网络安全意识月：困扰您的开发团队的可怕统计数据

作者米歇尔·普鲁伊特 | 2022 年 10 月 26 日 | Kiuwan 团队，博客

又到了一年中的那个时候——树叶在变，空气越来越冷，网络安全威胁潜伏在每个角落。 没错，今天是网络安全月！ 还有什么比查看有关网络安全风险和软件安全的一些最可怕的统计数据更好的庆祝方式呢？ 以防万一您的开发团队需要更多的噩梦，这里有一些统计数据会困扰他们整个月。

可怕的网络安全数据泄露 (2021-2022)

在我们结束网络安全月之际，了解一下过去一年中一些最可怕的网络安全数据泄露事件非常重要。 这些漏洞清楚地提醒人们软件安全的重要性以及与数据安全相关的风险。 过去一年，Facebook、Colonial Pipeline 和 Bykea 等公司发生了一些可怕的重大数据泄露事件。 这些违规行为的影响非常广泛，数百万人的个人数据被泄露。

全球令人震惊的数据泄露统计数据

无论您转向哪里，数据泄露似乎都成为头条新闻。 并且有充分的理由——数据泄露的成本可能是惊人的。 但令人担忧的不仅仅是货币成本。 数据泄露还会对公司的声誉、客户信任甚至员工士气产生重大影响。

以下是近年来成为全球头条新闻的众多数据泄露事件中的一小部分：

它是如何执行的

数据泄露是由能够利用公司系统缺陷的攻击者执行的。 然后，攻击者能够通过现已失效的功能访问超过 5 亿的数据。 该功能使 Facebook 用户可以使用电话号码找到彼此。 黑客利用该功能在 Facebook 的用户数据库暴露后进行网络抓取。

结果

当有关数据泄露的消息传出时，Facebook 的股票受到重创。 该公司股价下跌 2.5%。 这一违规行为也肯定会对公司的声誉产生持久影响。 近年来，Facebook 一直卷入有关其数据安全政策的争议，这肯定会火上浇油。 此外，此次数据泄露紧随 Facebook 发生的另一起影响超过 8000 万人的数据泄露事件之后。

开发人员/工程师的最佳实践

这一漏洞可怕地提醒人们应用程序安全性的重要性。 开发人员和工程师需要保持警惕以避免此类攻击。 在创建和维护软件应用程序时，数据安全应该是重中之重。

它是如何执行的

对 Colonial Pipeline 的勒索软件攻击是由一个名为 DarkSide 的组织执行的。 他们是许多其他袭击事件的幕后黑手。 他们渗透系统并加密数据，要求用比特币支付赎金才能解密。 调查显示，泄露的 VPN 帐户密码被用来访问系统。 一旦进入内部，他们就能够横向移动并对关键系统进行加密。

结果

这次袭击的后果是广泛的，因为这条管道供应了东海岸大约 45% 的燃料。 这引起了恐慌并导致天然气价格上涨。 许多人无法加满油箱，有些人甚至采取囤积汽油的方式。

开发人员/工程师的最佳实践

该漏洞暴露了采取强有力的网络安全措施的重要性，特别是对于依赖关键任务软件和系统的企业而言。 开发人员和工程师需要开发具有多个冗余和安全级别的系统。 他们还需要不断监控漏洞并尽快修补它们。

它是如何执行的

对 JBS 的勒索软件攻击是由一个名为 REvil 的组织执行的。 他们是许多其他袭击事件的幕后黑手。

结果

JBS 的关闭导致美国肉类产品供应严重中断。 这引起了恐慌并导致肉类产品价格上涨。

开发人员/工程师的最佳实践

密码卫生对于防止此类攻击至关重要。 开发人员和工程师应确保使用强密码并定期更改密码。 他们还应该尽可能使用双因素身份验证。 此外，他们应该意识到使用第三方软件和服务的风险。

它是如何执行的

黑客通过一个不安全的生产服务器获得了对 Bykea 系统的访问权限。 然后他们就能够轻松访问服务器上的数据。 在 2020 年 9 月的黑客攻击中，数据只是从服务器中删除。 然而，在 2021 年 1 月的黑客攻击中，一名白帽黑客通知该公司他们的服务器不安全，该公司立即对其进行了保护。

结果

删除后，该公司能够从其中一个备份中恢复其数据，因此对运营的干扰最小。 该公司因其疏忽而遭受声誉损害，并已采取新的安全措施以防止未来的违规行为。

开发人员/工程师的最佳实践

开发人员和工程师应始终确保服务器得到适当保护并且数据已加密。 他们还应该有适当的备份程序，以确保在发生违规事件时可以恢复数据。

最佳应用安全解决方案

十月是网络安全宣传月，整个月我们都在用它来强调在线企业和个人面临的许多危险。 从数据泄露到勒索软件攻击，黑客可以利用大量威胁。 这些数字应该足以吓到任何企业主采取行动并投资于网络安全解决方案。 在 Kiuwan，我们提供两种有助于保护您的代码安全的关键产品：我们的代码安全解决方案 [SAST] 和我们的软件组合分析 [SCA]。