2019年数据泄露的三大原因，你该如何避免？

作者：The Hacker News 译者：Sambodhi 来源：InfoQ

近年来，大规模数据泄露事件层出不穷，不断引发社会各界对网络安全的担忧。2019 年还剩两个月就过去了，但网络上一点也不安生，“数据泄露”的字眼总是活跃在我们眼前，全球各地深受数据泄露事件的困扰，这已造成数以万计的损失。The Hacker News 作为一家领先的、受信任的、被广泛认可的网络安全专业新闻平台，为我们提供了如何避免数据泄露的思路。

未受保护的 IT 基础设施的代价是什么?Cybercrime Magazine 称，到 2021 年，全球损失将超过 60 亿美元。

在本文中，我们将分析 2019 年数据泄露的一些最常见和新出现的原因，并了解如何及时解决这些问题。

错误的云存储配置

很难找到这样的一天：不涉及未受保护的 AWS S3 存储、Elasticsearch 或 MongoDB 的安全事件。

Thales 和 Ponemon Institute 的一项全球研究表明，只有 32% 的组织认为保护云端中的数据是他们自己的责任。根据同一份报告，更糟糕的是，还有 51% 的组织仍然没有使用加密或令牌化来保护云端中的敏感数据。

McAfee 证实，声称 99% 的云端和 IaaS 错误配置都在终端用户的控制范围内，并且仍然未被注意到。 Qualys EMEA 首席技术安全官 Macro Rottigni 就此问题解释说：“一些最常见的云数据库实现，一开始就没有将安全性或访问控制作为标准。必须有意识添加这些，可是这很容易被人为忽略。”

译注：EMEA 为 Europe, the Middle East and Africa 的首字母缩写，为欧洲、中东、非洲三地区的合称，通常是用作政府行政或商业上的区域划分方式。这种用法较常见于北美洲的企业。

2019 年，全球每次数据泄露的平均成本高达 392 万美元，这些发现相当令人震惊。遗憾的是，许多网络安全和 IT 专业人士仍然坦率地认为，云计算供应商有责任保护他们在云端中的数据。然而不幸的是，他们的大多数假设都不符合苛刻的法律现实。

几乎所有主要的云计算和 IaaS 服务提供商，都有经验丰富的律师事务所来起草一份无懈可击的合同，让你无法在法庭上更改或者否定这份合同。这份合同“白纸黑字”明确地规定，大多数事故的财务责任由客户承担，并为其他所有事项确立了有限责任，通常以几分钱来计算。

大多数中小型企业甚至都没有仔细阅读过这些条款，虽然在大型组织中，法律顾问会审查这些条款，但这些顾问往往与 IT 团队脱节。尽管如此，人们很难就更好的条件进行谈判，否则，云计算业务将变得如此危险、无利可图，以至于它会很快消失。这意味着你将成为唯一一个因错误配置或放弃云存储以及由此导致的数据泄露而受到责罚的实体。

未受保护的代码存储库

北卡罗来纳州立大学(NCSU)的研究发现，超过 100000 个 GitHub 存储库一直在泄漏秘密的 API 令牌和密钥，每天都有数以千计的新存储库泄密。

加拿大银行业巨头丰业银行(Scotiabank)最近上了新闻头条，他们将内部源代码、登录凭证和访问密钥存储在公开可访问的 GitHub 存储库中长达数月之久。

第三方，尤其是外部软件开发人员，通常是最薄弱的一环。他们的开发人员常常缺乏适当的培训和必要的安全意识，而这些恰恰是适当保护代码所必需的。他们同时拥有几个项目，但又期限紧迫，且客户不耐烦，他们就因此忽略或忘记安全的基本原理，将他们的代码置于公共领域中。

网络罪犯很清楚这个数字阿里巴巴的洞穴。专门从事 OSINT(Open-Source Intelligence，公开来源情报)数据发现的网络团伙小心翼翼地以连续的方式爬取现有的和新的代码库，并仔细地抓取数据。一旦发现有价值的东西，就会转卖给专注于利用和攻击行动的网络犯罪团伙。

鉴于这种入侵很少在异常检测系统中触发任何危险信号，一旦为时已晚，它们仍然不会被注意到或被发现。更糟糕的是，对此类入侵行为的调查成本高昂，而且几乎毫无前景可言。许多著名的 APT 攻击都涉及使用代码存储库中的凭据进行密码重用攻击。

易受攻击的开源软件

开源软件(Open Source Software，OSS)在企业系统中的快速扩展，在这场游戏中增加了更多的未知数，加剧了网络威胁的格局。

ImmuniWeb 最近的一份报告发现，在 100 家最大的银行中，有 97 家很脆弱，易受攻击，并且他们的 Web 和移动应用编写得很差劲，到处都是过时的、脆弱的开源组件、库和框架。发现的最古老的未经修补漏洞都是已知的，自 2011 年以来就已经公开披露了。

开源软件确实为开发人员节省了大量时间，并为组织节省了大量资金，但同样也带来了广泛的随之而来的风险，这些风险在很大程度上被低估了。

很少有组织能够正确地跟踪和维护一个包含无数开源软件及其组件的清单，这些都内置在他们的企业软件中。因此，当新发现的开源软件的安全漏洞被大肆利用时，他们会被因不知情而遭受蒙蔽，成为未知之未知的受害者。

如今，大中型组织在应用程序安全性方面的投资逐渐增加，特别是在 DevSecOps 和 Shift Left 测试的实现方面。

Gartner 敦促采用 Shift Left 软件测试，在软件开发生命周期(Software Development Lifecycle，SDLC)的早期阶段进行安全性测试，以免修复漏洞变得过于昂贵和耗时。但是，要实现 Shift Left 测试，全面更新的开源软件清单是必不可少的，否则，你只会把钱白白浪费掉。

如何预防和补救

请遵循以下五条建议，以经济高效的方式来降低风险。

1. 维护数字资产的最新完整清单

应该对软件、硬件、数据、用户和许可证进行持续的监控、分类和风险评分。

在公有云、容器、代码库、文件共享服务和外包的时代，这可不是一件容易的事，但是如果没有它，你可能会破坏网络安全努力的完整性，否定之前所有的网络安全投资。

记住，你并不能保护那些你看不到的东西。

2. 监控外部攻击面和风险暴露

许多组织把钱花在辅助性的甚至是理论性的风险上，而忽略了他们众多过时的、遗弃的或者仅仅是可以从互联网上访问的位置系统。这些影子资产对网络罪犯来说是唾手可得的果实。

攻击者是聪明而务实的。如果他们能够通过被遗忘的地下隧道悄悄进入你的城堡，他们就不会对你的城堡发起攻击。

因此，要确保你对外部攻击面有连续不断的了解，有足够的、最新的视野。

3. 保持软件更新、实施补丁管理和自动更新补丁

大多数成功的攻击，并不涉及使用复杂且昂贵的 0day 攻击，而是公开披露的漏洞，这些漏洞通常可以被利用进行攻击。