Časté chyby zabezpečenia webových stránok

V roku 2018 boli svedkami niektoré z najväčších kybernetických útokov, aké sa kedy vyskytli: hacky v skupinách Marriott Group, Equifax, Yahoo a Facebook mali za následok veľké porušenia údajov. Pridajte k tomu zvýšené zasahovanie do volebných procesov na celom svete a je zrejmé, že čelíme kríze.


Je to už istý čas jasné, ale zo štatistík by ste to nevedeli.

Namiesto toho sa zdá, že v roku 2020 sa webové stránky stávajú menej bezpečnými.

Spoločnosť Ptsecurity zistila, že na konci roku 2018 bola zraniteľnosť webových aplikácií po mnohých rokoch poklesu opäť na vzostupe: zistili, že 67% webových aplikácií malo vysoké bezpečnostné chyby na konci roku 2018, z ktorých najbežnejšou je nedostatočná autorizácia, odovzdávanie ľubovoľných súborov, prechod cesty a vstrekovanie SQL.

V roku 2020 to Zdá sa, že tento trend pokračuje. Aj keď môžete byť v pokušení zamknúť sa vo vnútri, odpojiť sa od internetu a už nikdy sa s ľuďmi nikdy nestretnúť ….

Namiesto toho sa môžete vyhnúť väčšine chýb uvedených nižšie nainštalovaním brány firewall a surfovaním po webe iba vtedy, ak ste pripojení prostredníctvom virtuálnej súkromnej siete (VPN). V sprievodcovi najlepšími službami VPN v Kanade si vyberte tú, ktorá vám vyhovuje.

Pozrime sa teda na najnovšie údaje.

Ekonomika počítačovej kriminality

Najprv sa pozrime na veľkosť hospodárstva v oblasti počítačovej kriminality a kybernetickej bezpečnosti.

  1. Celková peňažná hodnota počítačovej kriminality je ťažké posúdiť, najmä vzhľadom na to, že veľa spoločností udržiava úspešné hackerské tajomstvá. Výskum spoločnosti Accenture však zistil, že priame a nepriame útoky v nasledujúcich piatich rokoch vystavili riziku 5,2 bilióna dolárov.
  2. Pri pohľade na druhú stranu mince sa podľa prieskumu Global Market Insights do roku 2024 veľkosť trhu s kybernetickou bezpečnosťou zvýšila na 300 miliárd dolárov ročne..
  3. V USA je kybernetická bezpečnosť hlavným záchytom štátnych prostriedkov. Podľa rozpočtu vydaného Bielym domom na rok 2020 vláda plánuje minúť 15 miliárd dolárov na ochranu spotrebiteľov, podnikov a kritickej infraštruktúry v roku 2020. To je 4,1% nárast oproti roku 2018.
  4. Jedná sa o obrovské množstvo a malé podniky majú ťažké udržať krok. Spoločnosť Juniper Research zistila, že v roku 2018 vynaložil priemerný malý podnik na kybernetickú bezpečnosť ročne menej ako 500 dolárov.
  5. Znepokojujúca je aj nízka úroveň investícií MSP do počítačovej kriminality, pretože SCORE zistila, že MSP sú cieľom 43% všetkých kybernetických útokov..
  6. Pokiaľ ide o odhaľovanie a hlásenie hackov, robíme určitý pokrok, ale nie veľa. Priemerný čas na nahlásenie porušení údajov v roku 2020 bol podľa zabezpečenia na základe rizika 49,6 dní. Je to o niečo lepšie ako 50+ dní v roku 2018, stále sa to týka.
  7. V najširšej miere je počítačová kriminalita stále na vzostupe. V deviatom ročnom prieskume spoločnosti Accenture o nákladoch na počítačovú kriminalitu sa zistilo, že porušenia bezpečnosti sa v roku 2018 zvýšili o 11% a že to bude pravdepodobne pokračovať aj do roku 2020.
  8. Ten istý prieskum sa tiež dlhodobejšie zaoberal nárastom kybernetických útokov a zistil, že za posledných päť rokov vzrástli o 67%..

Náklady na hacks

Samotná škála počítačovej kriminality a obrovské množstvo zapojených osôb môže niekedy znamenať, že na obete hackerov – jednotlivcov, spoločnosti a dokonca aj vlády – sa dá zabudnúť. Pozrime sa teda na skutočné vplyvy počítačovej kriminality.

  1. Vo výročnej správe o trestnej činnosti Cybersecurity Ventures za rok 2020 sa uvádza niekoľko čísel o dôsledkoch hackerských aktivít pre podniky. Zistili, že sa očakáva, že škody v oblasti počítačovej kriminality budú do roku 2021 stáť podniky 6 biliónov dolárov ročne, čo podľa nich „predstavuje najväčší prevod bohatstva v ľudskej histórii“..
  2. Z tohto 6 biliónov dolárov sú škody s ransomware najrýchlejšie rastúce. Cybersecurity Ventures tvrdia, že náklady na ransomware dosiahnu do roku 2021 20 miliárd dolárov.
  3. Podľa globálnej štúdie spoločnosti Accenture sa priemerné náklady na počítačovú kriminalitu pre organizácie odhadujú na 13 miliónov dolárov ročne.

Obete

Počítačová kriminalita je obrovským problémom, pokiaľ ide o ziskovosť a udržateľnosť spoločností. Úspešné hacky však môžu mať vážne následky aj pre veľké množstvo spotrebiteľov.

  1. Podľa prieskumu Nortona je USA jedným z cieľov kybernetických útokov. To by mohla byť jedna štatistika, keď sú občania USA menej hrdí na to, že sú # 1.
  2. Podľa správy amerického inštitútu CPA je v USA viac ako 60% občanov vystavených online podvodom..
  3. Gallupov každoročný prieskum kriminality vyzerá trochu hlbšie a zistil, že miera počítačovej kriminality v USA je prekvapujúca. 23% Američanov uvádza, že oni alebo niekto, koho poznajú, boli priamou obeťou počítačovej kriminality.
  4. Väčšina z týchto ľudí sa stala obeťou iba malého počtu obrovských porušení údajov. Podľa správy RBS bolo v roku 2018 iba 12 porušení údajov odhalených viac ako tri štvrtiny všetkých záznamov kompromitovaných v tomto roku. Počet záznamov? Viac ako 100 miliónov.
  5. Pri pohľade do budúcnosti spoločnosť Juniper Research tvrdí, že do roku 2021 bude ukradnutých 33 miliárd záznamov ročne.

Počítačová kriminalita podľa priemyslu

Niektoré odvetvia sú častejšie cieľom počítačovej kriminality ako iné. Najohrozenejšie sú najmä spoločnosti, ktoré pracujú s kritickou infraštruktúrou alebo citlivými osobnými údajmi.

  1. V súčasnosti sú výrobcami a ťažobnými spoločnosťami preferované ciele. Správa spoločností Make UK a AIG zistila, že kybernetickí zločinci sa zamerali na 48% výrobcov v Spojenom kráľovstve a podľa správy spoločnosti Symantec o riziku internetovej bezpečnosti zaznamenalo podobné útoky 38,4% spoločností v ťažobnom priemysle..
  2. V budúcnosti sa budú zdravotnícke spoločnosti stále viac zameriavať. Cybersecurity Ventures uviedli, že očakávajú, že sa útoky proti zdravotníckym spoločnostiam do roku 2021 zvýšia päťkrát (áno, päťkrát)..
  3. Podľa správy spoločnosti Symantec o bezpečnostných rizikách internetu sa stále viac zameriava aj na verejný sektor. Jeden z každých 302 e-mailov, ktoré dostali verejní zamestnanci v roku 2020, bol podvod.
  4. Malware tiež rastie, najmä v bankovom a finančnom priemysle. Spoločnosť Kaspersky Labs nedávno aktualizovala svoj zoznam rodín škodlivého softvéru tak, aby obsahoval viac ako 20 typov škodlivého softvéru ATM.

Najlepšie hacks

Teraz v galérii nepoctivých: najväčšie hacky roku 2018 (a začiatkom roku 2020) a počet obetí každého.

  1. Najväčší hack roku 2018 bol v skutočnosti mimo USA. Počas hackerstva v databáze národných identifikačných kódov krajiny došlo k úniku osobných údajov pre neuveriteľných 1,5 miliardy indických občanov. To je takmer každý v krajine.
  2. V USA bol najväčší hack roku 2020 tiež najväčším narušením údajov v histórii. V marci výskumný pracovník IT bezpečnosti našiel databázu nazvanú „Zbierka 1“, ktorá obsahovala e-mailové adresy a heslá 1,16 miliárd ľudí..
  3. Zdá sa, že Facebook každý rok zásadne porušuje údaje a rok 2020 nebol výnimkou. Podľa správy Upguarda bolo verejne odhalených 540 miliónov záznamov.
  4. Zoznam pokračuje. Skupina Marriott zverejnila koncom roka 2018 osobné informácie 500 miliónov používateľov a podľa agentúry CNET bolo zverejnených 340 miliónov zákazníckych záznamov, ktoré boli porušené od spoločnosti Exactis..

Najbežnejšie typy zraniteľnosti webových stránok

Teraz máme predstavu o rozsahu počítačovej kriminality, pozrime sa na najbežnejší zdroj zraniteľností pre podniky a iné organizácie: ich webové stránky.

Zisťovanie najbežnejších zraniteľností webových stránok v roku 2020 je mierne depresívna úloha. Je to preto, že najbežnejšie (a najnebezpečnejšie) zraniteľné miesta sú tie, ktoré boli na rovnakom zozname v roku 2018, 2008 a 1988.

Sú to: DDoS útoky, infekcie malvérom, Man in the Middle Attacks a zle zabezpečené webové aplikácie.

Pozrime sa na každý zvlášť.

Útoky DDoS

Útoky typu DDoS (Distributed Denial of Service) sú častejšie ako kedykoľvek predtým a stále sú najobľúbenejšou formou útoku na webové stránky..

  1. Vzhľadom na to nie je prekvapujúce, že v roku 2018 došlo k najväčšiemu útoku DDoS na svete. „Poskytovateľ so sídlom v USA“ bol podľa NETSCOUT terčom útoku zameraného na odraz / zosilnenie, ktorý zasiahol ich web rýchlosťou 1,7 terabajtu škodlivých žiadostí za sekundu. Z nejakého hľadiska je to ekvivalentná šírka pásma pre súčasné vysielanie 200 000 televíznych relácií s vysokým rozlíšením.
  2. DDoS tiež predstavuje veľkú časť nákladov na počítačovú kriminalitu. Vo výročnej správe o kybernetickej bezpečnosti spoločnosti Bulletproof z roku 2020 sa zistilo, že útok DDoS zvyčajne stojí veľké spoločnosti 2 milióny dolárov a menšie spoločnosti 120 000 dolárov.
  3. To nie je prekvapujúce, vzhľadom na to, že „útočné súpravy“ DDoS, ktoré je možné kúpiť na serveri Dark Web, stoja okolo 20 dolárov podľa článku Ars Technica..
  4. Podľa NETSCOUT je na zariadenie, ktoré je novo pripojené na internet, priemerná doba, počas ktorej bude napadnutá požiadavkou DDoS..
  5. Všetky tieto štatistiky sú známe, ale útoky DDoS tiež ukazujú niektoré nové funkcie. Podľa spoločnosti Kaspersky napríklad Čína koncom roka 2018 predstavovala viac ako 50% útokov DDoS.
  6. Ďalšou obavou je, že s väčším počtom zariadení internetu vecí, ako kedykoľvek predtým, sa sila útokov DDoS iba zvýši. Spoločnosť Gartner odhaduje, že počet zariadení internetu vecí dosiahne do roku 2020 20,4 miliárd, a preto budú útoky DDoS nebezpečnejšie ako kedykoľvek predtým..

malware

Škodlivý softvér je stále obrovským problémom. V skutočnosti je malware častejší ako kedykoľvek predtým.

  1. E-mail je stále najbežnejším spôsobom šírenia škodlivého softvéru. CSO Online uviedlo, že e-mail je zodpovedný za šírenie až 92% prípadov škodlivého softvéru. To však neznamená, že webové stránky nie sú citlivé na škodlivý softvér.
  2. Väčšina škodlivého softvéru sa teraz distribuuje ako škodlivé skripty. Skripty PowerShell sú už dlho obrovským zdrojom zraniteľnosti, ale spoločnosť Symantec zistila, že používanie škodlivých skriptov Powershell vyskočilo v roku 2018 o 1000%. Rovnaká správa zistila, že skripty tvoria 47,5% škodlivých e-mailových príloh.
  3. Škodlivý softvér ovplyvňuje všetky typy zariadení a môže predstavovať hrozbu pre webové stránky z prenosných počítačov, tabletov a smartfónov. V skutočnosti sa smartfóny môžu stať najväčším zdrojom škodlivého softvéru v nasledujúcom desaťročí: podľa spoločnosti Symantec sa mobilný ransomware v porovnaní s minulým rokom zvýšil o 33%..
  4. Malware je v súčasnosti aj pre podniky obrovskou hrozbou. Malware osobitne zameraný na podniky sa v roku 2020 zvýšil o 12%, ako zistila spoločnosť Symantec.

Muž uprostred útokov

Hlavným zdrojom zraniteľnosti webovej stránky je človek v strede útoku. V prípade ťažko zabezpečených webových stránok je pre hackerov relatívne ľahké vložiť sa medzi zákazníkov a vlastníkov webových stránok a zachytiť všetky informácie, ktoré sa medzi nimi odosielajú..

Útoky MITM, ako sú známe, sa tiež zvyšujú.

  1. Napríklad, techniky MITM boli zapojené do 35% využívania webových stránok v roku 2018, podľa indexu X-Force Threat Intelligence Index 2020 spoločnosti IBM..
  2. To nie je prekvapujúce, vzhľadom na to, ako nepripravené je mnoho firiem na útoky MITM. Spoločnosť Netcraft napríklad zistila, že v roku 2016 bolo 95% serverov HTTP zraniteľných voči MiTM a odvtedy sa urobilo len málo na ich odstránenie..
  3. Ešte znepokojivejšie je, že iba 10% spoločností implementovalo HSTS pre svoje webové stránky, čo ich necháva otvorené pre útoky. W3Techs vykonal tento výskum a tiež odporučil, aby všetky webové stránky implementovali protokol čo najskôr.

Útoky na webové aplikácie

Webové aplikácie sú teraz neoddeliteľnou súčasťou takmer všetkých webových stránok a nárast ich používania bol sprevádzaný podobným nárastom ich využívania. Napríklad podľa prieskumu spoločnosti Imperva má viac ako polovica webových aplikácií verejné zneužitie dostupné hackerom a viac ako tretina týchto zneužívaní nemá riešenie..

  1. Podľa správy spoločnosti TrustWave sú najbežnejšími formami útokov na webové aplikácie tie, ktoré využívajú medzisieťové skriptovanie (XSS), ktoré predstavuje asi 40% takýchto útokov, a injekcie SQL, ktoré predstavovali 24%.
  2. Zraniteľnosti webových aplikácií sú tiež veľmi bežné. Spoločnosť Acunetix zistila, že 46% webových stránok má takúto zraniteľnosť.
  3. Tento druh zraniteľnosti webových stránok je tiež na vzostupe. Podľa prieskumu spoločnosti Akamai sa v roku 2018 útoky na injekcie SQL a skriptovacie útoky medzi lokalitami zvýšili o 38%. WordPress, najobľúbenejší CMS zďaleka, je spoločným cieľom injekcií SQL, pretože väčšina populárnych hostiteľov WordPress štandardne používa SQL..
  4. Spoločnosť Formjacking zaznamenala v roku 2018 tiež obrovský nárast. Podľa spoločnosti Symantec bol priemerný počet webových stránok, ktoré boli v roku 2018 kompromitované zneužívaním formulárov za mesiac zneužité, 4818..
  5. Podľa spoločnosti Acunetix boli 2% webových aplikácií náchylné na vzdialené vykonávanie kódu, čo umožňuje škodlivému používateľovi spustiť vlastný (škodlivý) kód v skriptoch vášho webu. A zatiaľ čo 2% nemusí znieť tak vysoko, vzhľadom na samotný počet webových stránok tam predstavuje obrovské množstvo zraniteľných webových stránok.
  6. Podľa prieskumu spoločnosti Positive Technologies je v skutočnosti veľká väčšina penetrácie lokálnej siete (LAN) v roku 2020 spôsobená slabými webovými aplikáciami..

Spodný riadok

A máme to: rozsah zraniteľnosti webových stránok v roku 2020 a najbežnejšie formy zneužitia.

Tieto čísla môžu byť šokujúce, potvrdzujú však pravdu, ktorú všetci poznáme už niekoľko rokov. Rozsah počítačovej kriminality je obrovský problém a problém, ktorý nie sme blízko pri riešení.

Vykonanie základných krokov na zabezpečenie vášho webu môže pomôcť obmedziť vašu náchylnosť na tieto kybernetické útoky a potenciálne od nich chrániť vaše podnikanie. Mali by ste tiež pamätať na to, že nie ste sami – ak používate jednu z najlepších spoločností poskytujúcich webhosting v Kanade, pomôžu vám tým, že poskytnú bezpečnostné nástroje, ktoré môžu zaistiť bezpečnosť vašich webových stránok..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map