《网络犯罪杂志》表示，到2021年，由于数据泄露造成的全球损失将超过60亿美元。在这里，我们将介绍2019年数据泄漏的一些最常见原因，并学习如何及时解决这些问题。

配置错误的云存储

很难找到不涉及无保护AWS S3存储、弹性搜索或蒙古数据库的安全事件。一项全球研究显示，只有32%的组织认为保护云中的数据是他们自己的责任。更糟糕的是，根据同一份报告，51%的组织仍然没有使用加密来保护云中的敏感数据。

报告确认99%的云和IaaS错误配置在最终用户控制之下，并且没有被注意到。Qualys欧洲、中东和非洲首席技术安全官Marco Rottigni解释了这个问题:“起初，一些最常见的云数据库实施没有安全或访��控制作为标准。必须有意添加它们，否则它们很容易被遗漏。”

根据2019年的数据，每次数据泄露的全球平均成本为392万美元。这些发现令人震惊。不幸的是，许多网络安全和信息技术专业人员仍然坦率地认为云提供商有责任保护他们云中的数据。此外，他们的大多数假设不符合严酷的法律现实。

这意味着企业将对配置错误或过时的云存储以及由此导致的数据泄漏负全部责任。

Unprotected Code Repository

北卡罗来纳州立大学(NCSU)的研究发现，超过100，000个GitHub存储库一直在泄露秘密的应用编程接口令牌和加密密钥，每天都有数以千计的新存储库泄露秘密。加拿大银行业巨头叶枫银行最近成为头条新闻。据报道，该文件已将内部源代码、登录凭据和访问密钥存储在开放且可访问的GitHub存储库中数月。

第三方(尤其是外部软件开发人员)通常是最薄弱的环节。一般来说，他们的开发人员缺乏适当的培训和必要的安全意识来适当地保护他们的代码。他们一次有多个项目，期限紧迫，客户不耐烦，所以他们忽略或忘记了安全的基本原则，把他们的代码放在公共领域。

网络罪犯很清楚这个数字漏洞。专门从事OSINT数据发现的网络团伙会以连续模式小心地抓取现有的和新的代码库，并小心地丢弃数据。一旦发现有价值的东西，它就会被卖给专注于剥削和攻击行为的网络团伙。

由于这种入侵很少触发异常检测系统中的任何危险信号，一旦为时已晚，它们将不会被注意或检测到。更糟糕的是，调查此类入侵的成本非常高，而且几乎毫无根据。许多众所周知的APT攻击包括使用代码库中的凭据进行密码重用攻击。

脆弱的开源软件

在企业系统中，开源软件的迅速传播通过给游戏增加更多未知因素而加剧了网络威胁的趋势。免疫网(免疫网)的最新报告发现，100家较大的银行中有97家易受攻击，网络和移动应用程序的编码很差，到处都有过时且易受攻击的开源组件、库和框架。自2011年以来，已知最古老的未解决漏洞已广为人知并公开披露。

开放源码软件确实为开发人员节省了大量时间，为组织节省了大量资金，但它也带来了各种各样的附带和被大大低估的风险。很少有组织能够正确地跟踪和维护企业软件中内置的操作系统及其组件的无数列表。因此，在野外积极利用新发现的开放源码软件安全漏洞时，他们被自己的无知蒙蔽了双眼，成为未知未知事物的受害者。

今天，大中型组织已经在应用程序安全性方面进行了增量投资，尤其是在开发安全操作和左移测试的实施方面。然而，为了实施左移测试，有必要完全理解操作系统的最新列表。

如何预防和补救

请遵循以下五条建议，以经济高效的方式降低风险:

1。维护最新的和全面的数字资产清单(SSL证书)

软件、硬件、数据、用户和许可证应持续监控、分类和风险评分。在公共云、容器、代码库、文件共享服务和外包的时代，这不是一件容易的事情，但没有它，它可能会破坏网络安全工作的完整性，否定以前所有的网络安全投资。

2。监控外部攻击面和风险暴露

许多组织忽视了许多过时、废弃或未知的系统，它们可以从互联网上访问这些系统，并在辅助风险甚至理论风险上花钱。这些影子资产是网络犯罪分子梦寐以求的成果。攻击者聪明务实。如果他们能悄悄地通过一个被遗忘的地下隧道进入，请确保你对外部攻击有持续的了解。

3。维护软件更新、实施补丁管理和自动补丁

大多数成功的攻击不涉及使用复杂且昂贵的0天，而是公开披露的漏洞，通常可以有效利用。黑客会系统地搜索防御领域中最薄弱的环节来进入，甚至一个小小的过时的JS库对你来说也可能是一笔意外之财。为您的所有系统和应用程序实施、测试和监控强大的补丁管理系统。

4。基于风险和威胁确定测试和补救的优先级

一旦数字资产清晰可见，补丁管理策略得到适当实施，一切都会得到保证。为所有外部资产部署持续的安全监控，并进行深入测试，包括业务关键型网络应用程序和应用编程接口的渗透测试。通过快速通知设置监控任何异常。

5。密切关注黑网并监控数据泄露

大多数企业不知道有多少公司账户在黑网上出售，暴露在被黑客攻击的第三方网站和服务中。密码重用和暴力攻击的成功源于此。更糟糕的是，即使是像帕斯捷宾这样的合法网站也经常披露大量泄露、被盗或丢失的数据，每个人都可以访问。对这些事件的持续监控和分析可以节省数百万美元，最重要的是，可以节省声誉和商誉。

还有一些小想法:

？快速发现您的外部数字资产，包括应用编程接口、云存储和物联网？让应用程序具有侵入性和吸引力是可行的。数据驱动的安全评级”,持续监控公共代码库中未受保护或泄漏的源代码”,持续监控暗网是否暴露凭据和其他敏感数据”,网络和移动应用安全生产软件的组成分析”,域名和SSL证书即将过期的即时警报”,通过应用编程接口与SIEM和其他安全系统集成“我们希望所有企业在2020年能够避免成为数据泄漏的受害者！