2019 年數據泄露的三大原因，你該如何避免？

2019 年 10 月 31 日
筆記

近年來，大規模數據泄露事件層出不窮，不斷引發社會各界對網路安全的擔憂。2019 年還剩兩個月就過去了，但網路上一點也不安生，「數據泄露」的字眼總是活躍在我們眼前，全球各地深受數據泄露事件的困擾，這已造成數以萬計的損失。The Hacker News 作為一家領先的、受信任的、被廣泛認可的網路安全專業新聞平台，為我們提供了如何避免數據泄露的思路。

未受保護的 IT 基礎設施的代價是什麼？Cybercrime Magazine 稱，到 2021 年，全球損失將超過 60 億美元。

在本文中，我們將分析 2019 年數據泄露的一些最常見和新出現的原因，並了解如何及時解決這些問題。

錯誤的雲存儲配置

很難找到這樣的一天：不涉及未受保護的 AWS S3 存儲、Elasticsearch 或 MongoDB 的安全事件。

Thales 和 Ponemon Institute 的一項全球研究表明，只有 32% 的組織認為保護雲端中的數據是他們自己的責任。根據同一份報告，更糟糕的是，還有 51% 的組織仍然沒有使用加密或令牌化來保護雲端中的敏感數據。

McAfee 證實，聲稱 99% 的雲端和 IaaS 錯誤配置都在終端用戶的控制範圍內，並且仍然未被注意到。Qualys EMEA 首席技術安全官 Macro Rottigni 就此問題解釋說：「一些最常見的雲資料庫實現，一開始就沒有將安全性或訪問控制作為標準。必須有意識添加這些，可是這很容易被人為忽略。」

譯註：EMEA 為 Europe, the Middle East and Africa 的首字母縮寫，為歐洲、中東、非洲三地區的合稱，通常是用作政府行政或商業上的區域劃分方式。這種用法較常見於北美洲的企業。

2019 年，全球每次數據泄露的平均成本高達 392 萬美元，這些發現相當令人震驚。遺憾的是，許多網路安全和 IT 專業人士仍然坦率地認為，雲計算供應商有責任保護他們在雲端中的數據。然而不幸的是，他們的大多數假設都不符合苛刻的法律現實。

幾乎所有主要的雲計算和 IaaS 服務提供商，都有經驗豐富的律師事務所來起草一份無懈可擊的合約，讓你無法在法庭上更改或者否定這份合約。這份合約「白紙黑字」明確地規定，大多數事故的財務責任由客戶承擔，並為其他所有事項確立了有限責任，通常以幾分錢來計算。

大多數中小型企業甚至都沒有仔細閱讀過這些條款，雖然在大型組織中，法律顧問會審查這些條款，但這些顧問往往與 IT 團隊脫節。儘管如此，人們很難就更好的條件進行談判，否則，雲計算業務將變得如此危險、無利可圖，以至於它會很快消失。這意味著你將成為唯一一個因錯誤配置或放棄雲存儲以及由此導致的數據泄露而受到責罰的實體。

未受保護的程式碼存儲庫

北卡羅來納州立大學（NCSU）的研究發現，超過 100000 個 GitHub 存儲庫一直在泄漏秘密的 API 令牌和密鑰，每天都有數以千計的新存儲庫泄密。

加拿大銀行業巨頭豐業銀行（Scotiabank）最近上了新聞頭條，他們將內部源程式碼、登錄憑證和訪問密鑰存儲在公開可訪問的 GitHub 存儲庫中長達數月之久。

第三方，尤其是外部軟體開發人員，通常是最薄弱的一環。他們的開發人員常常缺乏適當的培訓和必要的安全意識，而這些恰恰是適當保護程式碼所必需的。他們同時擁有幾個項目，但又期限緊迫，且客戶不耐煩，他們就因此忽略或忘記安全的基本原理，將他們的程式碼置於公共領域中。

網路罪犯很清楚這個數字阿里巴巴的洞穴。專門從事 OSINT（Open-Source Intelligence，公開來源情報）數據發現的網路團伙小心翼翼地以連續的方式爬取現有的和新的程式碼庫，並仔細地抓取數據。一旦發現有價值的東西，就會轉賣給專註於利用和攻擊行動的網路犯罪團伙。

鑒於這種入侵很少在異常檢測系統中觸發任何危險訊號，一旦為時已晚，它們仍然不會被注意到或被發現。更糟糕的是，對此類入侵行為的調查成本高昂，而且幾乎毫無前景可言。許多著名的 APT 攻擊都涉及使用程式碼存儲庫中的憑據進行密碼重用攻擊。

易受攻擊的開源軟體

開源軟體（Open Source Software，OSS）在企業系統中的快速擴展，在這場遊戲中增加了更多的未知數，加劇了網路威脅的格局。

ImmuniWeb 最近的一份報告發現，在 100 家最大的銀行中，有 97 家很脆弱，易受攻擊，並且他們的 Web 和移動應用編寫得很差勁，到處都是過時的、脆弱的開源組件、庫和框架。發現的最古老的未經修補漏洞都是已知的，自 2011 年以來就已經公開披露了。

開源軟體確實為開發人員節省了大量時間，並為組織節省了大量資金，但同樣也帶來了廣泛的隨之而來的風險，這些風險在很大程度上被低估了。

很少有組織能夠正確地跟蹤和維護一個包含無數開源軟體及其組件的清單，這些都內置在他們的企業軟體中。因此，當新發現的開源軟體的安全漏洞被大肆利用時，他們會被因不知情而遭受蒙蔽，成為未知之未知的受害者。

如今，大中型組織在應用程式安全性方面的投資逐漸增加，特別是在 DevSecOps 和 Shift Left 測試的實現方面。

Gartner 敦促採用 Shift Left 軟體測試，在軟體開發生命周期（Software Development Lifecycle，SDLC）的早期階段進行安全性測試，以免修復漏洞變得過於昂貴和耗時。但是，要實現 Shift Left 測試，全面更新的開源軟體清單是必不可少的，否則，你只會把錢白白浪費掉。

如何預防和補救

請遵循以下五條建議，以經濟高效的方式來降低風險。

1. 維護數字資產的最新完整清單

應該對軟體、硬體、數據、用戶和許可證進行持續的監控、分類和風險評分。

在公有雲、容器、程式碼庫、文件共享服務和外包的時代，這可不是一件容易的事，但是如果沒有它，你可能會破壞網路安全努力的完整性，否定之前所有的網路安全投資。

記住，你並不能保護那些你看不到的東西。

2. 監控外部攻擊面和風險暴露

許多組織把錢花在輔助性的甚至是理論性的風險上，而忽略了他們眾多過時的、遺棄的或者僅僅是可以從互聯網上訪問的位置系統。這些影子資產對網路罪犯來說是唾手可得的果實。

攻擊者是聰明而務實的。如果他們能夠通過被遺忘的地下隧道悄悄進入你的城堡，他們就不會對你的城堡發起攻擊。

因此，要確保你對外部攻擊面有連續不斷的了解，有足夠的、最新的視野。

3. 保持軟體更新、實施修補程式管理和自動更新修補程式

大多數成功的攻擊，並不涉及使用複雜且昂貴的 0day 攻擊，而是公開披露的漏洞，這些漏洞通常可以被利用進行攻擊。

黑客會有系統地搜索你防禦系統中最薄弱的環節，甚至是一個小小的、過時的 JS 庫也可能是用來獲取你的皇冠珠寶的意外之財。要為所有的系統和應用程式實施、測試和監控強壯的修補程式管理系統。

4. 根據風險和威脅確定測試和補救工作的優先順序

一旦你對數字資產有了清晰可見的了解，並正確實現了修補程式管理策略，就可以確保一切都如你所期望的那樣正常了。

為所有外部資產部署持續的安全監控，進行滲入測試，包括對業務關鍵性 Web 應用程式和 API 進行滲透測試。使用快速通知設置對任何異常情況的監控。

5. 密切關注暗網並監控數據泄露

大多數公司都沒有意識到，在被黑客入侵的第三方網站和服務中暴露了多少公司的賬戶，這些賬戶正在暗網上銷售。密碼重用和暴力攻擊的成功源於此。

更糟糕的是，即使是像 Pastebin 這樣的合法網站，也經常暴露出大量泄漏、被盜或丟失的數據，這些數據人人都可以訪問。持續監測和分析這些事件可以為你的公司節省數百萬美元，最重要的是，還可以拯救你的聲譽和公司的商譽。

降低複雜性和成本

我們遇到了一家瑞士公司 ImmuniWeb® 提供的創新產品，它以簡單且經濟高效的方式解決了這些問題。該公司的技術能力、綜合方法和低廉價格給我們留下了深刻的印象。

ImmuniWeb Discovery 為你提供了對外部攻擊面和風險暴露的卓越可見性和控制。你可以嘗試ImmuniWeb® Discovery 進行以下操作：

快速發現你的外部數字資產，包括 API、雲存儲和物聯網。
對應用程式的可入侵性和吸引力進行可行的、由數據驅動的安全評級。
持續監控公共程式碼庫中未受保護的或泄露的源程式碼。
持續監控暗網中是否暴露了憑據和其他敏感數據。
Web 和移動應用程式的安全生產軟體組成分析。
關於域名和 SSL 證書即將過期的即時警報。
通過 API 與 SIEM 和其他安全系統集成。

我們希望，在 2020 年，你能夠避免成為數據泄露的受害者！

作者介紹：

The Hacker News（THN），是一家領先的、受信任的、被廣泛認可的網路安全專業新聞平台，每月吸引超過 800 萬讀者，包括 IT 專業人士、研究人員、黑客、技術人員和愛好者。