Springende Datenschutzverletzungen bringen Unternehmen unkalkulierbare Verluste und können Führungskräfte im Bereich Cybersicherheit ihre Arbeit kosten.
Hier untersuchen wir die fünf wichtigsten Orte im Jahr 2019, an denen Cyberkriminelle Unternehmens- und Regierungsdaten stehlen, ohne jemals bemerkt zu werden, und lernen dann, wie wir vermeiden können, skrupellosen Angreifern zum Opfer zu fallen.
1. Falsch konfigurierter Cloud-Speicher
Laut einer globalen Cloud-Sicherheitsstudie des Cybersicherheitsunternehmens Thales aus dem Jahr 48, in der über 35 Fachleute auf der ganzen Welt befragt wurden, werden 2019% aller Unternehmensdaten in der Cloud gespeichert, verglichen mit 3,000% vor drei Jahren. Im Gegensatz dazu glauben nur 32% der Unternehmen, dass der Schutz von Daten in der Cloud in ihrer eigenen Verantwortung liegt, und verlassen sich auf Cloud- und IaaS-Anbieter, um die Daten zu schützen. Schlimmer noch, 51% der Unternehmen verwenden keine Verschlüsselung oder Tokenisierung in der Cloud.
(ISC) ² Cloud Security Report 2019-Assets, die 64% der Cybersecurity-Experten als das größte mit der Cloud verbundene Risiko für Datenverlust und Datenlecks betrachten. Der Missbrauch von Anmeldeinformationen von Mitarbeitern und unangemessene Zugriffskontrollen sind die größten Herausforderungen für 42% der Sicherheitsexperten, während 34% mit der Einhaltung von Vorschriften in der Cloud zu kämpfen haben und 33% die mangelnde Transparenz der Infrastruktursicherheit als Hauptanliegen bezeichnen.
Fahrlässige und nachlässige Dritte sind jedoch wahrscheinlich die gefährlichste Falle, die weitgehend unterschätzt und somit ignoriert wird. Im Jahr 2019 wurden Facebook, Microsoft und Toyota von den Medien gnadenlos stigmatisiert, weil sie Millionen von Kundendatensätzen aufgrund von Lecks oder Verstößen Dritter verloren hatten.
Trotz dieser alarmierenden Vorfälle verfügen nur wenige Unternehmen über ein gut durchdachtes, ordnungsgemäß implementiertes und kontinuierlich durchgesetztes Risikomanagementprogramm von Drittanbietern, wobei die meisten auf papierbasierten Fragestellern beruhen, die praktische Überprüfungen und kontinuierliche Überwachung überspringen.
2. Dunkles Web
Die berüchtigte Sammlung Nr. 1, die 2019 vom Sicherheitsexperten Troy Hunt enthüllt wurde, besteht aus einer Reihe von E-Mail-Adressen und Klartext-Passwörtern mit insgesamt 2,692,818,238 Zeilen. Jeder kann diese Daten anonym für Bitcoins kaufen, ohne eine Spur zu hinterlassen. Als eine der größten öffentlich bekannten Datenbanken mit gestohlenen Anmeldeinformationen handelt es sich lediglich um ein Stück kompromittierter Daten, die im Dark Web zum Verkauf angeboten werden. Viele Organisationen werden aufgrund der Komplexität der Angriffe oder der einfachen Nachlässigkeit, des Mangels an Ressourcen oder Fähigkeiten jeden Tag gehackt, ohne sich dessen bewusst zu sein.
Gezielte Angriffe zur Wiederverwendung von Passwörtern und Spear-Phishing sind einfach zu starten und erfordern keine teuren 0-Tage-Exploits. Obwohl sie auf den ersten Blick trivial sind, können sie durchdringend effizient sein. Die meisten Organisationen haben keine einheitliche Kennwortrichtlinie für ihre Unternehmensressourcen und stellen SSO nur für ihre zentrale Infrastruktur bereit.
Sekundär- und Hilfssysteme leben ihr eigenes Leben, häufig mit einer schlechten oder sogar fehlenden Passwortrichtlinie, aber mit Zugang zu Geschäftsgeheimnissen und geistigem Eigentum. Angesichts der Vielzahl solcher Portale und Ressourcen versuchen Angreifer akribisch gestohlene Anmeldeinformationen und erhalten schließlich das, was sie suchen.
Wichtig ist, dass solche Angriffe aufgrund unzureichender Überwachung oder einfach weil sie keine üblichen Anomalien auslösen, die nur Benutzer hereinlassen, technisch oft nicht erkennbar sind. Erfahrene Hacking-Gruppen werden ihre Opfer vor dem Angriff sorgfältig profilieren, um sich von demselben ISP-Subnetzwerk und während desselben anzumelden Stunden damit, selbst die AI-fähigen IDS-Systeme zu überlisten, die von klugen Sicherheitsanalysten unterstützt werden.
So mildern Sie: gewährleisten Sichtbarkeit digitaler AssetsImplementieren Sie kontinuierlich eine ganzheitliche Kennwortrichtlinie und einen Notfallplan Dark Web überwachen und andere Ressourcen für Lecks und Zwischenfälle.
3. Verlassene und ungeschützte Websites
Laut einer Studie eines Web-Sicherheitsunternehmens ImmuniWeb aus dem Jahr 2019 haben 97 von 100 der weltweit größten Banken gefährdete Websites und Webanwendungen. Ein breites Spektrum von Problemen wird auf die unkontrollierte Verwendung von Open Source-Software, veralteten Frameworks und JS-Bibliotheken zurückgeführt, von denen einige ausnutzbare Sicherheitslücken enthielten, die seit 2011 öffentlich bekannt sind.
Aus demselben Bericht ging hervor, dass 25% der E-Banking-Anwendungen nicht einmal mit einer Web Application Firewall (WAF) geschützt waren. Schließlich schlugen 85% der Anwendungen fehl GDPR-Konformitätstests49% haben den PCI-DSS-Test nicht bestanden.
Trotz des Aufstiegs von Angriffsflächenmanagement (ASM) -Lösungen kämpfen die meisten Unternehmen zunehmend mit der wachsenden Komplexität und schwankenden Komplexität ihrer externen Angriffsflächen. Webanwendungen dominieren die Liste der verlassenen oder unbekannten Assets, die von unachtsamen oder überlasteten Entwicklern hinterlassen werden.
Demo- und Testversionen nehmen im gesamten Unternehmen schnell zu und werden sporadisch mit Produktionsdatenbanken mit vertraulichen Daten verbunden. Die nächsten Veröffentlichungen gehen schnell online, während die vorherigen monatelang in freier Wildbahn bleiben. Unterbesetzte Sicherheitsteams haben routinemäßig keine Zeit, solche unerwünschten Anwendungen zu verfolgen, und verlassen sich dabei auf die Sicherheitsrichtlinien, die die Hälfte der Softwareentwickler noch nie gelesen hat.
Selbst ordnungsgemäß bereitgestellte Webanwendungen können eine Zeitbombe sein, wenn sie unbeaufsichtigt bleiben. Sowohl Open Source als auch proprietäre Software sorgen in Bugtraq mit bemerkenswerter Häufigkeit für Aufsehen und bringen neue und vorwiegend leicht ausnutzbare Sicherheitslücken mit sich. Mit einigen Ausnahmen sind Anbieter im Vergleich zur Geschwindigkeit von Massen-Hacking-Kampagnen nur schleppend bei der Veröffentlichung von Sicherheitspatches.
Die meisten gängigen CMS wie WordPress oder Drupal sind in ihren Standardinstallationen vergleichsweise sicher, aber die unzähligen Plugins, Themes und Erweiterungen von Drittanbietern beeinträchtigen ihre Sicherheit.
So mildern Sie: Beginnen Sie mit einem kostenlosen Website-Sicherheitstest für alle Ihre nach außen gerichteten Websites und fahren Sie mit der Tiefe fort Web-Penetrationstestsfür die kritischsten Webanwendungen und APIs.
4. Backends für mobile Anwendungen
Moderne Unternehmen investieren jetzt großzügig in die Sicherheit mobiler Anwendungen und nutzen sichere Codierungsstandards, die in DevSecOps, SAST / DAST / IAST-Tests und RASP-Schutz integriert sind und durch Vulnerability Correlation-Lösungen erweitert wurden. Leider behandeln die meisten dieser Lösungen nur die sichtbare Spitze des Eisbergs und lassen das Backend für mobile Anwendungen ungetestet und ungeschützt.
Während die meisten von der mobilen Anwendung verwendeten APIs vertrauliche Daten, einschließlich vertraulicher Informationen, senden oder empfangen, werden deren Datenschutz und Sicherheit weitgehend vergessen oder benachteiligt, was zu unverzeihlichen Konsequenzen führt.
Ebenso vergessen große Unternehmen häufig, dass frühere Versionen ihrer mobilen Apps problemlos aus dem Internet heruntergeladen und rückentwickelt werden können. Solche Legacy-Anwendungen sind ein echtes Klondike für Hacker, die nach verlassenen und anfälligen APIs suchen, die normalerweise noch unkontrolliert auf die Kronjuwelen eines Unternehmens zugreifen können.
Schließlich wird eine Vielzahl von Angriffen möglich, von primitiven, aber hocheffizienten Brute-Forcings bis hin zu ausgeklügelten Authentifizierungs- und Autorisierungsumgehungen, die für das Scraping und den Diebstahl von Daten verwendet werden. Normalerweise befinden sich die gefährlichsten Angriffe, einschließlich SQL-Injections und RCEs, auf der mobilen Backend-Seite. Da sie selbst von einer WAF nicht geschützt werden, sind sie für pragmatische Angreifer eine niedrig hängende Frucht.
5. Öffentliche Code-Repositories
Agile CI / CD-Praktiken sind ein großartiger Business Enabler. Bei unzureichender Implementierung verwandeln sie sich jedoch schnell in eine Katastrophe. In diesem Zusammenhang sind öffentliche Code-Repositories häufig das schwächste Glied, das die Bemühungen der Organisation um Cybersicherheit untergräbt.
Ein aktuelles Beispiel stammt vom Bankengiganten Scotiabank, der Berichten zufolge hochsensible Daten in öffentlich zugänglichen und zugänglichen GitHub-Repositories gespeichert hat und dabei seinen internen Quellcode, Anmeldeinformationen und vertrauliche Zugriffsschlüssel offengelegt hat.
Softwareentwickler von Drittanbietern verschärfen die Situation erheblich, um unwissenden und etwas naiven Kunden das wettbewerbsfähigste Angebot zu unterbreiten. Billige Software ist offensichtlich nicht ohne wesentliche Nachteile, und schlechte Sicherheit übertrifft sie.
Während es nur wenigen Unternehmen gelingt, die Kontrolle über die Qualität und Sicherheit des Softwarecodes durch automatisiertes Scannen und manuelle Codeüberprüfung zu behalten, kann praktisch kein Unternehmen überwachen, wie der Quellcode während der Entwicklung der Software und insbesondere danach gespeichert und geschützt wird.
Es überrascht nicht, dass menschliche Fehler den Raum dominieren. Selbst beispielhafte Organisationen mit ausgereiften und professionell getesteten Sicherheitsrichtlinien rutschen aufgrund menschlicher Faktoren unbeholfen aus. Harte Fristen, die von den wirtschaftlichen Realitäten vorgegeben werden, führen zu überlasteten und erschöpften Programmierern, die unschuldig vergessen, einem neu erstellten Repository ein angemessenes Attribut zuzuweisen, um die Probleme zu lösen.
