Как избежать трех основных причин утечки данных в 2020 году

пример программ на python
Примеры программ на Python
Октябрь 29, 2019
Microsoft предупреждает о редкой вредоносной программе
Microsoft предупреждает о редкой вредоносной программе, угоняющей компьютеры Windows
Октябрь 29, 2019
Показать все
Как избежать трех основных причин утечки данных в 2020 году

Какова цена незащищенной ИТ-инфраструктуры? Журнал Cybercrime сообщает, что мировой ущерб превысит 6 миллиардов долларов к 2021 году .

Здесь мы рассмотрим некоторые из наиболее частых и возникающих причин утечки данных в 2019 году и посмотрим, как своевременно их устранить.

Неправильно настроенное облачное хранилище

Трудно найти день без инцидента с безопасностью, связанного с незащищенным хранилищем AWS S3, Elasticsearch или MongoDB. В глобальном исследовании, проведенном Thales и Ponemon Institute, говорится, что только 32% организаций считают, что защита их данных в облаке — это их собственная ответственность. Хуже того, согласно тому же отчету, 51% организаций до сих пор не используют шифрование или токенизацию для защиты конфиденциальных данных в облаке.

McAfee подтверждает, утверждая, что 99% неправильной конфигурации облака и IaaS попадают под контроль конечных пользователей и остаются незамеченными. Марко Роттиньи, директор по технической безопасности EMEA в Qualys объясняет проблему: «Некоторые из наиболее распространенных реализаций облачных баз данных поставляются без защиты или контроля доступа в качестве стандарта с самого начала. Их нужно добавлять намеренно, что может быть легко пропущено».

Принимая во внимание, что в 2019 году средняя глобальная стоимость в 3,92 млн. Долл. США за каждое нарушение данных , эти данные вызывают тревогу. К сожалению, многие специалисты в области кибербезопасности и ИТ все еще искренне верят, что облачные провайдеры несут ответственность за защиту своих данных в облаке. К сожалению, большинство их предположений не соответствуют суровой юридической реальности.

Практически все крупные поставщики облачных услуг и IaaS имеют опыт работы с юридическими фирмами для разработки герметичного контракта, который вы не сможете изменить или отменить в суде. Положения о черных чернилах явно переносят финансовую ответственность за большинство инцидентов на плечи клиентов и устанавливают ограниченную ответственность за все остальное, часто считающееся в копейках.

Большинство компаний малого и среднего бизнеса даже не внимательно читают условия, в то время как в крупных организациях их проверяют юрисконсульты, которые часто отсоединяются от ИТ-команды. Хотя вряд ли можно договориться о лучших условиях, так как в противном случае облачный бизнес станет настолько опасным и убыточным, что он быстро исчезнет. Это означает, что вы будете единственной организацией, которая будет винить и наказывать за неправильно сконфигурированное или заброшенное облачное хранилище и, как следствие, за нарушение данных.

Хранилища незащищенного кода

Исследования, проведенные Университетом штата Северная Каролина (NCSU), показали, что более 100 000 репозиториев GitHub пропускают секретные токены API и криптографические ключи, а тысячи новых репозиториев ежедневно раскрывают секреты. Канадский банковский гигант Scotiabank недавно попал в заголовки новостей, согласно сообщениям, храня внутренний исходный код, учетные данные для входа и ключи доступа в течение нескольких месяцев в публично открытых и доступных репозиториях GitHub.

Сторонние разработчики, особенно сторонние разработчики программного обеспечения, обычно являются самым слабым звеном. Зачастую их разработчикам не хватает надлежащего обучения и знаний о безопасности, чтобы должным образом защитить их код. Имея несколько проектов одновременно, жесткие сроки и нетерпеливых клиентов, они игнорируют или забывают об основах безопасности, оставляя свой код в открытом доступе.

Киберпреступники хорошо осведомлены об этой цифровой пещере Али-Бабы. Кибер-банды, специализирующиеся на обнаружении данных OSINT, тщательно сканируют существующие и новые репозитории кода в непрерывном режиме, тщательно отбирая данные. Когда что-то ценное найдено, оно продается кибер-бандам, ориентированным на эксплуатацию и наступательные операции.

Учитывая, что такие вторжения редко вызывают какие-либо красные флажки в системах обнаружения аномалий, они остаются незамеченными или обнаруживаются, когда уже слишком поздно. Хуже того, расследование таких вторжений является дорогостоящим и почти бесперспективным. Многие известные APT-атаки включали в себя повторное использование пароля с использованием учетных данных, найденных в репозиториях кода.

Уязвимое ПО с открытым исходным кодом

Быстрое распространение программного обеспечения с открытым исходным кодом (OSS) в корпоративных системах усугубляет ландшафт киберугроз, добавляя в игру еще больше неизвестных. Недавний отчет ImmuniWeb показал, что 97 из 100 крупнейших банков уязвимы и имеют плохо закодированные веб-приложения и мобильные приложения, изобилующие устаревшими и уязвимыми компонентами с открытым исходным кодом, библиотеками и средами. Самая старая обнаруженная уязвимость была известна и опубликована с 2011 года.

OSS действительно экономит много времени для разработчиков и деньги для организаций, но также предоставляет широкий спектр сопутствующих и в значительной степени недооцененных рисков. Лишь немногие организации должным образом отслеживают и поддерживают инвентаризацию бесчисленных OSS и его компонентов, встроенных в их корпоративное программное обеспечение. Следовательно, ослепленные незнанием, они становятся жертвами неизвестных неизвестных, когда недавно обнаруженные недостатки безопасности OSS активно используются в дикой природе.

Сегодня средние и крупные организации постепенно инвестируют в безопасность приложений, в частности, в реализацию тестирования DevSecOps и Shift Left. Gartner призывает принять Shift Left тестирование программного обеспечения путем включения тестирования безопасности на ранних этапах жизненного цикла разработки программного обеспечения (SDLC) до того, как оно станет чрезмерно дорогим и трудоемким для устранения уязвимостей. Тем не менее, целостный и обновленный инвентарь вашей OSS необходим для реализации тестирования Shift Left; в противном случае вы просто выльете свои деньги в канализацию.

Как предотвратить и исправить

Следуйте этим пяти рекомендациям, чтобы снизить риски экономически эффективным способом:

1. Поддерживайте актуальную и целостную инвентаризацию ваших цифровых активов

Программное обеспечение, оборудование, данные, пользователи и лицензии должны постоянно контролироваться, классифицироваться и подвергаться риску . В эпоху публичного облака, контейнеров, хранилищ кода, служб обмена файлами и аутсорсинга это непростая задача, но без нее вы можете разрушить целостность ваших усилий в области кибербезопасности и свести на нет все предыдущие инвестиции в кибербезопасность. Помните, вы не можете защитить то, что не видите.

2. Контролируйте свою внешнюю поверхность атаки и подверженность риску

Многие организации тратят деньги на вспомогательные или даже теоретические риски, игнорируя их многочисленные устаревшие, заброшенные или просто неизвестные системы, доступные из Интернета. Эти теневые активы являются низко висящими фруктами для киберпреступников. Злоумышленники умны и прагматичны; они не нападут на ваш замок, если смогут тихо проникнуть через забытый подземный туннель. Поэтому удостоверьтесь, что у вас есть достаточный обзор вашей внешней атаки в непрерывном режиме.

3. Поддерживайте актуальность программного обеспечения, внедрите управление исправлениями и автоматическое исправление

Большинство успешных атак не включают использование сложных и дорогостоящих 0 дней, но публично раскрытые уязвимости часто доступны с рабочим эксплойтом. Хакеры будут систематически искать самое слабое звено в вашем защитном периметре, чтобы проникнуть внутрь, и даже крошечная устаревшая библиотека JS может оказаться неожиданным для получения ваших коронных драгоценностей. Внедрить, протестировать и контролировать надежную систему управления исправлениями для всех ваших систем и приложений.

4. Сориентируйте свои усилия по тестированию и исправлению на основе рисков и угроз.

Как только у вас будет кристально четкое представление о ваших цифровых активах и правильно реализованная стратегия управления исправлениями, пришло время убедиться, что все работает так, как вы ожидали. Разверните непрерывный мониторинг безопасности для всех ваших внешних активов, проведите углубленное тестирование, включая тестирование на проникновение критически важных для бизнеса веб-приложений и API-интерфейсов. Настройка мониторинга любых аномалий с помощью быстрых уведомлений.

5. Следите за Dark Web и следите за утечками данных

Большинство компаний не понимают, сколько их корпоративных учетных записей, открытых взломанными сторонними веб-сайтами и службами, продается в Dark Web . Это связано с успешным повторным использованием пароля и атаками методом перебора. Хуже того, даже законные веб-сайты, такие как Pastebin, часто предоставляют огромное количество утечек, краж или утерянных данных, доступных каждому. Постоянный мониторинг и анализ этих инцидентов может сэкономить миллионы долларов, а главное, вашу репутацию и доброжелательность.

Снижение сложности и затрат

Мы столкнулись с инновационным предложением от швейцарской компании ImmuniWeb®, чтобы решить эти проблемы простым и экономически эффективным способом. Мы действительно впечатлены его техническими возможностями, консолидированным подходом и доступной ценой.

ImmuniWeb Discovery обеспечивает превосходную видимость и контроль над внешней поверхностью атаки и подверженностью риску.

Снижение сложности и затрат

Попробуйте ImmuniWeb® Discovery для:

  • Быстрое обнаружение ваших внешних цифровых активов, включая API, облачное хранилище и IoT
  • Актуальные, основанные на данных оценки безопасности ваших приложений для взлома и привлекательности
  • Непрерывный мониторинг открытых хранилищ кода на наличие незащищенного или утекшего исходного кода
  • Непрерывный мониторинг Dark Web для открытых учетных данных и других конфиденциальных данных
  • Безопасный для производства состав программного обеспечения Анализ веб-приложений и мобильных приложений
  • Мгновенные оповещения об истекающих доменных именах и SSL-сертификатах
  • Интеграция с SIEM и другими системами безопасности через API

Мы надеемся, что вы не станете жертвой взлома данных в 2020 году!

Есть что сказать об этой статье? Прокомментируйте ниже или поделитесь с друзьями!
0

Автор публикации

не в сети 5 месяцев

Исмаил Гришаев

6
Комментарии: 1Публикации: 45Регистрация: 22-05-2019
ПОДЕЛИСЬ С ДРУЗЬЯМИ

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

один × 5 =

Авторизация
*
*

18 − десять =

Регистрация
*
*
*
Пароль не введен
*

1 × 1 =

Генерация пароля

16 + 19 =