Skupne ranljivosti spletnih strani

2018 priča nekaj največjih kibernetskih napadov, kar jih je bilo kdaj videti: haki na Marriott Group, Equifax, Yahoo in Facebook so povzročili večje kršitve podatkov. K temu dodajte povečano vmešavanje v volilne procese po vsem svetu in jasno je, da se soočamo s krizo.


To je že nekaj časa jasno, vendar tega ne bi vedeli iz statistike.

Namesto tega se zdi, da spletna mesta leta 2020 ne bodo postajala manj varna.

Ptsecurity je ugotovil, da je ob koncu leta 2018 ranljivost spletnih aplikacij po večletnem zmanjšanju spet v porastu: ugotovili so, da 67% odstotkov spletnih aplikacij je imelo ranljivosti z visoko varnostjo konec leta 2018, ki so najpogostejši nezadostna avtorizacija, samovoljno nalaganje datotek, prečkanje poti in vbrizgavanje SQL.

Leta 2020 to trend se zdi, da se nadaljuje. Medtem ko vas morda mika, da bi se zaprli v notranjost, izklopili omrežni vtič in nikoli več ne vzpostavili človeških stikov … mi bi svetovali proti temu.

Namesto tega se lahko izognete večini spodaj naštetih ranljivosti tako, da namestite požarni zid in brskate po spletu samo, če ste povezani prek virtualnega zasebnega omrežja (VPN). Oglejte si naš vodnik o najboljših VPN storitvah v Kanadi, da izberete takšno, ki vam ustreza.

Ob tem poglejmo najnovejše podatke.

Gospodarstvo kibernetske kriminalitete

Najprej si oglejmo velikost kibernetske kriminalitete in kibernetske varnosti.

  1. Skupno denarno vrednost kibernetske kriminalitete je težko oceniti, še posebej glede na to, da mnoga podjetja ohranjajo skrivnost uspešnih hekerjev. Toda raziskave družbe Accenture so pokazale, da neposredni in posredni napadi v naslednjih petih letih ogrožajo 5,2 trilijona dolarjev.
  2. Če pogledamo na drugo stran kovanca, raziskave, izvedene na Global Market Insights, do leta 2024 postavljajo velikost trga kibernetske varnosti na 300 milijard dolarjev na leto..
  3. V ZDA je kibernetska varnost velik umirek državnih sredstev. Glede na proračun za leto 2020, ki ga je objavila Bela hiša, vlada namerava za varstvo potrošnikov, podjetij in kritične infrastrukture v letu 2020 porabiti 15 milijard dolarjev. To je 4,1-odstotno povečanje v letu 2018.
  4. To je ogromno in mala podjetja težko spremljajo čas. Juniper Research je ugotovil, da je v letu 2018 majhno podjetje povprečno porabilo manj kot 500 dolarjev na leto za kibernetsko varnost.
  5. Zaskrbljujoča je tudi nizka naložba MSP v kibernetsko kriminaliteto, saj je SCORE ugotovil, da so MSP tarča 43% vseh kibernetskih napadov.
  6. Ko gre za odkrivanje in poročanje o krajih, dosežemo določen napredek, vendar ne veliko. Po podatkih Risk based Security je povprečni čas poročanja o kršitvah podatkov leta 2020 znašal 49,6 dni. To je malo bolje kot 50+ dni v letu 2018, še vedno zadeva.
  7. Kibernetska kriminaliteta je v najširšem merilu še vedno v porastu. Deveta letna raziskava o stroških kibernetske kriminalitete družbe Accenture je ugotovila, da so se kršitve varnosti v letu 2018 povečale za 11% in da se bo to verjetno nadaljevalo tudi v letu 2020.
  8. Ista raziskava je tudi dolgoročno proučevala porast kibernetskih napadov in ugotovila, da so se v zadnjih petih letih povečale za 67%.

Stroški hekerjev

Odlična lestvica kibernetske kriminalitete in ogromno vpletenih primerov lahko včasih pomeni, da je mogoče žrtve pozabe – posameznike, podjetja in celo vlade – pozabiti. Poglejmo torej vplive kibernetske kriminalitete v resničnem življenju.

  1. Letno poročilo o kriminaliteti za spletno stran Cybersecurity Ventures za leto 2020 navaja nekatere številke o posledicah hekerjev za podjetja. Ugotovili so, da naj bi škoda, ki jo povzročajo kibernetski kriminal, podjetjem do leta 2021 stala šest bilijonov dolarjev letno, številka, za katero poudarjajo, da “predstavlja največji prenos bogastva v človeški zgodovini”.
  2. Od tega 6 bilijonov dolarjev najhitreje narašča odškodnina za odkupno programsko opremo. Podjetje za kibernetsko varnost kaže, da bodo stroški odkupa do leta 2021 dosegli 20 milijard dolarjev.
  3. Glede na globalno študijo družbe Accenture je povprečni strošek kibernetske kriminalitete za organizacije ocenjen na 13 milijonov dolarjev na leto.

Žrtve

Kibernetska kriminaliteta je velik problem, ko gre za dobičkonosnost in trajnost podjetij. Toda uspešni kraji imajo lahko tudi hude posledice za ogromno število potrošnikov.

  1. Naj se umakne ena stvar: ZDA so, kot kaže raziskava Nortona, tarča kibernetskih napadov številka ena. To je lahko ena statistika, kjer so državljani ZDA manj kot ponosni, da so številka 1.
  2. V ZDA je bilo več kot 60% državljanov izpostavljenih spletnim goljufijam, kaže poročilo ameriškega inštituta za CPA.
  3. Gallupova letna raziskava kriminala izgleda nekoliko globlje in je ugotovila, da je obseg kibernetske kriminalitete v ZDA presenetljiv. 23% Američanov poroča, da so bili oni ali nekdo, ki ga poznajo, neposredna žrtev kibernetske kriminalitete.
  4. Večina teh ljudi je postala žrtev le majhnega števila velikih kršitev podatkov. V letu 2018 je bilo po poročanju RBS samo 12 kršitev podatkov v tem letu izpostavljenih več kot tri četrtine vseh zapisov. Število zapisov? Več kot 100 milijonov.
  5. Juniper Research v prihodnost trdi, da bodo do leta 2021 ukradli 33 milijard plošč letno.

Kibernetska kriminaliteta po industriji

Nekatere industrije so bolj verjetno, da so tarča kibernetske kriminalitete kot druge. Še posebej so najbolj ogrožena podjetja, ki delajo s kritično infrastrukturo ali občutljivimi osebnimi podatki.

  1. Trenutno so proizvajalci in rudarska podjetja favorizirane tarče. Poročilo Make UK in AIG je ugotovilo, da je 48% proizvajalcev v Veliki Britaniji tarča kiber kriminala, po podatkih Symantecovega poročila o tveganju za internetno varnost pa je 38,4% podjetij v rudarski industriji videlo podobne napade.
  2. V prihodnosti bodo zdravstvena podjetja čedalje bolj tarčna. Podjetja za kibernetsko varnost kažejo, da pričakujejo, da se bodo napadi na zdravstvena podjetja do leta 2021 povečali za petkrat (da, petkrat)..
  3. V skladu s Symantec-ovim poročilom o tveganju za internetno varnost je tudi javni sektor vse bolj tarčen. Vsako od 302 e-poštnih sporočil, ki so jih leta 2020 prejeli javni uslužbenci, je bila prevara.
  4. Zlonamerna programska oprema se tudi povečuje, zlasti v bančni in finančni industriji. Kaspersky Labs so pred kratkim posodobili seznam družin zlonamerne programske opreme, da bi vključili več kot 20 vrst zlonamerne programske opreme ATM.

Top Hacks

Zdaj pa za galerijo lopov: največji heks leta 2018 (in začetek 2020) in število žrtev vsakega.

  1. Pravzaprav je bil največji kramp leta 2018 zunaj ZDA. Neverjetnih 1,5 milijarde indijskih državljanov je med krampami v nacionalni podatkovni bazi države ID puščalo njihove osebne podatke. To so skoraj vsi v državi.
  2. V ZDA je bil največji kramp leta 2020 tudi največja kršitev podatkov v zgodovini. Marca je raziskovalec varnosti IT našel bazo podatkov z imenom “Zbirka 1”, ki je vsebovala e-poštne naslove in gesla 1,16 milijarde ljudi.
  3. Zdi se, da ima Facebook vsako leto večjo kršitev podatkov in 2020 ni bila izjema. V poročilu družbe Upguard je bilo javno izpostavljenih 540 milijonov plošč.
  4. Seznam se nadaljuje. Skupina Marriott je konec leta 2018 razkrila osebne podatke 500 milijonov uporabnikov, v skladu s storitvijo Exactis pa je bilo objavljenih 340 milijonov evidenc strank, poroča CNET..

Najpogostejše vrste ranljivosti spletnega mesta

Zdaj imamo nekaj zamisli o obsegu kibernetske kriminalitete, poglejmo najpogostejši vir ranljivosti za podjetja in druge organizacije: njihova spletna mesta.

Če pogledamo najpogostejše ranljivosti spletnih strani v letu 2020, je rahlo naporna naloga. Zato so najpogostejše (in najnevarnejše) ranljivosti tiste, ki so bile na istem seznamu v letih 2018, leta 2008 in 1988.

To so: napadi DDoS, okužba z zlonamerno programsko opremo, človek v srednjih napadih in slabo zavarovane spletne aplikacije.

Poglejmo vsakega posebej.

DDoS napadi

Napadi distribuirane zavrnitve storitve (DDoS) so pogostejši kot kdaj koli prej in so še vedno najbolj priljubljena oblika napada spletnega mesta.

  1. Glede na to ne preseneča, da je bil v letu 2018 največji napad DDoS doslej. Po navedbah NETSCOUT je bil ponudnik s sedežem v ZDA tarča napada za razmislek / okrepitev, ki je na njihovo spletno mesto zadel 1,7 terabajta zlonamernih zahtev na sekundo. Iz neke perspektive je to enakovredna pasovna širina prenosa 200.000 HD TV oddaj hkrati.
  2. Tudi DDoS predstavlja velik del stroškov kibernetske kriminalitete. Letno poročilo o cyber varnosti Bulletproof iz leta 2020 je ugotovilo, da napad DDoS velika podjetja stane dva milijona dolarjev, manjša podjetja pa 120.000 dolarjev.
  3. To ni presenetljivo, saj stroški DDoS, ki so na voljo za nakup na Mrežnem spletu, stanejo približno 20 dolarjev, piše v članku Ars Technica.
  4. Povprečni čas, ki ga potrebuje naprava, ki je na novo povezana z internetom, za napad z zahtevo DDoS, je 5 minut, poroča NETSCOUT.
  5. Vse te statistike so poznane, vendar DDoS napadi kažejo tudi nekatere nove funkcije. Po navedbah Kasperskega je na primer Kitajska konec leta 2018 predstavljala več kot 50% napadov DDoS.
  6. Zaskrbljujoče je tudi to, da se z več IoT napravami kot kdajkoli prej povezanih s spletom moč DDoS napadov le poveča. Gartner je ocenil, da bo število naprav IoT do leta 2020 doseglo 20,4 milijarde in da bodo zaradi tega napadi DDoS bolj nevarni kot kdajkoli prej.

Zlonamerna programska oprema

Zlonamerna programska oprema je še vedno velika težava. Pravzaprav je zlonamerna programska oprema pogostejša kot kdajkoli prej.

  1. E-pošta je še vedno najpogostejši način širjenja zlonamerne programske opreme. CSO Online so sporočili, da je elektronska pošta odgovorna za širjenje do 92% primerov zlonamerne programske opreme. Vendar to ne pomeni, da spletna mesta niso ranljiva za zlonamerno programsko opremo.
  2. Večina zlonamerne programske opreme je zdaj razširjena kot zlonamerni skripti. Skripte PowerShell že dolgo predstavljajo velik vir ranljivosti, vendar je Symantec ugotovil, da je uporaba zlonamernih skriptov Powershell v letu 2018 poskočila za 1000%. V istem poročilu so ugotovili, da skripte tvorijo 47,5% zlonamernih e-poštnih prilog.
  3. Zlonamerna programska oprema vpliva na vse vrste naprav in lahko predstavlja grožnjo spletnim mestom iz prenosnikov, tablic in pametnih telefonov. Pravzaprav bi pametni telefoni morda postali največji vir zlonamerne programske opreme v naslednjem desetletju: mobilna odkupna programska oprema se je po letu dni povečala za 33%, poroča Symantec.
  4. Zlonamerna programska oprema zdaj predstavlja tudi veliko grožnjo za podjetja. Zlonamerna programska oprema, posebej namenjena podjetjem, se je leta 2020 povečala za 12%, kar je ugotovil Symantec.

Človek v srednjih napadih

Glavni vir ranljivosti spletnega mesta je človek v napadih. Za slabo zavarovana spletna mesta je hekerjem razmeroma enostavno, da se vstavijo med stranke in lastnike spletnih mest ter prestrežejo vse informacije, ki jih pošiljajo med njimi.

Tudi napadi MITM se, kot je znano, povečujejo.

  1. Na primer, tehnike MITM so bile v letu 2018 vključene v 35% izkoriščanja spletnih strani, v skladu s IBM-ovim X-Force Threat Intelligence Index 2020.
  2. To ni presenetljivo, saj je veliko podjetij nepripravljenih za napade na MITM. Netcraft je na primer ugotovil, da je bilo v letu 2016 95% strežnikov HTTP ranljivih za MiTM in da je bilo od takrat storjeno malo, da bi odpravili te ranljivosti.
  3. Še bolj zaskrbljujoč je podatek, da je le 10% podjetij uvedlo HSTS za svoja spletna mesta, kar jim pušča odprtost za napad. W3Techs je izvedel to raziskavo in tudi priporočil, da vsa spletna mesta protokol izvajajo čim prej.

Napadi na spletno aplikacijo

Spletne aplikacije so zdaj sestavni del skoraj vsakega spletnega mesta, porast njihove uporabe pa spremlja podoben porast njihovega izkoriščanja. Na primer po raziskavah podjetja Imperva več kot polovica spletnih aplikacij razpolaga z javnim izkoriščanjem, ki je na voljo hekerjem, več kot tretjina teh podvigov pa nima rešitve.

  1. Po poročilu TrustWave so najpogostejše oblike napadov spletnih aplikacij tiste, ki izkoriščajo skriptno skriptanje (XSS), ki predstavlja približno 40% takih napadov, in injekcije SQL, ki predstavljajo 24%.
  2. Zelo pogoste so tudi ranljivosti spletnih aplikacij. Acunetix je ugotovil, da ima 46% spletnih strani tovrstno ranljivost.
  3. Tudi ta vrsta ranljivosti spletnih strani narašča. Investiranje SQL in napadi skriptnih skript so se v letu 2018 povečali za 38%, kažejo raziskave Akamai. WordPress, trenutno najbolj priljubljen CMS, je pogost cilj injekcij SQL, ker večina priljubljenih gostiteljev WordPress privzeto uporablja SQL.
  4. Formacking je v letu 2018 doživel tudi velik porast. Povprečno število spletnih mest, ki jih je leta 2018 ogrožalo izkoriščanje podpornih oblik, je bilo 4818, poroča Symantec.
  5. Po podatkih Acunetixa je bilo 2% spletnih aplikacij dovzetnih tudi za izvajanje oddaljene kode, ki zlonamernemu uporabniku omogoča, da v skripti vašega spletnega mesta izvede lastno (zlonamerno) kodo. In čeprav 2% glede na veliko število spletnih strani na zunaj morda ne zveni tako veliko, to predstavlja ogromno število ranljivih spletnih mest.
  6. V resnici je bila velika večina vstopa v lokalno omrežje leta 2020 posledica pomanjkljivosti spletnih aplikacij, kažejo raziskave družbe Positive Technologies.

Spodnja črta

In tu ga imamo: obseg ranljivosti spletnega mesta leta 2020 in najpogostejše oblike izkoriščanja.

Te številke so morda šokantne, vendar potrjujejo resnico, ki jo vsi poznamo že kar nekaj let. Obseg kibernetske kriminalitete je velikanski problem, ki ga še skoraj nismo rešili.

Z osnovnimi koraki za zaščito svojega spletnega mesta lahko zmanjšate svojo dovzetnost za te kibernetske napade in potencialno rešite svoje podjetje pred njimi. Ne pozabite pa tudi, da niste sami – če uporabljate eno najboljših podjetij za spletno gostovanje v Kanadi, vam bodo pomagala z zagotavljanjem varnostnih orodij, s katerimi bo vaše spletno mesto varno.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map