Поширені вразливості веб-сайтів

2018 рік свідчить про деякі найбільші кібератаки, які коли-небудь бачили: хаки на Marriott Group, Equifax, Yahoo та Facebook – це призвело до великих порушень даних. Додайте до цього посилене втручання у виборчі процеси по всьому світу, і зрозуміло, що перед нами криза.


Це було зрозуміло вже деякий час, але ви цього не знали зі статистики.

Натомість у 2020 році веб-сайти, здається, не стають менш захищеними.

Ptsecurity виявила, що наприкінці 2018 року вразливість веб-додатків знову зростає після багаторічного зменшення: вони виявили, що 67% відсотків веб-додатків мали вразливі місця безпеки наприкінці 2018 року, який найчастіше – це недостатня авторизація, довільне завантаження файлів, обхід шляху та ін’єкція SQL.

У 2020 році те тенденція, здається, зберігається. Незважаючи на те, що ви можете спокуситись зачинитися всередині себе, вимкнути мережу з мережі Інтернет і більше ніколи не зв’язуватися з людьми … ми радимо проти цього.

Натомість ви можете уникнути більшості вразливих сторін, перелічених нижче, встановивши брандмауер та веб-серфінг лише тоді, коли підключений через віртуальну приватну мережу (VPN). Перегляньте наш довідник з кращих VPN-послуг Канади, щоб вибрати той, який підходить саме вам.

Однак, давайте подивимося на останні дані.

Економіка кіберзлочинності

Спочатку розглянемо розмір економіки кіберзлочинності та кібербезпеки.

  1. Загальну грошову вартість кіберзлочинності важко оцінити, особливо зважаючи на те, що багато компаній зберігають успішні хакерські таємниці. Але дослідження Accenture виявили, що прямі та непрямі атаки піддають 5,2 трлн дол. США під загрозою протягом наступних п’яти років.
  2. Переглядаючи іншу сторону монети, проведені дослідження Global Market Insights визначають розмір ринку кібербезпеки на рівні 300 мільярдів доларів на рік до 2024 року.
  3. У США кібербезпека є основною раковиною для державних коштів. Відповідно до бюджету на 2020 рік, оприлюдненого Білим домом, уряд планує витратити 15 мільярдів доларів на захист споживачів, бізнесу та критичної інфраструктури до 2020 року. Це на 4,1% більше у 2018 році.
  4. Це величезна кількість, і малому бізнесу важко йти в ногу. Juniper Research встановив, що в 2018 році середній малий бізнес витрачав на кібербезпеку менше 500 доларів на рік.
  5. Низький рівень інвестицій МСП в кіберзлочинність також викликає занепокоєння, оскільки SCORE встановив, що МСП є ціллю 43% усіх кібератак.
  6. Що стосується виявлення та звітування про хаки, ми досягаємо певного прогресу, але не дуже. За даними Risk Based Security, середній час повідомлення про порушення даних у 2020 році становив 49,6 днів. Це трохи краще, ніж 50+ днів у 2018 році, все ще стосується.
  7. У найширшому масштабі кіберзлочинність все ще зростає. Дев’яте щорічне опитування витрат на кіберзлочинність від компанії Accenture встановило, що порушення безпеки в 2018 році зросло на 11%, і це, ймовірно, продовжиться до 2020 року.
  8. Це ж опитування також більш довгостроково вивчало зростання кібератак, і виявило, що вони зросли на 67% за останні п’ять років.

Витрати хакі

Сама масштабна кіберзлочинність та величезна кількість залучених людей іноді можуть означати, що жертви хакерів – приватні особи, компанії та навіть уряди – можна забути. Тож давайте подивимося на реальні наслідки кіберзлочинності.

  1. Щорічний звіт про злочини щодо кібербезпеки підприємств за 2020 рік містить деякі цифри щодо наслідків злому для бізнесу. Вони встановили, що збитки від кіберзлочинності до 2021 року коштуватимуть бізнесу 6 мільйонів доларів США щорічно, число, яке вони відзначають, “являє собою найбільшу передачу багатства в історії людства”.
  2. З цих 6 трильйонів доларів збитки від викупу найшвидше зростають. Компанія Cybersecurity Ventures стверджує, що вартість викупних програм до 2021 року досягне 20 мільярдів доларів.
  3. За даними глобального дослідження Accenture, середня вартість кіберзлочинності для організацій оцінюється в 13 мільйонів доларів на рік.

Жертви

Кіберзлочинність – це величезна проблема, коли справа стосується прибутковості та стійкості компаній. Але успішні хаки також можуть мати серйозні наслідки для величезної кількості споживачів.

  1. Давайте вийдемо з одного шляху: США – це мішень номер кібератак номер один, згідно з дослідженнями Нортона. Це може бути одна статистика, коли громадяни США менше, ніж пишаються тим, що є №1.
  2. У США понад 60% громадян зазнали онлайн-шахрайства, згідно з повідомленням Американського інституту CPA.
  3. Щорічне опитування злочинності Галлапа виглядає дещо глибшим і виявило, що масштаби кіберзлочинності в США вражають. 23% американців повідомляють, що вони чи хтось, кого вони знають, стали прямою жертвою кіберзлочинності.
  4. Більшість цих людей стали жертвою лише невеликої кількості величезних порушень даних. У 2018 році, згідно з доповіддю RBS, лише за 12 порушень даних було виявлено понад три чверті всіх записів, що піддаються компрометації в тому році. Кількість записів? Більше 100 мільйонів.
  5. З погляду на майбутнє, Juniper Research стверджує, що до 2021 року буде вкрадено 33 мільярди записів на рік.

Кіберзлочинність за галузями

Деякі галузі швидше стають об’єктом кіберзлочинності, ніж інші. Зокрема, компанії, які працюють з критичною інфраструктурою або конфіденційною особистою інформацією, піддаються найбільшій небезпеці.

  1. На даний момент виробники та гірничі компанії є переважними цілями. У звіті Make UK та AIG встановлено, що 48% виробників у Великобританії зазнали кіберзлочинців, і відповідно до звіту Symantec щодо ризику безпеки в Інтернеті, 38,4% компаній у гірничій промисловості спостерігали подібні напади.
  2. В майбутньому медичні компанії ставатимуть все більш націленими. Компанія Cybersecurity Ventures заявила, що очікує, що напади на медичні компанії до 2021 року збільшаться у п’ять разів (так, у п’ять разів)..
  3. Відповідно до звіту Symantec про ризик безпеки в Інтернеті, громадський сектор також стає все більш націленим. Кожен кожен 302 електронного листа, отриманого державними службовцями у 2020 році, був аферою.
  4. Зловмисне програмне забезпечення також збільшується, особливо у банківській та фінансовій галузях. Нещодавно “Лабораторії Касперського” оновили свій список сімей шкідливих програм, щоб включити понад 20 типів шкідливого програмного забезпечення для банкоматів.

Топ хаків

Тепер про галерею шахраїв: найбільші хаки 2018 року (та на початку 2020 року) та кількість жертв кожного.

  1. Насправді найбільший злом 2018 року був за межами США. Неймовірно 1,5 мільярда індійських громадян вилучили особисту інформацію під час злому в національній базі даних ідентифікаторів країни. Це майже всі в країні.
  2. У США найбільший злом 2020 року був також найбільшим порушенням даних в історії. У березні дослідник служби безпеки It знайшов базу даних під назвою “Колекція 1”, яка містила адреси електронної пошти та паролі 1,16 мільярда людей.
  3. Facebook, схоже, щорічно має великі порушення даних, і 2020 рік не став винятком. 540 мільйонів записів були відкрито відкриті, згідно з повідомленням Upguard.
  4. Список продовжується. Група Marriott виявила особисту інформацію 500 мільйонів користувачів наприкінці 2018 року, а 340 мільйонів записів клієнтів було випущено в порушення з боку Exactis, повідомляє CNET.

Найпоширеніші типи вразливості веб-сайтів

Тепер ми маємо деяке уявлення про масштаби кіберзлочинності, давайте розглянемо найпоширеніший джерело вразливості для підприємств та інших організацій: їх веб-сайти.

Перегляд найпоширеніших уразливостей веб-сайтів у 2020 році є дещо пригнічуючим завданням. Це тому, що найпоширеніші (і найнебезпечніші) вразливості – це ті, що були в одному списку в 2018, 2008 і 1988 роках.

Це: DDoS-атаки, зараження зловмисним програмним забезпеченням, Людина в середніх атаках та погано захищені веб-програми.

Давайте розглянемо кожен окремо.

Атаки DDoS

Нападки розподіленого відмови в сервісі (DDoS) зустрічаються частіше, ніж будь-коли раніше, і досі є найпопулярнішою формою атаки на веб-сайт..

  1. Враховуючи це, не дивно, що в 2018 році відбулася найбільша в історії атака DDoS. За даними NETSCOUT, “провайдер, орієнтований на США”, став ціллю атаки рефлексії / посилення, яка потрапила на їх веб-сайт із 1,7 терабайт зловмисних запитів в секунду. З певної точки зору, це еквівалентна пропускна здатність потокового телевізійного телебачення в 200000 одночасно.
  2. На DDoS також припадає значна частина витрат на кіберзлочинність. Щорічний Звіт про кібербезпеку від 2020 року виявив, що DDOS-атака зазвичай коштує великим компаніям 2 мільйони доларів, а меншим 120 000 доларів.
  3. Це не дивно, враховуючи, що DDoS-набори для нападу, доступні для придбання в Темній павутині, коштують приблизно 20 доларів, згідно зі статтею Ars Technica.
  4. Середня тривалість часу, на який пристрій, щойно підключений до Інтернету, потребує нападу на запит DDoS – 5 хвилин, повідомляє NETSCOUT.
  5. Всі ці статистики знайомі, але DDoS-атаки також показують деякі нові функції. За словами Касперського, наприклад, в Китаї на кінець 2018 року припадало понад 50% DDoS-атак.
  6. Ще одне занепокоєння полягає в тому, що з більшою кількістю пристроїв IoT, ніж будь-коли підключених до Інтернету, потужність DDoS-атак може лише збільшитися. Gartner підрахував, що кількість пристроїв IoT до 2020 року досягне 20,4 мільярда, і це зробить атаки DDoS більш небезпечними, ніж будь-коли.

Зловмисне програмне забезпечення

Зловмисне програмне забезпечення все ще залишається величезною проблемою. Насправді шкідливі програми зустрічаються частіше, ніж будь-коли.

  1. Електронна пошта все ще є найпоширенішим способом розповсюдження зловмисних програм. CSO Online повідомили, що електронна пошта відповідає за поширення до 92% випадків зловмисного програмного забезпечення. Але це не означає, що веб-сайти не вразливі до зловмисного програмного забезпечення.
  2. Більшість шкідливих програм зараз поширюється як шкідливі сценарії. Сценарії PowerShell давно стали величезним джерелом вразливості, але Symantec виявив, що використання шкідливих скриптів Powershell підскочило на 1000% у 2018 році. У цьому ж звіті було встановлено, що сценарії утворюють 47,5% зловмисних вкладень електронної пошти..
  3. Зловмисне програмне забезпечення впливає на всі типи пристроїв і може становити загрозу для веб-сайтів із ноутбуків, планшетів та смартфонів. Насправді смартфони цілком можуть стати найбільшим джерелом зловмисного програмного забезпечення в наступному десятилітті: мобільний викуп програмного забезпечення збільшився на 33% за останній рік, повідомляє Symantec.
  4. Зловмисне програмне забезпечення також зараз є величезною загрозою для бізнесу. Зловмисне програмне забезпечення, спеціально націлене на підприємства, зросло на 12% у 2020 році, як виявило Symantec.

Людина в середніх атаках

Основним джерелом вразливості веб-сайтів є людина, що перебуває в атаках посередині. Для погано захищених веб-сайтів хакерам відносно легко вставити себе між клієнтами та власниками веб-сайтів та перехопити всю інформацію, що надсилається між ними.

Атаки MITM, як відомо, також збільшуються.

  1. Наприклад, методи MITM були задіяні у 35% експлуатації веб-сайтів у 2018 році відповідно до індексу розвідки X-Force Threat Intelligence Index 2020.
  2. Це не дивно, враховуючи, наскільки непідготовлені багато підприємств до атак MITM. Netcraft встановив, наприклад, що 95% серверів HTTP були вразливими до MiTM у 2016 році, і з тих пір мало зроблено для виправлення цих уразливостей.
  3. Більше тривожним є той факт, що лише 10% компаній впровадили HSTS для своїх веб-сайтів, що залишає їх відкритими для атаки. W3Techs провели це дослідження, а також рекомендували всім веб-сайтам впроваджувати протокол якомога швидше.

Атаки веб-додатків

Зараз веб-додатки є невід’ємною частиною майже кожного веб-сайту, а зростання їх використання супроводжувалося аналогічним зростанням їх експлуатації. Наприклад, згідно з дослідженнями компанії Imperva, більше половини веб-додатків мають публічний доступ, який доступний для хакерів, і більше третини цих подвигів не мають рішення.

  1. Згідно з повідомленням TrustWave, найбільш поширеними формами атак на веб-додатки є ті, що експлуатують міжсайтовий сценарій (XSS), який становить близько 40% таких атак, та ін’єкції SQL, на які припадає 24%.
  2. Вразливості веб-додатків також надзвичайно поширені. Acunetix виявив, що 46% веб-сайтів мають такий тип вразливості.
  3. Цей тип вразливості веб-сайтів також зростає. За результатами дослідження Akamai у 2018 році на 38% зросли ін’єкції SQL та атаки міжсайтового сценарію. WordPress, найпопулярніший на сьогоднішній день CMS, є загальною ціллю ін’єкцій SQL, оскільки найпопулярніші хости WordPress використовують SQL за замовчуванням.
  4. За інформацією Symantec, серед 2018 року формальний джакгінг також зазнав величезного зростання. Середня кількість веб-сайтів, які були скомпрометовані подвигами форм-джейк за місяць у 2018 році, становила 4818.
  5. За даними Acunetix, 2% веб-додатків також сприйнятливі до віддаленого виконання коду, що дозволяє зловмисникові виконувати свій (зловмисний) код у сценаріях вашого веб-сайту. І хоча 2% можуть не здаватися настільки високими, враховуючи велику кількість веб-сайтів там, це представляє величезну кількість вразливих веб-сайтів.
  6. Насправді переважна більшість проникнень локальної мережі (LAN) у 2020 році відбулася через слабкі місця в веб-додатках, згідно з дослідженнями позитивних технологій.

Суть

І ми маємо це: масштаби вразливості веб-сайтів у 2020 році та найпоширеніші форми подвигів.

Ці цифри можуть бути шокуючими, але вони підтверджують правду, яку ми всі знаємо вже досить кілька років. Масштаби кіберзлочинності – це величезна проблема, яку ми ніде не вирішуємо.

Проведення декількох основних кроків для захисту вашого веб-сайту може допомогти обмежити вашу сприйнятливість до цих кібератак і потенційно врятувати ваш бізнес від них. І ви також повинні пам’ятати, що ви не самотні – якщо ви використовуєте одну з найкращих веб-хостингових компаній Канади, вони допоможуть, надаючи інструменти безпеки, які дозволять захистити ваш веб-сайт.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map