为什么您的数据最有可能被盗以及您可以如何处理

2023-12-20 01:10

本文主要是介绍为什么您的数据最有可能被盗以及您可以如何处理,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

我曾经认为自己对网络世界非常了解,但是后来我开始学习网络安全,并阅读Shape Security,IBM和Snyk等公司的报告。

我不可能错了。

只是在我出生之前就发生了。 1983年,罗纳德·里根(Ronald Reagan)观看了电影《 战争游戏》 并建议制定一项法律,以防止未经授权的计算机访问。 1984年,有关网络安全的第一部法律得以实施 。

(注意:我将在文章结尾添加引用️)

所以,我参加安全培训有点迟了。 然而,每年,网络犯罪对每个人的威胁都越来越大。

战略与国际研究中心(CSIS)发表了一份重要的网络事件报告,报告时间跨度为2006年至2019年9月 。 本报告的重点是“对政府机构,国防和高科技公司的网络攻击或损失超过一百万美元的经济犯罪”

根据此报告,我对一些数据点进行了粗略的积累:

(完整的报告积累可以在 这里下载

其中一些事件确实令人恐惧。

2019年2月。欧洲航空航天公司空中客车公司透露,这是中国黑客的攻击目标,他们窃取了其部分欧洲员工的个人和IT身份信息。
2018年12月。朝鲜黑客窃取了居住在韩国的近1,000名朝鲜叛逃者的个人信息
2017年6月。俄罗斯黑客使用了更新的勒索软件程序来针对乌克兰基础设施,包括电力公司,机场和公共交通。

所有这些都是很大的网络犯罪。 您可能会认为,对于像我这样的小型公司和简单的凡人,这不是问题。 错误。

“无知就是力量” — 1984年,乔治·奥威尔(George Orwell)

在2018年Shape Security发布的有关凭证泄漏(即凭证被盗)的报告中 ,它谈到了4个主要行业的凭证泄漏和凭证填充(即自动尝试不同的登录名和密码组合直到获得有效组合)的问题—零售,酒店,航空公司和银行。

平均而言,在零售凭证填充攻击中, 在线零售商登录流量的80–90%

90%。 那是九零。 一开始我不敢相信,但是我阅读报告越多,这个数字就越有意义。 零售商受到如此巨额攻击的主要原因是因为我们-客户。

在亚马逊时代和一日交付的时代,我们变得越来越不耐烦地等待—无论是排队还是在加载网站。

关于减少客户摩擦(如改善网站加载时间)的重要性的文章已写了很多。

  • 尼尔·帕特尔(Neil Patel)以外科手术的精确度显示了消费者愿意在网站加载之前等待的时间
  • Time.com上的一篇文章说,网站吸引消费者注意力的时间约为15秒
  • 谷歌的一项研究表明, “ 53%的移动网站访问所花费的页面加载时间超过三秒钟”

因此,在我们努力使网络更快,更友好的同时,我们也不可避免地使其变得更加犯罪友好。 这些研究使网站专注于眼前的问题-尽可能快地吸引用户访问其网站,并尽可能减少采取行动所需的步骤。

因此,大多数网站都不愿意引入其他安全措施来增加用户的摩擦。 但是,通过省略2因子身份验证(2FA),不强制使用强密码,允许使用已被举报为已被泄露的密码( 这一点在NIST 2017年的研究中也提到过 )等事情,企业就可以破坏信任度数十亿人。 后者

[2017年]据报告,来自51个不同组织的超过23亿份凭证被盗用

即使您认为您通常不会在互联网上指定很多关于自己的信息,网络犯罪分子所做的就是创建一个人的身份文件之类的东西。 他们可以从特定帐户获得的所有信息都与有关该用户的其他溢出数据相关联 。 最后,一些网络罪犯比你妈妈更了解你。

这称为个人身份信息或PII。

例如,使用PII,黑客可能会完全接管您电话公司的帐户。 观看此视频,了解如何轻松进行网络钓鱼(通过电话进行网络钓鱼):

我们应该做什么?

有很多事情要考虑,它可能会让人感到压倒性的。 我知道了。 但是,引用Shape Security报告,这是好人与坏人抗衡所必需的“集体防御”。 我们不能被动。 不再考虑网络犯罪会影响所有国家。

政治成形,选举被篡改,军事蓝图和机密信息泄露,您家人的照片被使用,逃离独裁统治的人们被发现,您的汽车被黑。

对于软件开发人员

  • 了解如何处理密码以及遵循密码的原因。
  • 教育自己有关软件开发中漏洞的真实状态。 像Snyk这样的公司都在积极撰写有关这些事情的博客。
  • 从类似OWASP的项目中了解攻击类型(或向量,通常称为向量)
  • 阅读有关十个最关键的Web应用程序安全风险的信息 (2017)
  • 查看https://github.com/danielmiessler/SecLists

对于日常用户

  • 考虑使用密码管理器,例如LastPass或1Password
  • 如果可能,不要在任何网站上存储过多的个人信息
  • 不要在网站上保存卡数据
  • 尽可能使用2FA
  • 如果您的密码看起来不正确-8 @ U ^ K%fsGA85V * uP- 更改!
  • 不要使用公共WiFi处理任何敏感数据如果您使用公共WiFi,请使用VPN服务。
  • 教育自己有关网络钓鱼,网络钓鱼,网络钓鱼 (可能是我最喜欢的名字)等网络犯罪的信息。

为所有人

请遵守您公司的安全政策,以免成为意外攻击者。 我知道这很令人沮丧,有时会感到多余。 但是,IBM 在2015年《网络安全情报报告》中的研究表明,有55%的攻击者是内部人员。 在这23.5%中,无意伤害公司的人(例如,他们丢失了公司的笔记本电脑)。

如果您喜欢这篇文章,并希望详细了解本主题或获得更多提示,请随时在评论中分享。

另外,我建议您通过以下链接检查网站,您的电子邮件或密码是否受到破坏。

  • 电子邮件-https: //haveibeenpwned.com/
  • 密码-https: //haveibeenpwned.com/passwords
  • 公司— https://haveibeenpwned.com/Pwned网站

参考文献

  • https://zh.wikipedia.org/wiki/战争游戏
  • https://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act
  • https://www.csis.org/programs/about-us
  • https://www.csis.org/programs/technology-policy-program/significant-cyber-incidents
  • https://info.shapesecurity.com/rs/935-ZAM-778/images/Shape_Credential_Spill_Report_2018.pdf
  • https://time.com/12933/what-you-think-you-know-about-the-web-is-wrong/
  • https://neilpatel.com/blog/loading-time/
  • https://www.crazyegg.com/blog/why-users-leave-a-website/
  • https://www.thinkwithgoogle.com/marketing-resources/data-measurement/mobile-page-speed-new-industry-benchmarks/
  • https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf
  • https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/what-do-hackers-do-with-your-stolen-identity
  • https://dev.to/nathilia_pierce/how-to-process-passwords-as-a-software-developer-3dkh
  • https://snyk.io/blog/why-npm-lockfiles-can-be-a-security-blindspot-for-injecting-malicious-modules/
  • https://www.owasp.org/index.php/类别:攻击
  • https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf
  • https://github.com/danielmiessler/SecLists
  • https://www.lastpass.com/
  • https://1password.com/
  • https://thebestvpndeals.com/eu/best-vpn/?gclid=CjwKCAjw9L_tBRBXEiwAOWVVCRUqlZ787rcGufgKiV_hUp92y31qAa4dZ-lv6MpPMPxhza_oRRIhnRoCofUQAvD_BwE
  • https://blog.syscloud.com/types-of-phishing/
  • https://essextec.com/wp-content/uploads/2015/09/IBM-2015-Cyber​​-Security-Intelligence-Index_FULL-REPORT.pdf

From: https://hackernoon.com/why-your-data-has-most-likely-been-stolen-and-what-can-you-do-about-it-xc2g32f8

这篇关于为什么您的数据最有可能被盗以及您可以如何处理的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/514357

相关文章

C++如何通过Qt反射机制实现数据类序列化

《C++如何通过Qt反射机制实现数据类序列化》在C++工程中经常需要使用数据类,并对数据类进行存储、打印、调试等操作,所以本文就来聊聊C++如何通过Qt反射机制实现数据类序列化吧... 目录设计预期设计思路代码实现使用方法在 C++ 工程中经常需要使用数据类,并对数据类进行存储、打印、调试等操作。由于数据类

Java中Switch Case多个条件处理方法举例

《Java中SwitchCase多个条件处理方法举例》Java中switch语句用于根据变量值执行不同代码块,适用于多个条件的处理,:本文主要介绍Java中SwitchCase多个条件处理的相... 目录前言基本语法处理多个条件示例1:合并相同代码的多个case示例2:通过字符串合并多个case进阶用法使用

Java实现优雅日期处理的方案详解

《Java实现优雅日期处理的方案详解》在我们的日常工作中,需要经常处理各种格式,各种类似的的日期或者时间,下面我们就来看看如何使用java处理这样的日期问题吧,感兴趣的小伙伴可以跟随小编一起学习一下... 目录前言一、日期的坑1.1 日期格式化陷阱1.2 时区转换二、优雅方案的进阶之路2.1 线程安全重构2

SpringBoot使用GZIP压缩反回数据问题

《SpringBoot使用GZIP压缩反回数据问题》:本文主要介绍SpringBoot使用GZIP压缩反回数据问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot使用GZIP压缩反回数据1、初识gzip2、gzip是什么,可以干什么?3、Spr

Python处理函数调用超时的四种方法

《Python处理函数调用超时的四种方法》在实际开发过程中,我们可能会遇到一些场景,需要对函数的执行时间进行限制,例如,当一个函数执行时间过长时,可能会导致程序卡顿、资源占用过高,因此,在某些情况下,... 目录前言func-timeout1. 安装 func-timeout2. 基本用法自定义进程subp

Java字符串处理全解析(String、StringBuilder与StringBuffer)

《Java字符串处理全解析(String、StringBuilder与StringBuffer)》:本文主要介绍Java字符串处理全解析(String、StringBuilder与StringBu... 目录Java字符串处理全解析:String、StringBuilder与StringBuffer一、St

SpringBoot集成Milvus实现数据增删改查功能

《SpringBoot集成Milvus实现数据增删改查功能》milvus支持的语言比较多,支持python,Java,Go,node等开发语言,本文主要介绍如何使用Java语言,采用springboo... 目录1、Milvus基本概念2、添加maven依赖3、配置yml文件4、创建MilvusClient

浅析Java中如何优雅地处理null值

《浅析Java中如何优雅地处理null值》这篇文章主要为大家详细介绍了如何结合Lambda表达式和Optional,让Java更优雅地处理null值,感兴趣的小伙伴可以跟随小编一起学习一下... 目录场景 1:不为 null 则执行场景 2:不为 null 则返回,为 null 则返回特定值或抛出异常场景

深入理解Apache Kafka(分布式流处理平台)

《深入理解ApacheKafka(分布式流处理平台)》ApacheKafka作为现代分布式系统中的核心中间件,为构建高吞吐量、低延迟的数据管道提供了强大支持,本文将深入探讨Kafka的核心概念、架构... 目录引言一、Apache Kafka概述1.1 什么是Kafka?1.2 Kafka的核心概念二、Ka

SpringValidation数据校验之约束注解与分组校验方式

《SpringValidation数据校验之约束注解与分组校验方式》本文将深入探讨SpringValidation的核心功能,帮助开发者掌握约束注解的使用技巧和分组校验的高级应用,从而构建更加健壮和可... 目录引言一、Spring Validation基础架构1.1 jsR-380标准与Spring整合1