零零信安丨解析数据库中的数据是如何被攻击者窃取的？(5)

开放可能对工作或商务有很大便利，但它不是总是安全的。对于数据的权限太过广泛，使得每个人都能获得相关数据，但最终用户和开发者到传统的银行和金融机构，并不是一个人人都免费的机构。它必须遵守有关隐私保护的法律和法规（如GDPR）以及合法的商业问题（知识产权保护，企业财务状况）。虽然为更多的实体提供了更多的数据，但那些被允许访问数据的人如果蓄意破坏或传播，将会损坏企业的利益。
开源软件缺陷：
开源软件是第三方影响的原因之一，几乎所有的商业数据库约99％都至少包含一个开源组件，其中近75％的代码库包含开源安全漏洞。这些未被发现的漏洞很可能会被黑客利用。一旦开源漏洞被公开，例如通过国家漏洞数据库（NVD），攻击者在修补之前必定会突然出击。在开放源代码中，比较常见的错误就是“窃听门”，这是为了促进开发而故意植入软件中的软件漏洞。而且，在OpenSSL加密软件库中也可能存在缺陷。虽然许可证允许使用、修改和共享源代码但大多数这些许可证都不符合开放源码的严格的OSI和SPDX定义。其中超过200多种类型的开源许可证，并不符合企业或组织的严格标准与要求。零零信安研究发现在1253个应用程序中，约67％的代码库受到许可证冲突的影响，33％的代码库包含未经许可的软件。
媒体存储备份泄露：
数据泄漏的另一个原因是备份存储介质具有不受限制的访问权限。一些用户可能被授予了过多的特权，这可能与内部人士滥用数据库特权的内部威胁相结合。外部攻击者使用的两种主要类型的数据库注入攻击，分别是针对传统数据库系统的SQL注入和针对“大数据”平台的注入。这两者都可以让攻击者对整个数据库不受限制地访问。
第三方泄漏：
即使你已经制定出最佳方案，你的供应链也可能是薄弱环节。根据IBM发布的数据泄露报告可知，约60％企业经历了一次由第三方造成的重大数据泄露事件，平均总成本高达386万英镑。
第三方数据泄露的额外成本数量每年超过426万美元。这似乎令人难以置信，但零零信安经分析发现，有53％的组织至少经历过一次由第三方造成的数据泄露，平均花费750万美元进行补救。此外零零信安还发现接近62％的关键事件、93％的服务器泄露事件以及39％的代码数据库泄露事件都是由于第三方泄露而造成的。
数据泄露违约成本上升
根据IBM发布的《2022年数据泄露成本报告》显示数据泄露事件给企业和组织造成的经济损失和影响力度达到前所未有的水平，单个数据泄露事件给全球的受访组织造成平均高达 435 万美元的损失，创下该年度报告发布17年以来的最高纪录，60％ 的受访组织表示他们在遭遇数据泄露事件之后提高了自身产品或服务的价格。据调查2022年数据泄露的平均成本达到435万美元，比2021年的424万美元增加了2.6％，比2020年的386万美元增加了12.7％。