5 địa điểm mà tin tặc lén lút đánh cắp dữ liệu của bạn trong năm 2019
Vi phạm dữ liệu tăng vọt mang lại những tổn thất khôn lường cho các tổ chức và có thể khiến các giám đốc an ninh mạng phải chịu nhiều tổn thất cho công việc của họ.
Ở đây chúng tôi đã xem xét năm dịch vụ dễ bị tấn nhất trong năm 2019, nơi tội phạm mạng đánh cắp dữ liệu của công ty và chính phủ mà không bị phát hiện và sau đó tìm cách làm thế nào để bạn tránh trở thành nạn nhân của những kẻ tấn công này.
1.Cấu hình điện toán đám mây sai
48% tất cả dữ liệu của công ty được lưu trữ trên đám mây nhiều hơn so với 35% ba năm trước, theo các nghiên cứu bảo mật đám mây toàn cầu năm 2019 của công ty an ninh mạng Thales đã có một cuộc khảo sát trên 3.000 chuyên gia trên toàn cầu. Nhưng chỉ có 32% các tổ chức tin rằng bảo vệ dữ liệu trên đám mây là trách nhiệm của riêng họ, còn lại thì nghĩ rằng trách nhiệm dựa trên các nhà cung cấp đám mây và IaaS để bảo vệ dữ liệu. Tệ hơn nữa là 51% các tổ chức không sử dụng mã hóa hoặc mã thông báo trong đám mây.
Dựa trên báo cáo bảo mật đám mây 2019 của (ISC) ², các chuyên gia an ninh mạng nhận thấy 64% việc mất dữ liệu và rò rỉ là phần lớn liên quan đến việc lưu trữ data trên cloud. Việc kiểm soát thông tin đăng nhập của nhân viên và kiểm soát quyền truy cập là những thách thức hàng đầu đối với 42% chuyên gia bảo mật, trong khi 34% phải đấu tranh với việc tuân thủ quy định của các nhà cung cấp dịch vụ cloud và 33% thiếu khả năng bảo mật cơ sở hạ tầng của họ.
Tuy nhiên, các bên thứ ba không quan tâm và bất cẩn có lẽ là cạm bẫy nguy hiểm nhất vẫn bị đánh giá thấp và không được sự quan tâm nhiều. Năm 2019, Facebook, Microsoft và Toyota đã bị giới truyền thông kỳ thị một cách không thương tiếc vì làm mất hàng triệu hồ sơ khách hàng do bị rò rỉ hoặc do lỗi của bên thứ ba.
Mặc dù có những sự cố này, nhưng vẫn có một số tổ chức có một chương trình quản lý rủi ro của bên thứ ba thực hiện kĩ lưỡng, thực hiện đúng và liên tục theo dõi, hầu hết dựa trên giấy tờ, qua xác minh thực tế và theo dõi liên tục.
Cách giảm thiểu: huấn luyện nhóm của bạn, thực hiện chính sách bảo mật trên toàn tổ chức, và liên tục cập nhật cho các kho lưu trữ đám mây của bạn.
2.Dark Web
Bộ sưu tập khét tiếng số 1, được tiết lộ vào năm 2019 bởi chuyên gia bảo mật Troy Hunt, là một tập hợp các địa chỉ email và mật khẩu văn bản gốc với tổng số 2.692.818.238 dữ liệu người dùng. Bất cứ ai cũng có thể mua dữ liệu này bằng Bitcoin mà không để lại dấu vết nào. Là một trong những cơ sở dữ liệu công khai lớn nhất về thông tin bị đánh cắp, nó chỉ là một phần dữ liệu bị xâm phạm và có sẵn để bán trên Dark Web. Nhiều tổ chức bị hack mỗi ngày mà không nhận thức được điều này do sự phức tạp của các cuộc tấn công hoặc sơ suất, thiếu tài nguyên hoặc kỹ năng.
Các cuộc tấn công sử dụng phương thức re-password và lừa đảo rất đơn giản để thực hiện và không yêu cầu khai thác các lỗi 0 day tốn kém. Mặc dù thoạt nhìn có vẻ tầm thường, chúng có thể rất hiệu quả. Hầu hết các tổ chức không có chính sách mật khẩu nhất quán trên các tài nguyên công ty của họ, chỉ triển khai SSO cho cơ sở hạ tầng cho trung tâm của họ.
Các hệ thổng thứ cấp và phụ điều tách biệt,thường có chính sách mật khẩu kém hoặc thậm chí thiếu nhưng vẫn có quyền truy cập vào các bí mật thương mại và các sở hữu trí tuệ. Với những nỗ lực của các hacker trong việc thử và đánh cắp, chúng có những gì chúng muốn.
Điều quan trọng là các cuộc tấn công như vậy thường không thể phát hiện được về mặt kỹ thuật do giám sát không đủ hoặc đơn giản là vì chúng không báo động cho chúng ta biết về sự bất thường này. Các nhóm hack có kinh nghiệm sẽ cẩn thận lập hồ sơ nạn nhân của họ trước khi bắt đầu cuộc tấn công từ cùng một mạng con ISP và cùng lúc vượt qua cả các hệ thống IDS có AI hỗ trợ được củng cố bởi các nhà phân tích bảo mật sắc sảo.
Cách giảm thiểu: đảm bảo khả năng hiển thị đủ các tài sản kỹ thuật số, thực hiện chính sách bảo mật mật khẩu toàn diện và kế hoạch ứng phó với sự cố, liên tục theo dõi Dark Web và các tài nguyên khác có bị rò rỉ.
3.Trang web bị bỏ rơi và không được bảo vệ
Theo nghiên cứu năm 2019 của một công ty bảo mật web ImmuniWeb, 97 trong số 100 ngân hàng lớn nhất thế giới có các trang web và ứng dụng web dễ bị tấn công. Một loạt các vấn đề được quy cho việc sử dụng phần mềm có mã nguồn mở không được kiểm duyệt, các farmwork lỗi thời và các thư viện JS, một số trong đó có các lỗ hổng có thể khai thác được công khai từ năm 2011.
Báo cáo tương tự cho thấy 25% ứng dụng ngân hàng điện tử thậm chí không được bảo vệ bằng tường lửa cho ứng dụng Web (WAF). Cuối cùng, 85% ứng dụng đã thất bại trong các bài kiểm tra tuân thủ GDPR, 49% không vượt qua bài kiểm tra PCI DSS.
Mặc dù có sự gia tăng của các giải pháp Attack Surface Management (ASM), phần lớn các doanh nghiệp ngày càng phải vật lộn với sự phức tạp ngày càng tăng và sự phức tạp do dao động của các cuộc tấn công từ bên ngoài của họ. Các ứng dụng web quản lý danh sách các tài sản bị bỏ rơi hoặc không xác định bởi các nhà phát triển bất cẩn hoặc quá tải.
Bản thử nghiệm nhanh chóng sinh sôi nảy nở trong một tổ chức, thỉnh thoảng được kết nối với cơ sở dữ liệu với dữ liệu nhạy cảm. Các bản phát hành tiếp theo nhanh chóng được phát hành, trong khi các bản trước vẫn tồn tại trong nhiều tháng. Các nhóm bảo mật thường xuyên không có thời gian để theo dõi các ứng dụng giả mạo như vậy, dựa vào các chính sách bảo mật mà một nửa số kỹ sư phần mềm chưa bao giờ đọc.
Ngay cả các ứng dụng web được triển khai đúng cách cũng có thể là một quả bom hẹn giờ nếu không được giám sát kĩ càng. Cả các phần mềm có mã nguồn mở và phần mềm độc quyền đều tạo tiếng vang trong Bugtraq với tần suất đáng chú ý là đều mang đến các lỗ hổng bảo mật mới và chủ yếu dễ khai thác. Với một số ngoại lệ, các nhà cung cấp chậm chạp trong việc phát hành các bản vá bảo mật so với tốc độ của các chiến dịch hack hàng loạt.
Hầu hết các CMS phổ biến, chẳng hạn như WordPress hoặc Drupal, tương đối an toàn trong các cài đặt mặc định của chúng, nhưng vô số các plugin, themes và tiện ích mở rộng của bên thứ ba phá hủy bảo mật của chúng.
Cách giảm thiểu: bắt đầu với thử nghiệm bảo mật trang web miễn phí cho tất cả các trang web bên ngoài của bạn và tiếp tục với thử nghiệm thâm nhập web chuyên sâu cho các ứng dụng web và API quan trọng nhất.
4.Back-end của ứng dụng di động
Các doanh nghiệp hiện đại ngày nay đầu tư rất nhiều vào bảo mật ứng dụng di động, tận dụng các tiêu chuẩn mã hóa an toàn được tích hợp trong DevSecOps, thử nghiệm SAST / DAST / IAST và bảo vệ RASP được tăng cường với các giải pháp TVulnerability Correlation. Đáng buồn thay, hầu hết các giải pháp này chỉ giải quyết phần nổi của tảng băng, khiến back-end của ứng dụng di động không được kiểm tra và không được bảo vệ.
Mặc dù hầu hết các API được sử dụng bởi ứng dụng di động đều gửi hoặc nhận dữ liệu nhạy cảm, bao gồm cả thông tin bí mật, quyền riêng tư và bảo mật của chúng đều bị lãng quên hoặc mất hiệu lực, dẫn đến hậu quả không thể khắc phục.
Tương tự, các tổ chức lớn thường quên rằng các phiên bản ứng dụng di động trước đây của họ có thể dễ dàng tải xuống từ Internet và thiết kế ngược. Các ứng dụng kế thừa như vậy là một Klondike thực sự cho các tin tặc tìm kiếm các API bị bỏ rơi và dễ bị tổn thương và thường vẫn có khả năng cung cấp quyền truy cập vào các điểm quan trọng của một tổ chức.
Cuối cùng, rất nhiều cuộc tấn công trở nên khả thi, từ vũ lực thô sơ nhưng hiệu quả cao cho đến việc bỏ qua xác thực và ủy quyền tinh vi được sử dụng để đánh cắp dữ liệu. Thông thường, các cuộc tấn công nguy hiểm nhất, bao gồm iSQL và RCE, nằm ở phía back-end. Không được bảo vệ ngay cả bởi WAF, chúng là loại trái cây treo thấp cho những kẻ tấn công thực dụng.
Cách giảm thiểu: xây dựng kho lưu trữ API toàn diện, thực hiện chính sách kiểm tra phần mềm, chạy thử nghiệm bảo mật ứng dụng di động miễn phí trên tất cả các ứng dụng và back-end của bạn, tiến hành kiểm tra thâm nhập di động cho các ứng dụng quan trọng.
5.Kho lưu trữ mã công cộng
CI / CD Agile là một yếu tố hỗ trợ kinh doanh tuyệt vời, tuy nhiên, nếu thực hiện không đầy đủ, nó nhanh chóng biến thành một thảm họa. Trong bối cảnh này, các kho lưu trữ mã công cộng thường là liên kết yếu nhất làm suy yếu các nỗ lực an ninh mạng của tổ chức.
Một ví dụ gần đây đến từ gã khổng lồ ngân hàng Scotiabank đã lưu trữ dữ liệu rất nhạy cảm trong kho lưu trữ GitHub mở và có thể truy cập công khai, để lộ mã nguồn nội bộ, thông tin đăng nhập và khóa truy cập bí mật.
Các nhà phát triển phần mềm bên thứ ba làm trầm trọng thêm tình hình bằng cách cung cấp giá cạnh tranh nhất cho các khách hàng ngây thơ. Phần mềm giá rẻ rõ ràng không phải không có nhược điểm và bảo mật kém đứng đầu trong đó.
Mặc dù một số tổ chức quản lý kiểm soát chất lượng và bảo mật mã phần mềm bằng cách tiến hành quét tự động và xem xét mã thủ công, nhưng hầu như không ai có khả năng giám sát cách mã nguồn được lưu trữ và bảo vệ trong khi phần mềm đang được phát triển.
Những sai lầm của con người không có gì đáng ngạc nhiên trong cuộc sống. Ngay cả các tổ chức lớn với các chính sách bảo mật mạnh mẽ và được thử nghiệm chuyên nghiệp cũng lúng túng vì yếu tố con người. Thời hạn khó khăn được quyết định bởi nền kinh tế dẫn đến các lập trình viên trở nên quá tải và kiệt sức, những người vô tình quên đặt một thuộc tính thích hợp trên một kho lưu trữ mới được tạo ra và làm xảy ra các rắc rối.
Cách giảm thiểu: thực hiện quản lý truy cập và chính sách lưu trữ mã địa chỉ , thực thi nó trong nội bộ và cho bên thứ ba, liên tục chạy theo dõi kho lưu trữ mã công khai để tránh bị rò rỉ.
Làm theo lời khuyên giảm thiểu này có thể giúp bạn tiết kiệm vô số đêm mất ngủ và nhiều chi phí cho tổ chức của bạn. Và cuối cùng, hãy chia sẻ thông tin về Attack Surface Management (ASM) với các đồng nghiệp trong ngành của bạn để nâng cao nhận thức bảo mật và khả năng phục hồi an ninh mạng của họ.
Nguồn thehackernews.com