大多数全球品牌未能实施安全控制,以防止数据泄露和被盗 - 易维网

大多数全球品牌未能实施安全控制,以防止数据泄露和被盗

分类:阅读(Read) ; 热度:108 ; 最后更新于2020 年 07 月 18 日

tohnnystohnnys

(本文来源于网络,中文为机器翻译)
全球大流行使网络成为中心舞台。银行、零售和其他行业网络流量出现大量高峰,预计这一趋势将永久化。
global brands security controls

全球品牌未能实施安全控制

随着攻击者加大努力利用这场危机,针对全球品牌的一系列高调攻击和针对 GDPR违规的破纪录罚款对客户端安全和数据保护部署的影响很小。

通过客户端攻击(如Magecart、表单劫持、跨站点脚本和信用卡浏览)来防止数据被盗和丢失,因此缺乏安全控制。。Tala Security 透露,这些攻击利用了在 99% 的顶尖网站上运行的易受攻击的 JavaScript集成。

报告指出,尽管过去 18 个月发生了高调攻击和重复的行业警告,包括迄今为止最大的 GDPR 罚款,但针对 JavaScript 漏洞的安全有效性正在下降。

如果没有控制,网站上运行的每一段代码(来自网站所有者网站供应链中包含的每个供应商)都可以通过 JavaScript 启用的客户端攻击来修改、窃取或泄漏信息。

在许多情况下,这种数据泄露是通过白名单的合法应用程序发生的,而网站所有者不知情。此报告表明,数据风险无处不在,很少应用有效的控制措施。

主要发现突出了漏洞的规模,并且大多数全球品牌未能部署足够的安全控制措施来防范客户端攻击。

JavaScript 风险在 2020 年增加

平均网站包含来自 32 个第三方 JavaScript 供应商的内容,比 2019 年略有上升。JavaScript 提供了丰富的功能,但也支持客户浏览器上呈现的内容的框架,包括图像、样式表、字体、媒体和来自第一方源的内容 - 网站所有者。

第三方 JavaScript 集成提供的内容

58% 的客户浏览器上显示的内容由上面标识的第三方 JavaScript 集成提供。

本网站供应链利用客户端连接,在 98% 的抽样网站中,这些连接超出有效控制范围。客户端是当今网站攻击的主要攻击媒介。

网站将数据公开到平均 17 个域

尽管 92% 的网站中出现越来越多的高调违规事件,但平均 17 个域会将数据泄露给这些域。这是 PII、凭据、卡交易和医疗记录。

虽然大多数用户有理由期望网站所有者的服务器和付款交换所可以访问这些数据,但分析表明,这些数据暴露在比预期多近 10 倍的域中。

近三分之一研究的网站将数据公开到 20 多个域。这为 Magecart、表单劫持和打卡略读等攻击如何以及为什么继续有增无减提供了一些见解。

没有比 XSS 更普遍的攻击

虽然其他客户端攻击(如 Magecart)捕获了大部分头条新闻,但没有任何攻击比跨站点脚本(XSS) 更为普遍。这项研究发现,97% 的网站使用危险的 JavaScript 函数,这些函数可以用作启动 DOM XSS 攻击的注入点。

存在基于标准的安全控制,可以防止这些攻击。它们很少被应用。

不幸的是,尽管存在引人注目的风险和可获得控制,但采用能够防止客户端攻击的安全性没有显著增加:

超过 99% 的网站面临来自 Google Analytics 等受信任白名单域名的风险。这些可用于渗出数据,突出表明需要持续进行 PII 泄漏监测和预防。这对数据隐私有重大影响,并扩展,GDPR和CCPA。
30% 被分析的网站实施了安全策略,比 2019 年增长了 10%, 令人鼓舞。然而。。。
只有1.1%的网站发现有有效的安全到位 - 比2019年下降11%。它表明,虽然部署量上升,但效率下降幅度更大。进攻者占了上风,主要是因为我们没有打有效的防守。


评论卡