最新公告
  • 欢迎您光临站壳网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 2019年最常见的数据泄露原因

    正文概述 webmaster   2019-11-12   519

    【线上直播】11月21日晚8点贝壳技术总监侯圣文《数据安全之数据库安全黄金法则》

    网络犯罪杂志》表示,到2021年,全球因数据泄露损失将超过60亿美元。在这里,我们将介绍一些2019年最常见的数据泄露原因,并了解如何及时解决这些问题。

    2019年最常见的数据泄露原因

    错误配置的云存储

    很难找到没有涉及不受保护的AWS S3存储,Elasticsearch或MongoDB的安全事件。一项全球研究表明,只有32%的组织认为在云中保护其数据是他们自己的责任。根据同一份报告,更糟糕的是,仍有51%的组织未使用加密来保护云中的敏感数据。

    有报道称证实,声称有99%的云和IaaS错误配置属于最终用户控制范围,并且未被注意。Qualys欧洲,中东和非洲地区首席技术安全官Marco Rottigni,他解释了这个问题:“一开始,一些最常见的云数据库实现附带没有安全性或访问控制作为标准。必须故意添加它们,否则很容易错过。”

    据2019年每个数据泄露的全球平均成本392万美元,这些发现令人震惊。令人遗憾的是,许多网络安全和IT专业人员仍然坦率地认为云提供商负责保护其云中的数据。而且,他们的大多数假设都不符合苛刻的法律现实。

    这意味着企业将是唯一的责任者,要为错误配置或废弃的云存储以及由此导致的数据泄露而负责。

    未受保护的代码存储库

    北卡罗莱纳州立大学(NCSU)的研究发现,超过100,000个GitHub存储库一直在泄漏秘密API令牌和加密密钥,并且每天都有成千上万的新存储库公开秘密。加拿大银行业巨头丰业银行最近成为新闻头条新闻,据报道,该文件在公开开放且可访问的 GitHub存储库中存储了几个月的内部源代码,登录凭证和访问密钥。

    第三方(尤其是外部软件开发人员)通常是最薄弱的环节。通常,他们的开发人员缺乏适当保护其代码所必需的适当培训和安全意识。他们一次拥有多个项目,期限紧迫且客户不耐烦,因此他们忽略或忘记了安全性的基本原理,将其代码置于公共领域。

    网络罪犯非常清楚这个数字漏洞。专门从事OSINT数据发现的网络帮派会以连续模式精心抓取现有和新的代码存储库,并小心地废弃数据。一旦发现有价值的东西,就将其出售给专注于利用和进攻性行动的网络帮派。

    鉴于此类入侵很少会在异常检测系统中触发任何危险信号,因此一旦为时已晚,便不会引起注意或检测到它们。更糟糕的是,对此类入侵的调查成本很高,几乎是毫无根据的。许多著名的APT攻击都涉及使用代码存储库中的凭据进行的密码重用攻击。

    脆弱的开源软件

    在企业系统中,开源软件(OSS)的迅速扩散通过向游戏中添加更多未知数而加剧了网络威胁的态势。ImmuniWeb的最新报告发现,在100家较大的银行中,有97家是脆弱的,并且Web和移动应用程序的编码不佳,到处都是过时且脆弱的开源组件,库和框架。自2011年以来,已知的最古老的未修补漏洞已广为人知并公开披露。

    OSS确实为开发人员节省了很多时间,并为组织节省了资金,但同样也提供了各种各样的伴随而又被大大低估的风险。很少有组织能够正确地跟踪和维护无数的OSS及其内置于企业软件中的组件的清单。因此,在野外积极利用新发现的OSS安全漏洞时,他们由于不知情而蒙蔽了眼睛,成为未知未知数的受害者。

    如今,大中型组织在应用程序安全性方面进行了增量投资,特别是在DevSecOps和Shift Left测试的实施方面。但是,要实施Shift Left测试,必须全面了解OSS的最新清单。

    如何预防和补救

    请遵循以下五个建议,以节省成本的方式降低风险:

    1.维护数字资产(SSL证书)的最新和整体清单

    软件,硬件,数据,用户和许可证应得到持续监控,分类和风险评分。在公共云,容器,代码存储库,文件共享服务和外包的时代,这不是一件容易的事,但是如果没有它,可能会破坏网络安全工作的完整性并否定以前的所有网络安全投资。

    2.监控外部攻击面和风险暴露

    很多组织无视他们可从Internet访问的众多过时,遗弃或只是未知的系统,而将钱花在辅助甚至理论风险上。这些影子资产是网络犯罪分子垂涎的果实。攻击者聪明而务实。如果他们能够通过一条被遗忘的地下隧道悄悄进入,因此,请确保对外部攻击有连续不断的了解。

    3.保持软件更新,实施补丁程序管理和自动补丁程序

    大多数成功的攻击并不涉及使用复杂且成本高昂的0day,而是公开披露的漏洞,通常可通过有效利用利用。黑客会系统地搜索防御领域中最薄弱的环节以进入,甚至是一个很小的过时的JS库也可能是您获得意外之财。为您的所有系统和应用程序实施,测试和监视强大的补丁程序管理系统。

    4.根据风险和威胁确定测试和补救工作的优先级

    一旦可以清楚地看到数字资产并正确实施了补丁程序管理策略,就可以确保一切正常。为所有外部资产部署连续的安全监控,进行深入测试,包括对关键业务Web应用程序和API的渗透测试。通过快速通知设置监视任何异常。

    5.密切关注Dark Web并监视数据泄漏

    大多数企业不知道在被黑客入侵的第三方网站和服务中暴露了多少公司帐户在Dark Web上被出售。密码重用和暴力攻击的成功源于此。更糟糕的是,即使像Pastebin这样的合法网站也经常暴露出每个人都可以访问的大量泄漏,被盗或丢失的数据。持续监视和分析这些事件可能节省数百万美元,最重要的是,可以节省声誉和商誉。

    还有一些小点子:

    • 快速发现您的外部数字资产,包括API,云存储和物联网
    • 对应用程序的可入侵性和吸引力进行可行的,数据驱动的安全性评级
    • 持续监视公共代码存储库中未受保护或泄漏的源代码
    • 持续监控Dark Web是否暴露了凭据和其他敏感数据
    • Web和移动应用程序的安全生产软件组成分析
    • 关于域名和SSL证书即将过期的即时警报
    • 通过API与SIEM和其他安全系统集成

    我们希望所有的企业都能避免在2020年成为数据泄露的受害者!

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 2019年最常见的数据泄露原因

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 594会员总数(位)
    • 4902资源总数(个)
    • 176本周发布(个)
    • 0 今日发布(个)
    • 183稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情