6月29日,MITRE发布了2022上半年的25个常见且危险的漏洞列表,可帮助企业和机构针对性防护和修复。这些漏洞易于发现和利用,潜在破坏力很大,而且在过去两年中发布的软件中很常见。
MITRE对国家漏洞数据库中37899个CVE进行分析后,进行了评分和排名,把前25个形成了这份清单,供安全圈参考。
根据表单情况我们可以发现,越界写入和网页生成期间输入不正确(跨站点脚本)和去年一样,稳获冠亚军。SQL注入提升说明,远程控制内容增多的结果。攻击者可利用这些漏洞完全控制易受攻击系统、窃取目标的敏感数据。
安全行业或软件从业人员,如软件架构师、设计师、开发人员、测试人员、用户、项目经理、安全研究人员,分析CWE Top 25榜单,可有助于及时发现和处理漏洞,降低风险。
企业除了提升技术性防护外,内控也是需要着重注意的。
一些企业没有系统的内部控制制度,或者规章制度泛泛而谈,缺乏操作性和指导性,使得企业经营管理主要依靠个人经营和责任心,缺乏明确操作标准规范、约束和指导业务流程。
由此导致的可能后果,企业客户信息、技术资料完全掌握在员工个人手中,对企业来说是一件非常危险的事情。现实中经常可以看到,不少企业的员工一旦跳槽或离职,原有客户信息或技术资料也随之被带走,从而谋取个人私利。甚至利用在职期间,将企业资料外发兜售,谋取利益,因为是内部人员,这种情况企业很难发现。其实这些严重损害企业利益的情况时有发生。
类似的内部人员作案,近几年国内已出现多次。据《财经》报道显示,有80%的数据泄露是企业内鬼所为,黑客和其他方式仅占20%。我们研究发现,在诸多信息买卖案件中经常能看见“内鬼”参与的身影。
企业机构该如何保护数据安全?
1、对敏感且涉密数据进行加密授权保护
企业机构应加密传输和储存敏感数据,对数据加密可有效防控数据泄露,密文数据对黑客来说不具有利用价值。此外,对数据应有授权访问保护,无关人员无法打开浏览内容,更无法拷贝数据。
2、部署数据防泄漏系统(DLP)
政企等涉密机构,可部署数据防泄漏系统,可有效避免内部人员无意或恶意的数据外泄。数据防泄漏系统会对内容进行识别,通过识别可扩展到对数据泄漏的防控,可定位敏感数据位置、监控敏感数据的使用情况以及采取阻断和审批加密的策略,防护敏感数据外泄。
3、数据管控
数据管控策略可有效避免“内鬼”将机密外泄。常见的管控技术有:访问权限管控、水印溯源管控、离职管控、加密管控、上传管控等。
同时,针对业务、财务、技术、研发、运维人员定期进行安全意识培训,以及培养良好的数据使用习惯,避免数据外泄。
商务密邮:企业级用户应与专业的安全机构开展合作,制定符合企业需求的网络安全措施和策略,才能有效避免系统漏洞、软件漏洞和人员管理缺失等安全问题,导致的敏感数据泄露。
