敏感信息泄漏离不开软件系统中的重大安全漏洞,发现这些网络缺陷如Web漏洞只是攻击者采取的第一步,进一步他们通常会窃取敏感信息、植入恶意代码,如:攻击其他目标或启用永久控制,或重复升级到其他系统。不管怎么说,窃取敏感信息的最终目的都是为了获取收益,因此敏感数据泄漏是网络犯罪分子最常见的攻击目标。通常来说,计算机软件系统存在漏洞缺陷,或进行错误配置会引起敏感数据泄漏。
对个人来说哪些属于敏感数据?
最基础的私人敏感数据包括名字、出生日期、电子邮件、信用卡号、身份验证凭据或其他个人信息等。当然也存在一些在传输和存储过程中出现的敏感数据。犯罪分子获取到这类数据时,用来创建身份盗窃的配置文件。在日常生活中,数据传输、数据存储和电子邮件往来这三种操作往往容易造成敏感数据泄露。
数据传输如何导致泄漏敏感数据?
虽然大多数网站和Web应用程序都可以通过安全的SSL / TLS连接进行访问,甚至有些人会使用HTTP严格传输安全性(HSTS)来加强此类连接。但这并不意味着就可以用明文在客户端和服务器之间传输敏感信息。尽管SSL / TLS提供了高度的保护,但在某些情况下仍可能对网络流量进行中间人攻击(MITM)。如果攻击者设法以某种方式访问了在Web应用程序和用户之间传输的数据,并且该数据包括(例如)信用卡号或明文密码,最终会导致敏感数据泄露。因此,避免敏感数据泄漏的最佳方法就是要始终用强加密算法作为保护。
数据存储如何出现敏感数据泄漏?
数据存储安全和数据传输安全同样重要。如果攻击者利用一个漏洞并通过SQL注入获得对网站或Web应用程序的访问,那将意味着他们可以访问整个数据库的内容,此时存储的信息将受到威胁。因此除了对数据库进行加密意外,还要对敏感信息额外保护。
邮件往来中的敏感数据泄漏
很多企业并没有意识到,电子邮件并不是安全的渠道。正常情况下,客户端和服务器之间的电子邮件连接可以被加密,但服务器之间的连接通常使用纯文本进行。电子邮件正文也未加密。这将导致邮件中的敏感信息直接暴露在外。
如何保护敏感数据?
OWASP(开放Web应用程序安全性项目)曾表示,敏感数据可以作为单独的类别列入OWASP Top 10。在2017年版本中,该类别被认为是第三大最常见的缺陷,而2021年敏感数据保护只会变得越来越重要。敏感信息泄漏主要因为系统中存在重大安全漏洞,因此,除了对数据进行加密之外,还需减少代码缺陷以保证系统中存在尽可能少的安全漏洞。这也是为什么一些安全意识强的企业,已经将安全检测融合在整个开发流程中。
现有的安全检测方式包括动态应用程序安全性测试(DAST)、交互式应用程序安全测试(IAST)及静态应用程序安全测试(SAST)等。前两种方式从外部对应用程序进行安全测试,发现软件系统在网络运行环境中存在的安全漏洞,而静态代码安全分析(SAST)检测从内部检查应用程序,在源代码中检测可能存在安全漏洞的缺陷。
由于很多漏洞通过动态安全检测并不能及时扫描发现,反而在静态代码安全检测时更容易被识别,所以在代码开发阶段,进行静态代码安全检测就十分重要。静态代码检测有哪些特点及优势?
静态代码安全检测能够快速准确地检测所有的代码级别可执行路径组合,另一方面,静态代码安全检测是直接面向源码分析问题。此外,静态代码安全检测在研发阶段开始找到并修复多种问题,利于及时调整,节省大量时间和人力成本。数据安全离不开系统安全,系统安全要从代码安全做起。
关键词标签:数据泄露 静态代码安全 数据加密 网络安全 系统漏洞
