近年来,大规模数据泄露事件层出不穷,不断引发社会各界对网络安全的担忧。2023年01月30日还剩两个月就过去了,但网络上一点也不安生,“数据泄露”的字眼总是活跃在我们眼前,全球各地深受数据泄露事件的困扰,这已造成数以万计的损失。The Hacker News 作为一家领先的、受信任的、被广泛认可的网络安全专业新闻平台,为我们提供了如何避免数据泄露的思路。
未受保护的 IT 基础设施的代价是什么?Cybercrime Magazine 称,到 2023年01月30日,全球损失。
在本文中,我们将分析 2023年01月30日数据泄露的一些最常见和新出现的原因,并了解如何及时解决这些问题。
错误的云存储配置
很难找到这样的一天:不涉及未受保护的 AWS S3 存储、Elasticsearch 或 MongoDB 的安全事件。
Thales 和 Ponemon Institute 的一项全球研究表明,只有 认为保护云端中的数据是他们自己的责任。根据同一份报告,更糟糕的是,还有 51% 的组织仍然没有使用加密或令牌化来保护云端中的敏感数据。
McAfee 证实,声称 都在终端用户的控制范围内,并且仍然未被注意到。 EMEA 首席技术安全官 Macro Rottigni 就此问题解释说:“一些最常见的云数据库实现,一开始就没有将安全性或访问控制作为标准。必须有意识添加这些,可是这很容易被人为忽略。”
译注:EMEA 为 Europe, the Middle East and Africa 的首字母缩写,为欧洲、中东、非洲三地区的合称,通常是用作政府行政或商业上的区域划分方式。这种用法较常见于北美洲的企业。
2023年01月30日,全球每次数据泄露的,这些发现相当令人震惊。遗憾的是,许多网络安全和 IT 专业人士仍然坦率地认为,云计算供应商有责任保护他们在云端中的数据。然而不幸的是,他们的大多数假设都不符合苛刻的法律现实。
几乎所有主要的云计算和 IaaS 服务提供商,都有经验丰富的律师事务所来起草一份无懈可击的合同,让你无法在法庭上更改或者否定这份合同。这份合同“白纸黑字”明确地规定,大多数事故的财务责任由客户承担,并为其他所有事项确立了有限责任,通常以几分钱来计算。
大多数中小型企业甚至都没有仔细阅读过这些条款,虽然在大型组织中,法律顾问会审查这些条款,但这些顾问往往与 IT 团队脱节。尽管如此,人们很难就更好的条件进行谈判,否则,云计算业务将变得如此危险、无利可图,以至于它会很快消失。这意味着你将成为唯一一个因错误配置或放弃云存储以及由此导致的数据泄露而受到责罚的实体。
未受保护的代码存储库
北卡罗来纳州立大学(NCSU)的研究发现,一直在泄漏秘密的 API 令牌和密钥,每天都有数以千计的新存储库泄密。
加拿大银行业巨头丰业银行(Scotiabank)最近上了新闻头条,他们将内部源代码、登录凭证和访问密钥存储在的 GitHub 存储库中长达数月之久。
第三方,尤其是外部软件开发人员,通常是最薄弱的一环。他们的开发人员常常缺乏适当的培训和必要的安全意识,而这些恰恰是适当保护代码所必需的。他们同时拥有几个项目,但又期限紧迫,且客户不耐烦,他们就因此忽略或忘记安全的基本原理,将他们的代码置于公共领域中。
网络罪犯很清楚这个数字阿里巴巴的洞穴。专门从事 OSINT(Open-Source Intelligence,公开来源情报)数据发现的网络团伙小心翼翼地以连续的方式爬取现有的和新的代码库,并仔细地抓取数据。一旦发现有价值的东西,就会转卖给专注于利用和攻击行动的网络犯罪团伙。
鉴于这种入侵很少在异常检测系统中触发任何危险信号,一旦为时已晚,它们仍然不会被注意到或被发现。更糟糕的是,对此类入侵行为的调查成本高昂,而且几乎毫无前景可言。许多著名的 APT 攻击都涉及使用代码存储库中的凭据进行密码重用攻击。
易受攻击的开源软件
开源软件(Open Source Software,OSS)在企业系统中的快速扩展,在这场游戏中增加了更多的未知数,加剧了网络威胁的格局。
ImmuniWeb 最近的一份报告发现,在 100 家最大的银行中, ,并且他们的 Web 和移动应用编写得很差劲,到处都是过时的、脆弱的开源组件、库和框架。发现的最古老的未经修补漏洞都是已知的,自 2023年01月30日以来就已经公开披露了。
开源软件确实为开发人员节省了大量时间,并为组织节省了大量资金,但同样也带来了广泛的随之而来的风险,这些风险在很大程度上被低估了。
很少有组织能够正确地跟踪和维护一个包含无数开源软件及其组件的清单,这些都内置在他们的企业软件中。因此,当新发现的开源软件的安全漏洞被大肆利用时,他们会被因不知情而遭受蒙蔽,成为未知之未知的受害者。
如今,大中型组织在应用程序安全性方面的投资逐渐增加,特别是在 DevSecOps 和 Shift Left 测试的实现方面。
Gartner 敦促采用 软件测试,在软件开发生命周期(Software Development Lifecycle,SDLC)的早期阶段进行安全性测试,以免修复漏洞变得过于昂贵和耗时。但是,要实现 Shift Left 测试,全面更新的开源软件清单是必不可少的,否则,你只会把钱白白浪费掉。
如何预防和补救
请遵循以下五条建议,以经济高效的方式来降低风险。
1. 维护数字资产的最新完整清单
应该对软件、硬件、数据、用户和许可证进行持续的。
在公有云、容器、代码库、文件共享服务和外包的时代,这可不是一件容易的事,但是如果没有它,你可能会破坏网络安全努力的完整性,否定之前所有的网络安全投资。
记住,你并不能保护那些你看不到的东西。
2. 监控外部攻击面和风险暴露
许多组织把钱花在辅助性的甚至是理论性的风险上,而忽略了他们众多过时的、遗弃的或者仅仅是可以从互联网上访问的位置系统。这些影子资产对网络罪犯来说是唾手可得的果实。
攻击者是聪明而务实的。如果他们能够通过被遗忘的地下隧道悄悄进入你的城堡,他们就不会对你的城堡发起攻击。
因此,要确保你对有连续不断的了解,有足够的、最新的视野。
3. 保持软件更新、实施补丁管理和自动更新补丁
大多数成功的攻击,并不涉及使用复杂且昂贵的 0day 攻击,而是公开披露的漏洞,这些漏洞通常可以被利用进行攻击。
黑客会有系统地搜索你防御系统中,甚至是一个小小的、过时的 JS 库也可能是用来获取你的皇冠珠宝的意外之财。要为所有的系统和应用程序实施、测试和监控强壮的补丁管理系统。
4. 根据风险和威胁确定测试和补救工作的优先级
一旦你对数字资产有了清晰可见的了解,并正确实现了补丁管理策略,就可以确保一切都如你所期望的那样正常了。
为所有外部资产部署持续的安全监控,进行渗入测试,包括对业务关键性 Web 应用程序和 API 进行。使用快速通知设置对任何异常情况的监控。
5. 密切关注暗网并监控数据泄露
大多数公司都没有意识到,在被黑客入侵的第三方网站和服务中暴露了多少公司的账户,这些账户。密码重用和暴力攻击的成功源于此。
更糟糕的是,即使是像 Pastebin 这样的合法网站,也经常暴露出大量泄漏、被盗或丢失的数据,这些数据人人都可以访问。持续监测和分析这些事件可以为你的公司节省数百万美元,最重要的是,还可以拯救你的声誉和公司的商誉。
降低复杂性和成本
我们遇到了一家瑞士公司 ImmuniWeb® 提供的创新产品,它以简单且经济高效的方式解决了这些问题。该公司的技术能力、综合方法和低廉价格给我们留下了深刻的印象。
为你提供了对外部攻击面和风险暴露的卓越可见性和控制。你可以尝试 进行以下操作:
快速发现你的外部数字资产,包括 API、云存储和物联网。
对应用程序的可入侵性和吸引力进行可行的、由数据驱动的安全评级。
持续监控公共代码库中未受保护的或泄露的源代码。
持续监控暗网中是否暴露了凭据和其他敏感数据。
Web 和移动应用程序的安全生产软件组成分析。
关于域名和 SSL 证书即将过期的即时警报。
通过 API 与 SIEM 和其他安全系统集成。
我们希望,在 2023年01月30日,你能够避免成为数据泄露的受害者!
企业如何应对数据泄密风险,加密保护文件安全防泄密的具体措施有哪些?
大势至电脑文件防泄密软件(下载地址: www.dashizhi.com/products_technology/products/13.html" style="border: 0px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-variant-numeric: normal; font-variant-east-asian: normal; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: 21px; font-family: " microsoft="" yahei";="" vertical-align:="" baseline;="" color:="" rgb(0,="" 0,="" 238);="" text-decoration-line:="" underline;="" cursor:="" pointer;="" widows:="" 1;"="">https://www.dashizhi.com/products_technology/products/13.html)是一款专业的数据防泄密软件,可以灵活控制USB存储设备、禁止U盘使用、禁止网盘上传文件、禁止聊天软件发送文件、禁止邮件附件发送文件、禁止FTP文件上传等,防止通过各种途径将电脑文件泄漏出去。
大势至电脑文件防泄密系统是一款保护电脑文件安全、严防企业商业机密外泄的软件产品。系统主要从三个维度进行管理,即USB存储设备控制、上网行为控制、操作系统控制,从而构建立体化、全方位信息安全防护平台。大势至电脑文件防泄密系统可以禁止一切USB存储设备连接电脑拷贝资料,不控制鼠标、键盘、U盾等USB非存储设备,还可以灵活管控光驱、软驱、红外、蓝牙、随身wifi、聊天软件、网盘、邮箱、注册表、应用程序、网卡、随身wifi等多项功能。大势至电脑文件防泄密系统安装和操作十分简单快捷,各项功能划分精细齐全,控制精准有效,目前已成功应用百万终端,积累了丰厚的行业经验。系统分为两个版本,即单机版和网络版,单机版逐一管理,网络版有管理端,可以统一管理。
1、大势至电脑文件加密软件的功能
1)泄密途径的全面控制:常见的泄密途径包括U盘拷贝、QQ等聊天工具的剪贴及文件传输、webmail发邮件、打印、截屏工具的使用等。U盘拷贝、QQ传文件及webmail的文件发送在加密软件得到运用后,传输的应该都是密文,如果经过测试(将文件传输到未装加密软件的电脑,显示为密文)后功能正常,则应该重点考察通过剪贴板能否拷贝、通过屏幕拷贝(一种是使用Windows快捷键PrtScr或者ALT+PrtScr,另一种是使用一些可以捕捉屏幕的软件,比如QQ等)显示是否是密文、是否禁止打印等。此外,针对OLE插入、拖拽、文件修改进程名等较少用的泄密方法也要进行测试。如果泄密途径无法得到有效控制,信息安全就无从谈起。
2)文件权限的灵活管理:为了提高文件的安全,大势至电脑文件加密软件同时具有文件的权限管理功能,即在企业内部,各个部门之前的文件可以有选择的进行流通,这样,可以防止机密信息在企业内部之间的扩散。同时还可以独家实现不解密而单独打开加密软件的功能,阅读后自动“返回”到加密文件里面;同时还可以实现对解密文件的二次访问权限控制功能,独家实现只让读取解密文件而禁止复制解密文件、只让修改解密文件而禁止删除解密文件以及只让打开解密文件而禁止另存为、打印或拖拽解密文件的行为,极大地保护了解密后文件的安全。
3)重要文档的自动备份:大势至电脑文件加密软件可以实时、自动备份重要的电脑文件,有效地防止重要文档被人为破坏或恶意删除。
4)电脑文件操作的记录的功能:本系统可以对文件打开、复制、拷入拷出、解密、备份的情况进行记录,并可以形成详细的文件操作访问日志。因为技术不可能解决100%的泄密问题,这样可以做到事后有迹可查,可第一时间作出有效措施,减少损失。
5)文件离线的管理:本系统在员工短期办公或外出出差、出差天数变更时能提供方便、安全的解决方案,发挥加密软件的最大效用。
6)电脑文件外发/解密的管理:本系统对外部门因工作需要将公司内部文档进行外发时,具有安全的外发方案:外发/解密得到授权并保存记录、最好能控制外发文件的阅读次数及有效阅读期以防止二次扩散。
7)企业的特殊需求:大势至研发团队可以根据用户的需要随时定制开发各种电脑文件防泄漏、电脑文件加密功能,最大限度满足用户个性化的电脑文件安全管理需要。
2、大势至电脑文件加密领先优势如下
1)强大的防脱机加密方式,只要文件被加密过,即便转移到其他存储设备上也会依然保持加密状态。
2)如果不希望重要的文件夹被发现,使用本系统的超强深度隐藏功能,即可瞬间隐藏整个文件夹。
3)对于本系统的管理员账户,访问加密文件夹无需输入任何密码,深度隐藏的文件也可以顺利发现。
4)软件本身具备强大的自我保护功能,防止删除、病毒干扰,防破解。
5)军工级别的加密算法,确保文件夹被严格加密,目前技术条件下没有任何办法可以破解。
6)软件设置简单、应用简便,新手也可以在短时间内尽快上手。
7)本加密软件适用于电脑加密文件夹/万能文件加密/移动硬盘加密/U盘深度加密/各类文档设计方案加密。
8)独家实现不解密查看加密文件的功能,并且用户查看后无需再次进行加密,方便了用户的读取和使用,又保护了加密文件的安全。
9)独家实现对解密后的文件访问权限控制功能,可以只让读取解密后的文件而禁止复制内容、只让修改解密后的文件而禁止删除、只让打开解密后的文件而禁止另存为本地磁盘,同时还可以防止拖拽、打印解密文件的行为。
10)独家实现对加密、解密文件的防泄漏功能,可以严防通过U盘、移动硬盘等USB存储设备和通过邮件、网盘、FTP文件上传以及聊天软件发送文件的方式将电脑文件泄漏出去,从而实现了对电脑文件安全的二次防护。
总之,大势至电脑文件加密系统是当前国内首家的专业电脑文件防泄密和电脑文件加密相结合的文件安全管理软件,通过对电脑文件泄密管道和电脑文件高强度、不可逆向的加密技术,使得大势至电脑文件加密系统可以最大限度地保护电脑文件安全,保护单位无形资产和商业机密的安全。
同时,大势至公司研发团队也会密切关注用户的需要,并可以为用户定制开发各种个性化的电脑文件防泄密、电脑文件加密功能,从而可以确保用户可以实现真正有效的电脑文件保护的目的,为单位创造良好的管理收益和经济效益。
