Algemene kwesbaarhede op die webwerf

2018 getuies van die grootste kuberaanvalle wat nog ooit gesien is: hacks op die Marriott Group, Equifax, Yahoo en Facebook het almal tot groot data-oortredings gelei. Voeg daarby die verhoogde inmenging in verkiesingsprosesse regoor die wêreld, en dit is duidelik dat ons met ‘n krisis te kampe het.


Dit was ‘n geruime tyd al duidelik, maar dit sal u nie weet uit die statistieke nie.

In plaas daarvan lyk dit asof webwerwe in 2020 minder veilig raak.

Ptsecurity het bevind dat die kwesbaarheid van webtoepassings aan die einde van 2018 weer aan die toeneem is, na baie jare van afname: hulle het gevind dat 67% persent van die webapps het kwesbaarhede met ‘n hoë sekuriteit aan die einde van 2018, waarvan die algemeenste onvoldoende magtiging, arbitrêre lêeroplaai, paadoorgang en SQL-inspuiting is.

In 2020, dit Dit lyk asof die tendens gaan voortduur. Alhoewel u in die versoeking kan kom om uself binne-in te sluit, trek dan die internet los en maak nooit weer kontak met die mens nie ….

In plaas daarvan kan u die meeste van die onderstaande kwesbaarhede vermy deur ‘n firewall te installeer en slegs op die web te blaai as u via ‘n virtuele privaat netwerk (VPN) gekoppel is. Kyk na ons gids vir die beste VPN-dienste in Kanada om een ​​te kies wat vir u werk.

Dit gesê, laat ons kyk na die nuutste data.

Die kubermisdaad-ekonomie

Kom ons kyk eerstens na die omvang van die kubermisdaad en kuberveiligheidsekonomie.

  1. Die totale monetêre waarde van kubermisdaad is moeilik om te beoordeel, veral as baie maatskappye die suksesvolle hacks geheim hou. Maar navorsing deur Accenture het bevind dat direkte en indirekte aanvalle $ 5,2 triljoen in gevaar stel in die volgende vyf jaar.
  2. As ons na die ander kant van die munt kyk, stel Global Market Insights wat deur die wêreld uitgevoer is, die grootte van die kuberveiligheidsmark teen 2024 $ 300 miljard per jaar..
  3. In die VSA is kuberveiligheid ‘n groot wegslag vir regeringsfondse. Volgens die 2020-begroting wat deur die Withuis vrygestel is, beplan die regering om $ 15 miljard te bestee aan die beskerming van verbruikers, besighede en kritieke infrastruktuur in 2020. Dit is ‘n styging van 4,1% in 2018..
  4. Dit is groot getalle, en klein ondernemings sukkel om tred te hou. Juniper Research het bevind dat die gemiddeld klein onderneming in 2018 minder as $ 500 per jaar aan kuberveiligheid spandeer het.
  5. Die lae beleggingsvlak van KMO’s in kubermisdaad is ook kommerwekkend, want SCORE het bevind dat KMO’s die teiken van 43% van alle kuberaanvalle is.
  6. As dit kom by die opsporing en rapportering van hacks, maak ons ​​vordering, maar nie veel nie. Die gemiddelde tyd om data-oortredings in 2020 aan te meld, was volgens Risikogebaseerde Veiligheid 49,6 dae. Dit is ‘n bietjie beter as 50+ dae in 2018, dit is nog steeds van toepassing.
  7. Op die grootste skaal neem die internetmisdaad steeds toe. Die negende jaarlikse koste van Cybercime-opname deur Accenture het bevind dat veiligheidsoortredings in 2018 met 11% gestyg het, en dat dit waarskynlik in 2020 sal voortduur..
  8. Dieselfde opname het ook die toename in kuberaanvalle op langer termyn bekyk en gevind dat dit die afgelope vyf jaar met 67% toegeneem het..

Die koste van hakke

Die groot omvang van kubermisdaad, en die groot getalle daaraan verbonde, kan soms beteken dat die slagoffers van hacks – individue, maatskappye en selfs regerings – vergeet kan word. Laat ons dus kyk na die werklike gevolge van kubermisdaad.

  1. Die jaarlikse misdaadverslag vir 2020 vir Cybersecurity Ventures bevat enkele getalle oor die gevolge van hacks vir ondernemings. Hulle het bevind dat skade aan kubermisdaad teen 2021 jaarliks ​​6 biljoen dollar aan ondernemings sal kos, wat volgens hulle ‘die grootste oordrag van welvaart in die geskiedenis van die mens’ is..
  2. Van hierdie $ 6 biljoen is skadevergoeding die ransomware vinnig groeiend. Cybersecurity Ventures sê dat die koste van ransomware teen 2021 $ 20 miljard sal beloop.
  3. Volgens Accenture se wêreldwye studie word die gemiddelde koste van kubermisdaad vir organisasies na raming $ 13 miljoen per jaar beloop..

Die slagoffers

Cybermisdaad is ‘n groot probleem as dit kom by die winsgewendheid en volhoubaarheid van maatskappye. Maar suksesvolle hacks kan ook ernstige gevolge hê vir ‘n groot aantal verbruikers.

  1. Laat ons een ding uit die weg ruim: volgens die navorsing van Norton is die VSA die grootste teiken vir kuberaanvalle. Dit kan ‘n statistiek wees waar Amerikaanse burgers minder as trots is op nr. 1.
  2. In die VSA is meer as 60% van die burgers aan aanlynbedrog blootgestel, volgens ‘n verslag van die Amerikaanse Instituut vir CPA’s.
  3. Die jaarlikse misdaadondersoek van Gallup lyk effens dieper en het bevind dat die omvang van kubermisdaad in die VSA opvallend is. 23% van die Amerikaners berig dat hulle, of iemand wat hulle ken, die direkte slagoffer van kubermisdaad was.
  4. Die meerderheid van hierdie mense is die slagoffer van slegs ‘n klein aantal groot data-oortredings. In 2018, volgens ‘n verslag van RBS, het net 12 data-oortredings meer as driekwart van al die rekords wat daardie jaar gekompromitteer is, blootgestel. Die aantal rekords? Meer as 100 miljoen.
  5. Juniper Research beweer dat daar teen 2021 33 miljard rekords per jaar gesteel sal word.

Cybermisdaad volgens industrie

Sommige bedrywe is waarskynlik die teiken van kubermisdaad as ander. In die besonder loop ondernemings wat met kritieke infrastruktuur werk, of sensitiewe persoonlike inligting.

  1. Op die oomblik is vervaardigers en mynmaatskappye begunstigde teikens. In ‘n verslag van Make UK en AIG is bevind dat 48% van die vervaardigers in die Verenigde Koninkryk deur kubermisdadigers geteiken is, en volgens Symantec se Internet Security Risk Report het 38,4% van die ondernemings in die mynbedryf soortgelyke aanvalle gesien..
  2. In die toekoms gaan gesondheidsorgondernemings toenemend geteiken word. Cybersecurity Ventures het gesê dat hulle verwag dat aanvalle teen gesondheidsorgondernemings teen 2021 vyf keer (ja, vyf keer) sal toeneem.
  3. Volgens Symantec se internetversekeringsrisikoverslag word die openbare sektor ook toenemend geteiken. Een uit elke 302 e-posse wat in 2020 deur openbare werknemers ontvang is, was ‘n bedrogspul.
  4. Kwaadwilligheid neem ook toe, veral in die bank- en finansieringsektor. Kaspersky Labs het onlangs hul lys malware-families opgedateer om meer as 20 soorte kwaadwillige OTM-sagteware in te sluit.

Die Top Hacks

Nou vir die galery-galery: die grootste hacks van 2018 (en vroeg 2020), en die aantal slagoffers van elkeen.

  1. Eintlik was die grootste hack van 2018 buite die VSA. Ongelooflike 1,5 miljard Indiese burgers het hul persoonlike inligting tydens ‘n hak op die land se nasionale ID-databasis laat lek. Dit is byna almal in die land.
  2. In die VSA was die grootste hack van 2020 ook die grootste data-oortreding in die geskiedenis. In Maart het ‘n It-veiligheidsnavorser ‘n databasis genaamd “Collection 1” gevind wat e-posadresse en wagwoorde van 1,16 miljard mense bevat..
  3. Dit wil voorkom asof Facebook elke jaar ‘n groot inbreuk maak op data, en 2020 was geen uitsondering nie. Volgens ‘n verslag deur Upguard is 540 miljoen rekords in die openbaar blootgestel.
  4. Die lys gaan aan. Die groep het aan die einde van 2018 die persoonlike inligting van 500 miljoen gebruikers onthul en 340 miljoen kliënte se rekords is in ‘n oortreding van Exactis vrygestel, volgens CNET.

Die algemeenste tipes kwetsbaarheid vir webwerwe

Nou het ons ‘n idee van die omvang van kubermisdaad; kom ons kyk na die algemeenste bron van kwesbaarhede vir ondernemings en ander organisasies: hul webwerwe.

Om na die mees algemene kwesbaarhede op die webwerf in 2020 te kyk, is ‘n effens neerdrukkende taak. Dit is omdat die algemeenste (en die gevaarlikste) kwesbaarhede dié is wat in 2018, in 2008 en in 1988 op dieselfde lys was..

Dit is: DDoS-aanvalle, malware-infeksie, Man in the Middle Attacks, en swak beveiligde Web Apps.

Kom ons kyk afsonderlik na elkeen.

DDoS-aanvalle

DDoS-aanvalle met verspreide ontkenning kom meer gereeld voor as ooit tevore, en is steeds die gewildste vorm van webwerfaanval.

  1. Gegewe dit, is dit nie verbasend dat 2018 die grootste DDoS-aanval ooit was nie. Volgens ‘n Amerikaanse aanbieder, volgens NETSCOUT, was die teiken van ‘n refleksie- / versterkingsaanval wat hul webwerf tref met 1,7 terabytes kwaadwillige versoeke per sekonde. Vir sommige perspektiewe, is dit die ekwivalente bandbreedte van die gelyktydige streaming van 200.000 HD-TV-reekse.
  2. DDoS maak ook ‘n groot deel van die koste van kubermisdaad uit. Bulletproof se jaarlikse verslag oor kuberveiligheid uit 2020 het bevind dat ‘n DDoS-aanval groot maatskappye meestal $ 2 miljoen kos, en kleiner ondernemings $ 120.000..
  3. Dit is nie verbasend nie, aangesien DDoS ‘aanvalstelle’, wat beskikbaar is om op die Dark Web te koop, ongeveer $ 20 kos, volgens ‘n artikel van Ars Technica.
  4. Volgens NetSCOUT is die gemiddelde tydsduur vir ‘n toestel, wat pas aan die internet gekoppel is, om aan te val deur ‘n DDoS-versoek, te duur.
  5. Al hierdie statistieke is bekend, maar DDoS-aanvalle toon ook ‘n paar nuwe funksies. Volgens Kaspersky het China byvoorbeeld meer as 50% van die DDoS-aanvalle aan die einde van 2018 uitgemaak..
  6. ‘N Verdere kommer is dat, met meer IoT-toestelle as wat ooit op die internet gekoppel is, die krag van DDoS-aanvalle waarskynlik net sal toeneem. Gartner het beraam dat die aantal IoT-toestelle teen 2020 20,4 miljard sal beloop, en dat dit DDoS-aanvalle gevaarliker sal maak as ooit.

malware

Wanware is steeds ‘n groot probleem. In werklikheid is malware meer gereeld as ooit tevore.

  1. E-pos is steeds die algemeenste manier waarop malware kan versprei. CSO Online het berig dat e-pos verantwoordelik is vir die verspreiding van tot 92% van malware-gevalle. Maar dit beteken nie dat webwerwe nie kwesbaar is vir wanware nie.
  2. Die meeste malware word nou as kwaadwillige skrifte versprei. PowerShell-skrifte is al lank ‘n groot bron van kwesbaarheid, maar Symantec het gevind dat die gebruik van kwaadwillige Powershell-skripte 1000% in 2018 gespring het. In dieselfde verslag is bevind dat skrifte 47,5% van kwaadwillige e-posaanhangsels vorm.
  3. Wanware kan alle soorte toestelle beïnvloed, en dit kan ‘n bedreiging vir webwerwe van skootrekenaars, tablette en slimfone wees. In werklikheid kan slimfone moontlik die grootste bron van wanware in die volgende dekade word: mobiele ransomware het met 33% laat jaar toegeneem, volgens Symantec.
  4. Malware is ook nou ‘n groot bedreiging vir ondernemings. Malware wat spesifiek op ondernemings gerig is, het in 2020 met 12% gestyg, soos gevind deur Symantec.

Man in die middel aanvalle

‘N Groot bron van kwesbaarheid op die webwerf is die mens in die middelaanvalle. Vir webwerwe wat nie goed beveilig is nie, is dit relatief maklik vir hackers om hulself tussen kliënte en webwerweienaars in te voeg, en al die inligting wat daar tussen hulle gestuur word, te onderskep.

MITM-aanvalle, soos dit bekend staan, neem ook toe.

  1. MITM-tegnieke was byvoorbeeld in 2018 betrokke by 35% van die ontginning van webwerwe, volgens die X-Force Threat Intelligence Index 2020 van IBM.
  2. Dit is nie verbasend nie, gegewe hoe onvoorbereid baie ondernemings is vir MITM-aanvalle. Netcraft het byvoorbeeld gevind dat 95% van die HTTP-bedieners in 2016 kwesbaar was vir MiTM, en dat daar sedertdien weinig gedoen is om hierdie kwesbaarhede op te los..
  3. Meer kommerwekkend is die feit dat slegs 10% van die ondernemings HSTS vir hul webwerwe geïmplementeer het, wat hulle oop laat val. W3Techs het hierdie navorsing uitgevoer en het ook aanbeveel dat alle webwerwe die protokol so gou as moontlik implementeer.

Aanvalle op die webtoepassing

Webprogramme is nou ‘n integrale deel van byna elke webwerf, en die toename in die gebruik daarvan gaan gepaard met ‘n soortgelyke toename in die uitbuiting daarvan. Volgens navorsing deur Imperva, byvoorbeeld, het meer as die helfte van webapps ‘n openbare uitbuiting wat beskikbaar is vir hackers, en meer as ‘n derde van hierdie uitbuiting het nie ‘n oplossing nie.

  1. Volgens ‘n verslag van TrustWave is die algemeenste vorme van aanvalle op webtoepassings die gebruik van kruisings-skripsies (XSS), wat ongeveer 40% van sulke aanvalle uitmaak, en SQL-inspuitings, wat 24% uitmaak..
  2. Kwesbaarhede met webtoepassings kom ook baie voor. Acunetix het gevind dat 46% van die webwerwe hierdie soort kwesbaarheid het.
  3. Hierdie soort kwesbaarheid op die webwerf is ook aan die toeneem. SQL-inspuitings en skripaanvalle op verskillende plekke het in 2018 met 38% gestyg, volgens navorsing deur Akamai. WordPress, verreweg die gewildste CMS, is ‘n algemene teiken vir SQL-inspuitings omdat die gewildste WordPress-gashere standaard SQL gebruik.
  4. Formjacking het ook ‘n groot toename in 2018. Die gemiddelde aantal webwerwe wat in 2018 in die gedrang kom met vorm-hefboomuitgawes per maand was 4818, volgens Symantec.
  5. Volgens Acunetix was 2% van die webtoepassings ook vatbaar vir die uitvoering van kode op afstand, wat ‘n kwaadwillige gebruiker in staat stel om hul eie (kwaadwillige) kode binne die skripte van u webwerf uit te voer. En hoewel 2% moontlik nie so hoog klink nie, gesien die aantal webwerwe wat daar is, is dit ‘n groot aantal kwesbare webwerwe.
  6. In werklikheid is die oorgrote meerderheid van die plaaslike areanetwerk (LAN) in 2020 te wyte aan swak webtoepassings, volgens navorsing deur Positive Technologies.

Die onderste lyn

En daar het ons dit: die omvang van die kwesbaarheid van die webwerf in 2020, en die mees algemene vorme van uitbuiting.

Hierdie getalle is dalk skokkend, maar dit bevestig ‘n waarheid wat ons al ‘n hele paar jaar bekend het. Die omvang van kubermisdaad is ‘n groot probleem, en dit is moeilik om op te los.

As u ‘n paar basiese stappe neem om u webwerf te beveilig, kan u die vatbaarheid vir hierdie kuberaanvalle beperk, en u besigheid kan moontlik van hulle verlos word. En u moet ook onthou dat u nie alleen is nie – as u een van die beste webgasheerondernemings in Kanada gebruik, sal dit help deur sekuriteitsinstrumente te voorsien wat u webwerf veilig kan hou..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector