知道防弹安全最终不在你的掌控之中,这可能会让人感到安慰,也可能不会让人感到安慰。

你可以拥有地球上锁定程度最高的个人电脑,全面设置双因素认证(2FA),采取明智的措施保护你的个人信息,并阅读世界上所有的eula。你可以做所有这些甚至更多,但最终还是会妥协。如何?欢迎来到奇妙的第三方世界。

毫不奇怪,你每天使用的所有东西都不一定是由同一个团队构建的。公司购买现成的解决方案,使技术产品A将数据发送到晦涩难懂的服务器B。一个健康组织可能依赖于一个十年前离开公司的人开发的定制工具,没有人知道如何更新移动部件,因此它只能留在原地(潜在的漏洞和所有漏洞)。

黑客可能会避免追击主要的软件创建者,而是决定毒害供应链,在供应链中,第三方开发者通过伪造的更新文件聚集在一起。

我们将在下面看一些最流行的“别担心,这不是你的错”的危险。

网站碎片

如果你在上网,而浏览器运行的是默认设置,你就会相信你所访问的网络的默认状态是“良性的,绝对不是恶意的”。实际上,你每天访问的网站是由多个活动部分组成的,并不是所有的网站都在站长的控制之下。

这些广告来自世界另一端的一家公司,六个插件管理从评论到聊天室的所有内容,由六个插件构建其他还有一个内容交付网络,确保像广告和其他第三方内容能够快速送达。实际上,网站是由站长和其他第三方的同等部分组成的。

如果您的终端没有控制,例如广告拦截器或者其他网络安全程序,这意味着所有这些独立编码的比特和片段都可以自由发挥它们的魔力,前提是它们实际上在发挥魔力。如果其中一个不是?你有麻烦了。

2015年,一家代码可以放在网站上警告访问者使用广告屏蔽的公司被关闭妥协.他们的一个CDN账户被钓鱼,导致大约500个出版商(网站所有者)提供虚假的Flash更新。如果问题不在于网站本身,而在于附加在网站上的工具和服务(在许多情况下,这些工具和服务旨在“优化”或提高性能),那么这对网站访问者和网站声誉来说都是灾难性的。

广告网络还有一个非常普遍的问题犯规对坏演员来说,把骗局和恶意软件推给网络接收端的人坏广告.多年来我们已经多次遇到了这种攻击,这是其中之一的主要搬运工正如大家所知道的那样

供应链攻击

有时称为管道攻击,这些攻击通常涉及将自己插入组织业务流程的薄弱环节,彻底妥协,然后将带有坏文件的包裹传递给供应链中的其他人。

例如,一组移动开发人员可能会聚集在论坛X上,为手机y制作工具或应用程序Y.论坛被妥协,基本文件将出于恶意的东西切换出来,现在您有开发人员的情况unknowingly sending malware-laden files onto the phone’s storefront. This tactic also helps confuse the blame game in the immediate fallout, because initial suspicions will probably be aimed at the innocent forum-dwelling developers.

在其中一种情况下,可能造成的恶作剧是没有尽头的,它们最终可能会变得相当糟糕高调.这里的责任是组织作为一个整体,负责并检查他们的供应链的所有部分的漏洞,泄漏的数据,或其他问题,可以迅速影响到每一个涉及的人,包括他们的客户。

数据泄露和第三方问题

不可能有很多人还没当网站或服务有其数据库损害时,有一些个人数据,因为海量数据抓取可悲的是,这是生活的现实。即便如此,还是要想想那些通过我们的老朋友“第三方灾难”获取信息的人。错误配置或受损的插件和附加工具不仅仅是关于猫的网站面临的风险,它们也会在广泛使用的服务(如支付处理器)上出现。

客户支持聊天工具对于支付系统来说是个好主意,对吧?除非发生了妥协,聊天工具代码是秘密发送数据坏人。如果一个更大的组织要求一个更小的组织根据规范来构建一些东西,他们很可能会依赖他们来确保他们的代码是安全的,因为他们可能无法访问它的内部工作。一旦开发者失去控制,混乱就会迅速失控。

有好消息吗?

无论是谁做了什么,或是世界那一边的哪项服务被劫持,给世界这一边的人们带来了问题,我们仍然可以控制对桌面造成的影响,如果没有其他影响的话。无论管道攻击有多么聪明或狡猾,你仍然必须让流氓广告通过你的网络广告拦截器,或关掉电源安全工具并让一些勒索软件做它的事情,或允许未知文件运行你的移动设备,或者……好吧,你明白了。

如果您开始挖掘我们在日常使用的许多服务和网络的脆弱程度上都在引擎盖下,您可能永远不会再次上网。没有点否认自己的机会,因为人们因为人们而不是好的,所以精致的是你自己的数字防御,无论什么灾难都在幕后越来越低于幕后别人,你有希望得到良好的站立。