
 
· 通過API與SIEM和其他安全系統(tǒng)集成
 
我們希望所有的企業(yè)都能避免在2020年成為數(shù)據(jù)泄露的受害者!

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 黄龙县| 福贡县| 德保县| 东宁县| 彝良县| 阿巴嘎旗| 阿瓦提县| 永安市| 吉安县| 溧阳市| 襄垣县| 丰台区| 威信县| 定南县| 探索| 南华县| 临邑县| 外汇| 仁寿县| 库伦旗| 黄龙县| 罗源县| 凯里市| 佛教| 甘南县| 垦利县| 朔州市| 平湖市| 鹤山市| 同心县| 黄陵县| 岗巴县| 台山市| 正镶白旗| 辽阳市| 雷山县| 杭锦后旗| 永昌县| 农安县| 闽侯县| 婺源县|