企业没有从过往网络安全事件中吸取教训

业界 作者:HackerEye 2018-07-08 02:13:11
根据Pluralsight作家同时也是安全专家Troy Hunt表示,反复发生的网络安全事件表明企业仍然在基础层面出现问题,同时这也表明,很少企业会去从别人的错误中吸取经验教训。 他指出:“这里一个很好的例子是影响英国和世界各地数以千计政府网站和组织的BrowseAloud事故。” “尽管这个事故带来相当显著的影响,但很多企业并没有从中吸取教训,大多数网站仍然没有部署免费且简单的修复措施,包括很多英国和美国政府部门及主要零售商的网站。” 这个事故是由Browsealoud网站辅助功能服务中的文件损坏而引起,该服务可在网站访问者的浏览器中自动执行。 除了在浏览器中运行BrowseAloud服务外,受损文件还会启动虚拟货币挖掘软件,让攻击者能够利用受影响网站访问者的计算资源来挖掘Monero虚拟货币,而从中获利。 Hunt表示:“这本可以通过使用内容安全策略(CSP)来阻止,而这也只是几行代码的事情,即可确保在使用BrowseAloud等第三方服务时只有经批准的脚本可自动运行。” 他说:“尽管这个事故突出了这个问题,但仍然几乎没有人使用内容安全策略。事实上,全球前100万网站中只有2.5%使用内容安全策略来阻止流氓内容。” Hunt表示,虚拟货币挖掘可能是攻击者选择通过受损BrowseAloud文件发起的“最良性”形式的攻击之一。“事实上,这一次我们还没有看到网站所有者采取任何明显行动来做出回应。” 此外,这一事件也突出了很多网站使用第三方服务和内容的事实,这种做法带来严重安全风险。攻击者可能会感染第三方服务(正如他们感染BrowseAloud文件那样),并对数百万网站执行恶意代码。 Hunt指出:“对美国法院网站的分析显示,其主页有2.3Mb的数据,这相当于整个Doom游戏的大小,而其中几乎三分之一是脚本,这是可自动加载到受访者的浏览器的活动内容,当你想象一下你可通过JavaScript做的事情,这很可怕。” 而让这个问题进一步复杂化的是,大多数企业无法有效地检测恶意活动,2014年索尼影业遭受的网络攻击就很好地说明了这一点。“当时各种系统同时遭到破坏,不同类型的数据被盗,而直到看到员工试图登录时弹出消息:‘你已被黑客攻击’,该公司才发现自己遭受攻击。” 根据Hunt称,安全检查网站HavelBeenPwned中包含大量被泄露账户,人们可以在该网站查询自己的数据是否已经遭泄露,我们看到,大多数企业还不知道已被黑客攻击,即使知道,他们也不知道哪些数据被盗。 “很多人只是在他们收到我发的邮件时才发现他们的数据已经暴露在互联网,”他强调检测通常很困难的事实,“但选择攻击检测工具也同样困难,现在有很多供应商在销售攻击检测解决方案,但很难确定其实际效果。” 处于黑暗中的企业 另一个表明企业没有采取基本措施的事实是,很多企业仍然不知道其企业文件暴露于互联网。 根据安全公司Varonis称,21%的企业文件夹对互联网所有人开放,而在这些开放文件夹中,58%包含超过10万个文件。 总而言之,企业现在应该评估其网络安全状态,并确保他们至少在解决基本问题,因为简单的众所周知的攻击活动仍然在进行中。 企业还需要明白,随着虚拟货币的出现,网络攻击者比以往任何时候都更容易地通过数据赚钱。 接下来,企业需要了解其网站以及其员工访问的网站都是由多个来源的代码组成,其中任何代码都可能带来安全风险。 最后,除了选择有效和符合经济效益的安全解决方案,企业不应该忽视那些免费且易于部署的解决方案。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接