數據逐漸成爲企業核心資產,也被越來越多的黑客所覬覦。黑客瘋狂盜取數據,是因爲這些數據對於他們來說就是產生利益價值的金庫。作爲一家領先的、受信任的、被廣泛認可的網絡安全專業新聞平臺,The Hacker News爲我們揭示了在新時代下,黑客會從哪裏竊取數據,並提供了防禦的思路。
數據泄露爆炸式的增長給組織帶來了不可估量的損失,並可能會讓網絡安全主管因此丟掉飯碗。
在本文中,我們研究了 2019 年網絡犯罪分子竊取公司和政府的數據卻從沒被人發現的前五個地方,然後學習如何避免成爲毫無道德原則攻擊者的犧牲品。
1. 配置錯誤的雲存儲
2019 年,網絡安全公司 Thales 對全球 3000 多名專業人士進行的全球雲計算安全調查顯示,48% 的企業數據存儲在雲端,而這一數字在三年前爲 35%。
對比鮮明的是,只有 32% 的組織認爲保護雲端中的數據是他們自己的責任,其他都是指望雲計算和 IaaS 供應商來保護他們的數據。更糟糕的是,有高達51% 的組織在雲端中沒有使用加密或憑證化。
(ISC)²《雲計算安全報告 2019》顯示,64% 的網絡安全專業人員認爲數據丟失和泄漏是與雲計算相關的最大風險。對於 42% 的安全專業人員來說,濫用員工憑證和不當的訪問控制是最大的挑戰,而 34% 的安全專業人員努力在雲環境中實現合規性,有 33% 的安全專業人員認爲對基礎設施安全缺乏可見性,這是他們最關心的問題。
但是,疏忽大意的第三方也可能是最危險的陷阱,這種陷阱在很大程度上仍然被人們低估,因爲被忽視了。2019 年,Facebook、微軟和豐田汽車因爲第三方泄漏或違規而導致數百萬客戶記錄丟失,被媒體毫不留情地指責。
儘管發生了這些令人震驚的事件,但仍然很少有組織有經過周詳考慮的、妥善並持續執行的第三方風險管理計劃,大多數組織還停留在紙質問卷,而不進行實際覈查,也不做持續監控。
如何防範: 爲你的團隊提供培訓,實施整個組織範圍內的雲安全策略,持續運行公共雲存儲的發現,以維護雲基礎設施的最新清單。
2. 暗網
2019 年,安全專家 Troy Hunt 披露了 Notorious Collection #1 文件,該文件包括一組電子郵件地址和明文密碼,總計有 2692818238 行。
任何人都可以用比特幣匿名購買這些數據而不留任何痕跡。作爲已知最大的被盜憑證數據庫之一,它只是暗網上可供出售的泄漏數據的一小部分。由於攻擊的複雜性,或者只是簡單的疏忽、資源或技能的缺乏,許多組織每天都遭到黑客攻擊卻渾然不知。
有針對性的密碼複用攻擊和魚叉式網絡釣魚(Spear phishing)很容易發動,而且也不需要昂貴的 0day 漏洞利用程序。儘管一眼看上去,它們貌似微不足道的樣子,但它們的效率卻有可能高得驚人。
大多數組織在整個公司資源中沒有一致的密碼策略,僅僅只是將單點登錄部署到其中心基礎設施中。
譯註: 魚叉式網絡釣魚(Spear phishing)指一種源於亞洲與東歐,只針對特定目標進行攻擊的網絡釣魚攻擊。當進行攻擊的駭客鎖定目標後,會以電子郵件的方式,假冒該公司或組織的名義寄發難以辨真僞之檔案,誘使員工進一步登錄其賬號密碼,使攻擊者可以以此藉機安裝特洛伊木馬或其他間諜軟件,竊取機密;或於員工時常瀏覽之網頁中置入病毒自動下載器,並持續更新受感染系統內之變種病毒,使使用者窮於應付。由於魚叉式網絡釣魚鎖定之對象並非一般個人,而是特定公司、組織之成員,故受竊之資訊已非一般網絡釣魚所竊取之個人資料,而是其他高度敏感性資料,如知識產權及商業機密。
譯註: 0day 漏洞,是已經被發現(有可能未被公開),而官方還沒有相關補丁的漏洞。通俗地講就是,除了漏洞發現者,沒有其他的人知道這個漏洞的存在,並且可以有效地加以利用,發起的攻擊往往具有很大的突發性與破壞性。強如微軟、蘋果這樣的公司,在面對 0day 漏洞的攻擊時候,也只能採取事後補救,對系統升級等方法。不是他們不想去收集漏洞,而是那些發現 0day 的人更願意將 0day 賣給黑產而不是提交給這些公司,而原因只有一個 —— 漏洞提交的獎勵遠不及賣給黑產的收益。
組織中各個輔助系統各自爲政,通常使用較差的密碼策略,甚至缺少密碼策略,但它們可以訪問商業機密和知識產權。考慮到這類門戶網站和資源的數量如此衆多,攻擊者會小心翼翼地嘗試盜取憑證,最終得到他們想要的東西。
重要的是,這類攻擊在技術上往往無法檢測,因爲監控不足,或者僅僅是因爲它們不會觸發通常的異常警報,只是讓用戶進入而已。經驗豐富的黑客組織會在攻擊之前,仔細分析受害者的資料,然後模仿受害者在同一時間段內,從與他們同一個 ISP 子網登陸。黑客團隊甚至比精明的安全分析師所支持的人工智能驅動的入侵檢測系統還要聰明。
如何防範: 確保數字資產的可見性,實施整體密碼策略和事件響應計劃,持續監控暗網和其他資源的泄漏和事件。
3. 已遭廢棄和未受保護的網站
根據網絡安全公司 ImmuniWeb 2019 年的研究報告稱,全球 100 家最大銀行中,有 97 家存在易受攻擊的網站和網絡應用程序。一系列的問題都歸咎於對開源軟件、過時的框架和 JS 庫的不受控制的使用,其中一些包含了自 2011 年以來公開已知的可利用漏洞。
這份報告還顯示,25% 的電子銀行應用程序甚至沒有受到 Web 應用防火牆的保護。最終,85% 的應用程序沒有通過 GDPR 合規性測試,49% 沒有通過 PCI DSS 測試。
譯註: PCI DSS,全稱 Payment Card Industry (PCI) Data Security Standard, 第三方支付行業 (支付卡行業 PCI DSS) 數據安全標準,是由 PCI 安全標準委員會的創始成員 (visa、mastercard、American Express、Discover Financial Services、JCB 等) 制定,立在使國際上採用一致的數據安全措施。PCI DSS 對於所有涉及信用卡信息機構的安全方面作出標準的要求,其中包括安全管理、策略、過程、網絡體系結構、軟件設計的要求的列表等,全面保障交易安全。PCI DSS 適用於所有涉及支付卡處理的實體,包括商戶、處理機構、購買者、發行商和服務提供商及儲存、處理或傳輸持卡人資料的所有其他實體。PCI DSS 包括一組保護持卡人信息的基本要求,並可能增加額外的管控措施,以進一步降低風險。
儘管出現了攻擊表面管理(Attack Surface Management,ASM)的解決方案,但大多數企業都疲於應付外部攻擊表面增長的、波動的複雜性。在粗心或超負荷的開發人員遺棄的或未知資產的列表中,Web 應用程序佔據了大頭。
譯註: 攻擊表面(英語:Attack surface),也稱攻擊面、攻擊層面,它是指軟件環境中可以被未授權用戶(攻擊者)輸入或提取數據而受到攻擊的點位(攻擊矢量)。
演示和測試版本在整個組織中迅速擴散,偶爾會連接到具有敏感數據的生產數據庫中。下一個版本很快就會上線,而上一個版本還會被人們繼續使用幾個月。人手不足的安全團隊通常沒有時間跟蹤這類流氓應用程序,他們依賴半數軟件工程師從來沒有讀過的安全策略。
即使是已經正確部署的 Web 應用程序,如果不加註意,它也有可能會成爲一顆定時炸彈。開源軟件和專有軟件都在 Bugtraq 中頻繁出現,帶來新的安全漏洞,而且這些漏洞絕大部分都容易被利用。
除了一些例外,與大規模黑客活動的速度相比,供應商在發佈安全補丁方面行動遲緩。
譯註: Bugtraq 是專門針對計算機安全問題的電子郵件列表。主題問題是關於漏洞的討論、供應商安全相關的公告、利用方法以及如何修復它們。訂閱地址在 https://www.securityfocus.com/
大多數流行的 CMS,如 WordPress 或 Drupal,在它們的默認安裝中是相對安全的;但大量的第三方插件、主題和擴展卻破壞了它們的安全性。
如何防範: 首先對所有面向外埠的網站進行免費的網站安全測試,然後繼續對最關鍵的 Web 應用程序和 API 進行深入的 Web 滲透測試。
4. 移動應用的後端
現在,現代企業對移動應用程序的安全進行了慷慨的投資,利用 DevSecOps、SAST/DAST/IAST 測試中內置的安全編碼標準,以及通過漏洞關聯解決方案增強的 RASP 保護。
遺憾的是,這些解決方案中的大多數只是解決了冰山一角的問題,而移動應用後端依然未經測試,也不受保護。
雖然移動應用使用的大多數 API 發送或接受敏感數據(包括機密信息),但它們的隱私和安全性卻被人們普遍遺忘或剝奪,導致不可原諒的後果。
同樣的,大型企業通常也會忘記,他們的移動應用的早期版本可以很容易地從互聯網上下載並進行逆向工程。這類遺留應用是真正的“克朗代克河的黃金”,那些黑客正在找尋的被遺棄的、易受攻擊的 API,通常仍然能夠以不受控制的方式訪問組織的“皇冠上的寶石”。
譯註: 克朗代克河( Klondike River )是加拿大育空河的一條支流,得名於克朗代克淘金熱。克朗代克河發源於奧吉爾維山脈,在道森市附近注入育空河,長約 160 公里。1896 年,克朗代克流域發現金礦,至今仍在開採中。“克朗代克” 一詞來源於土著語言,意爲 “砧石”。
最終,大量的攻擊成爲可能,從原始但高效的暴力攻擊到用於數據抓取和盜竊的複雜的身份驗證和繞過授權檢查。通常,最危險的攻擊,包括 SQL 注入和遠程代碼執行(Reote Code Execution,RCE),都位於移動後端。即使沒有 Web 應用防火牆的保護,對於實用主義的攻擊者來說,也是唾手可得的果實。
如何防範: 建立完整的 API 詳細目錄,實施軟件測試策略,對所有移動應用和後端進行免費的移動應用安全測試,對關鍵應用進行移動滲透測試。
5. 公共代碼存儲庫
敏捷開發、持續集成 / 持續交付的實踐是一個偉大的業務使能者;然而,如果實施不當,它們很快就會演變成一場災難。在這種情況下,公共代碼存儲庫往往是破壞組織網絡安全努力的最薄弱環節。
最近的一個例子是銀行業巨頭加拿大豐業銀行(Scotiabank),據報道,該銀行將高度敏感的數據存儲在公開可訪問的 GitHub 存儲庫中,暴露了其內部源代碼、登錄憑證和機密訪問密鑰。
第三方軟件開發商大大加劇了這種情況,他們試圖向不知情且有些天真的客戶提供極具競爭力的報價。很顯然,便宜的軟件並非沒有明顯的缺陷,而很差的安全性就是最大的缺陷。
儘管很少有組織能夠通過執行自動掃描和手動代碼審查來保持對軟件代碼質量和安全性的控制,但實際上,幾乎沒有一家組織能夠在軟件開發過程中,特別是開發之後,監控源代碼如何存儲和保護。
毫不奇怪的是,人爲錯誤佔了主導地位。即使是那些擁有成熟的、經過專業測試的安全策略的典範組織,也會因人爲因素而尷尬地失敗。然而,由經濟現實所規定的苛刻的截止日期會使程序員不堪重負、精疲力竭,他們有意無意地忘記了在新創建的存儲庫上設置適當的屬性,結果引來了麻煩。
如何防範: 實現針對代碼存儲和訪問管理的策略,在內部和第三方實施,持續運行公共代碼存儲庫以監視泄漏。
如果你能做到遵循本文這些建議,可以讓你免去無數個不眠之夜,併爲你的組織節省數百萬美元。最後,一定要與業界同行分享有關攻擊表面管理的信息,以增強他們的安全意識和網絡安全彈性。
作者介紹:
The Hacker News(THN),是一家領先的、受信任的、被廣泛認可的網絡安全專業新聞平臺,每月吸引超過 800 萬讀者,包括 IT 專業人士、研究人員、黑客、技術人員和愛好者。
原文鏈接:
5 Places Where Hackers Are Stealthily Stealing Your Data In 2019