錯誤配置的云存儲
很難找到?jīng)]有涉及不受保護的AWS S3存儲,Elasticsearch或MongoDB的安全事件。一項全球研究表明,只有32%的組織認為在云中保護其數(shù)據(jù)是他們自己的責任。根據(jù)同一份報告,更糟糕的是,仍有51%的組織未使用加密來保護云中的敏感數(shù)據(jù)。
有報道稱證實,聲稱有99%的云和IaaS錯誤配置屬于最終用戶控制范圍,并且未被注意。Qualys歐洲,中東和非洲地區(qū)首席技術(shù)安全官Marco Rottigni,他解釋了這個問題:“一開始,一些最常見的云數(shù)據(jù)庫實現(xiàn)附帶沒有安全性或訪問控制作為標準。必須故意添加它們,否則很容易錯過。”
據(jù)2019年每個數(shù)據(jù)泄露的全球平均成本392萬美元,這些發(fā)現(xiàn)令人震驚。令人遺憾的是,許多網(wǎng)絡(luò)安全和IT專業(yè)人員仍然坦率地認為云提供商負責保護其云中的數(shù)據(jù)。而且,他們的大多數(shù)假設(shè)都不符合苛刻的法律現(xiàn)實。
這意味著企業(yè)將是唯一的責任者,要為錯誤配置或廢棄的云存儲以及由此導致的數(shù)據(jù)泄露而負責。
未受保護的代碼存儲庫
北卡羅萊納州立大學(NCSU)的研究發(fā)現(xiàn),超過100,000個GitHub存儲庫一直在泄漏秘密API令牌和加密密鑰,并且每天都有成千上萬的新存儲庫公開秘密。加拿大銀行業(yè)巨頭豐業(yè)銀行最近成為新聞頭條新聞,據(jù)報道,該文件在公開開放且可訪問的 GitHub存儲庫中存儲了幾個月的內(nèi)部源代碼,登錄憑證和訪問密鑰。
第三方(尤其是外部軟件開發(fā)人員)通常是最薄弱的環(huán)節(jié)。通常,他們的開發(fā)人員缺乏適當保護其代碼所必需的適當培訓和安全意識。他們一次擁有多個項目,期限緊迫且客戶不耐煩,因此他們忽略或忘記了安全性的基本原理,將其代碼置于公共領(lǐng)域。
網(wǎng)絡(luò)罪犯非常清楚這個數(shù)字漏洞。專門從事OSINT數(shù)據(jù)發(fā)現(xiàn)的網(wǎng)絡(luò)幫派會以連續(xù)模式精心抓取現(xiàn)有和新的代碼存儲庫,并小心地廢棄數(shù)據(jù)。一旦發(fā)現(xiàn)有價值的東西,就將其出售給專注于利用和進攻性行動的網(wǎng)絡(luò)幫派。
鑒于此類入侵很少會在異常檢測系統(tǒng)中觸發(fā)任何危險信號,因此一旦為時已晚,便不會引起注意或檢測到它們。更糟糕的是,對此類入侵的調(diào)查成本很高,幾乎是毫無根據(jù)的。許多著名的APT攻擊都涉及使用代碼存儲庫中的憑據(jù)進行的密碼重用攻擊。
脆弱的開源軟件
在企業(yè)系統(tǒng)中,開源軟件(OSS)的迅速擴散通過向游戲中添加更多未知數(shù)而加劇了網(wǎng)絡(luò)威脅的態(tài)勢。ImmuniWeb的最新報告發(fā)現(xiàn),在100家較大的銀行中,有97家是脆弱的,并且Web和移動應(yīng)用程序的編碼不佳,到處都是過時且脆弱的開源組件,庫和框架。自2011年以來,已知的最古老的未修補漏洞已廣為人知并公開披露。
OSS確實為開發(fā)人員節(jié)省了很多時間,并為組織節(jié)省了資金,但同樣也提供了各種各樣的伴隨而又被大大低估的風險。很少有組織能夠正確地跟蹤和維護無數(shù)的OSS及其內(nèi)置于企業(yè)軟件中的組件的清單。因此,在野外積極利用新發(fā)現(xiàn)的OSS安全漏洞時,他們由于不知情而蒙蔽了眼睛,成為未知未知數(shù)的受害者。
如今,大中型組織在應(yīng)用程序安全性方面進行了增量投資,特別是在DevSecOps和Shift Left測試的實施方面。但是,要實施Shift Left測試,必須全面了解OSS的最新清單。
如何預(yù)防和補救
請遵循以下五個建議,以節(jié)省成本的方式降低風險:
1.維護數(shù)字資產(chǎn)(SSL證書)的最新和整體清單
軟件,硬件,數(shù)據(jù),用戶和許可證應(yīng)得到持續(xù)監(jiān)控,分類和風險評分。在公共云,容器,代碼存儲庫,文件共享服務(wù)和外包的時代,這不是一件容易的事,但是如果沒有它,可能會破壞網(wǎng)絡(luò)安全工作的完整性并否定以前的所有網(wǎng)絡(luò)安全投資。
2.監(jiān)控外部攻擊面和風險暴露
很多組織無視他們可從Internet訪問的眾多過時,遺棄或只是未知的系統(tǒng),而將錢花在輔助甚至理論風險上。這些影子資產(chǎn)是網(wǎng)絡(luò)犯罪分子垂涎的果實。攻擊者聰明而務(wù)實。如果他們能夠通過一條被遺忘的地下隧道悄悄進入,因此,請確保對外部攻擊有連續(xù)不斷的了解。
3.保持軟件更新,實施補丁程序管理和自動補丁程序
大多數(shù)成功的攻擊并不涉及使用復(fù)雜且成本高昂的0day,而是公開披露的漏洞,通??赏ㄟ^有效利用利用。黑客會系統(tǒng)地搜索防御領(lǐng)域中最薄弱的環(huán)節(jié)以進入,甚至是一個很小的過時的JS庫也可能是您獲得意外之財。為您的所有系統(tǒng)和應(yīng)用程序?qū)嵤瑴y試和監(jiān)視強大的補丁程序管理系統(tǒng)。
4.根據(jù)風險和威脅確定測試和補救工作的優(yōu)先級
一旦可以清楚地看到數(shù)字資產(chǎn)并正確實施了補丁程序管理策略,就可以確保一切正常。為所有外部資產(chǎn)部署連續(xù)的安全監(jiān)控,進行深入測試,包括對關(guān)鍵業(yè)務(wù)Web應(yīng)用程序和API的滲透測試。通過快速通知設(shè)置監(jiān)視任何異常。
5.密切關(guān)注Dark Web并監(jiān)視數(shù)據(jù)泄漏
大多數(shù)企業(yè)不知道在被黑客入侵的第三方網(wǎng)站和服務(wù)中暴露了多少公司帳戶在Dark Web上被出售。密碼重用和暴力攻擊的成功源于此。更糟糕的是,即使像Pastebin這樣的合法網(wǎng)站也經(jīng)常暴露出每個人都可以訪問的大量泄漏,被盜或丟失的數(shù)據(jù)。持續(xù)監(jiān)視和分析這些事件可能節(jié)省數(shù)百萬美元,最重要的是,可以節(jié)省聲譽和商譽。
還有一些小點子:
· 快速發(fā)現(xiàn)您的外部數(shù)字資產(chǎn),包括API,云存儲和物聯(lián)網(wǎng)
· 對應(yīng)用程序的可入侵性和吸引力進行可行的,數(shù)據(jù)驅(qū)動的安全性評級
· 持續(xù)監(jiān)視公共代碼存儲庫中未受保護或泄漏的源代碼
· 持續(xù)監(jiān)控Dark Web是否暴露了憑據(jù)和其他敏感數(shù)據(jù)
· Web和移動應(yīng)用程序的安全生產(chǎn)軟件組成分析
· 關(guān)于域名和SSL證書即將過期的即時警報
· 通過API與SIEM和其他安全系統(tǒng)集成
我們希望所有的企業(yè)都能避免在2020年成為數(shù)據(jù)泄露的受害者!