事件发生后的网络安全事件展示组织仍然在基础上失败,但他们还表明,COTROY HUNT,Pluralsightauthor和Security Expert的情况下,他们也表明很少有人从其他人的过去的错误中学习过去的错误。
“这是一个很好的例子是伦敦InfoSecurity欧洲的历史上达到数千个政府网站和组织的基础妥协。
“尽管这有一个相当重大的影响,但许多组织尚未了解到课程,大多数网站都没有自由而简单地修复,包括属于某些英国和美国政府部门和一些主要零售商的问题。”
问题是由在访问网站访问者浏览器中自动执行的BrowseAloud网站可访问性服务中的文件损坏引起的。
除了在浏览器中运行浏览器服务外,损坏的文件还会推出加密货币挖掘软件,以使攻击者能够利用受影响站点的访问者的计算资源,以挖掘Monero Crypurrency以获得攻击者的利益。
“这可以通过使用内容安全策略(CSP)来停止,这只是几行代码组织可以免费为他们的网站添加到他们的网站中,以确保在使用像BrowseLemoud这样的第三方服务时才能自动运行批准的脚本,“亨特说。
“尽管事件突出显示了这个问题,但只有任何人都在使用CSP。事实上,世界上只有2.5%的100百万个网站目前使用CSP来抵御流氓内容,“他说。
亨特说,加密货币矿工也许是“大多数良性”形式的内容攻击者可以选择通过受损的基础文件发射。“实际上,我们在这次下车下车了,但我们没有看到网站所有者的重要行动是回应。”
此事件强调了许多网站使用来自第三方的服务和内容,这代表了安全风险,因为攻击者可能会妥协,这是通过数百万个网站损害和执行恶意代码的方式。
“对美国法院网站的分析显示,其主页代表2.3MB的数据,与整个尚未游戏的大小相同,而且差不多是脚本,这是一个相当大的活动内容自动加载到访问者的浏览器中,尤其是当您认为您可以对JavaScript进行任何事情时,请追捕。
他说,复杂的问题是,大多数组织在侦测恶意活动方面都很糟糕,这是2014年索尼图片网络攻击的良好展示。“各种系统被妥协和不同类型的数据被盗,但公司所知的第一个是当员工试图登录并且被告知时的消息:“你被砍了”。“
根据亨特,谁经营着聚合违规记录的Haveibeenpwnedwebsite并使他们可寻找受影响的人,大多数组织都不知道他们已经被黑了攻击,即使他们这样做,他们也不知道数据可能被盗的数据。
“他们中的许多人只发现当他们收到我的电子邮件时,告诉他们他们的数据在互联网上提供,”他说,这补充说,这是衡量的,即检测往往很难。“但选择违规检测工具可以同样困难。有这么多供应商销售违规探测解决方案,但很难锻炼实际工作。“
组织未涵盖基础知识的另一个指标表示,许多组织仍然不知道公司文件暴露在互联网上。
根据安全公司Varonis,所有公司文件夹中的21%对互联网上的任何人都可以向任何人开放,其中58%包含超过100,000个文件。
总之,亨特表示,组织需要评估网络安全的状态,并确保至少他们正在解决基础知识,因为简单,众所周知的攻击仍在工作。
组织还需要了解它比以往任何时候都更容易,网络攻击者通过加密货币的出现来赚钱。
接下来,组织需要了解他们的网站和他们员工访问工作的网站是由来自多个来源的代码组成的,其中任何一个都可以代表安全风险。
最后,根据选择有效和实惠的安全解决方案的事实,组织不应该忽视那些自由而易于实施的。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。