Veebisaidi tavalised haavatavused

2018. aasta tunnistajad on suurimad küberrünnakud, mida eales nähtud: Marriott Groupi, Equifaxi, Yahoo ja Facebooki häkkimine põhjustas suuri andmerikkumisi. Lisage sellele kogu maailmas suurenenud sekkumine valimisprotsessidesse ja on selge, et seisame silmitsi kriisiga.


See on juba mõnda aega selge olnud, kuid statistika põhjal ei teaks te seda.

Selle asemel näivad, et 2020. aastal muutuvad veebisaidid vähem turvaliseks.

Ptsecurity leidis, et pärast paljude aastate pikkust langust oli 2018. aasta lõpus veebirakenduste haavatavus taas tõusuteel: nad leidsid, et 67% protsendil veebirakendustest oli kõrge turvalisusega turvaauk 2018. aasta lõpus, millest levinumad on ebapiisav volitamine, suvaline faili üleslaadimine, tee läbimine ja SQL-i süstimine.

Aastal 2020 see tundub, et trend jätkub. Ehkki teil võib tekkida kiusatus end endasse lukustada, ühendage Internetist lahti ja ärge kunagi enam kunagi inimkontakte looge … soovitame seda mitte teha.

Selle asemel saate enamikku allpool loetletud turvaaukudest vältida tulemüüri installimisega ja veebis surfamisega ainult siis, kui see on ühendatud virtuaalse privaatvõrgu (VPN) kaudu. Vaadake meie juhendit Kanada parimate VPN-teenuste kohta, et valida teile sobiv.

Vaatame siis värskeimaid andmeid.

Küberkuritegevuse majandus

Esiteks vaatame üle küberkuritegevuse ja küberturvalisuse maht.

  1. Küberkuritegevuse rahalist koguväärtust on raske hinnata, eriti arvestades, et paljud ettevõtted hoiavad edukaid häkkereid saladuses. Accenture’i uuringud on aga leidnud, et otsesed ja kaudsed rünnakud seavad järgmise 5 aasta jooksul ohtu 5,2 triljonit dollarit.
  2. Mündi teiselt poolt vaadates viivad läbi viidud uuringud Global Market Insights küberjulgeoleku turu suuruseks 2024. aastaks 300 miljardit dollarit aastas.
  3. USA-s on küberjulgeolek valitsuse vahendite peamine uppumine. Valge Maja avaldatud 2020. aasta eelarve kohaselt plaanib valitsus kulutada 2020. aastal 15 miljardit dollarit tarbijate, ettevõtete ja kriitilise infrastruktuuri kaitsele. See on 4,1% rohkem kui 2018. aastal..
  4. Neid on tohutult palju ja väikeettevõtetel on keeruline sammu pidada. Juniper Research leidis, et 2018. aastal kulutas keskmiselt väikeettevõtja küberturvalisusele vähem kui 500 dollarit aastas.
  5. Murettekitav on ka VKEde vähene panus küberkuritegevusse, sest SCORE on leidnud, et 43% kõigist küberrünnakutest on suunatud VKEdele.
  6. Hackide avastamise ja neist teatamise osas teeme teatavaid edusamme, kuid mitte palju. Keskmine riskiandmete turvalisuse andmetel oli andmerikkumistest teatamine 2020. aastal keskmiselt 49,6 päeva. See on pisut parem kui 50+ päeva 2018. aastal, on endiselt murettekitav.
  7. Laiemas plaanis on küberkuritegevus endiselt tõusuteel. Accenture’i kümnenda iga-aastase küberkuritegevuse kulude uuring leidis, et turvarikkumised suurenesid 2018. aastal 11% ja tõenäoliselt jätkub see ka 2020. aastal.
  8. Samas uuringus vaadeldi ka küberrünnakute sagenemist pikemas perspektiivis ja leiti, et nende arv on viimase viie aasta jooksul kasvanud 67%.

Hacksi kulud

Küberkuritegevuse ulatuslik ulatus ja sellega seotud tohutu arv võib mõnikord tähendada, et häkkimise ohvrid – üksikisikud, ettevõtted ja isegi valitsused – võivad olla unustatud. Vaatame siis küberkuritegevuse tegelikke mõjusid.

  1. Küberjulgeoleku ettevõtmiste iga-aastane kuritegevuse aruanne aastaks 2020 sisaldab mõned numbrid häkkimise tagajärgede kohta ettevõtetele. Nad leidsid, et küberkuritegevuse kahjustused maksavad ettevõtetele 2021. aastaks eeldatavalt 6 triljonit dollarit aastas – arv, mille nad väidavad, et „esindab rikkuse suurimat ülekandmist inimkonna ajaloos”.
  2. Sellest 6 triljonist dollarist kasvavad kõige kiiremini lunavara kahjustused. Küberturvalisuse projektid jõuavad 2021-ni 20 miljardi dollarini.
  3. Accenture’i globaalse uuringu kohaselt on organisatsioonide küberkuritegevuse keskmine kulu hinnanguliselt 13 miljonit dollarit.

Ohvrid

Küberkuritegevus on ettevõtete kasumlikkuse ja jätkusuutlikkuse osas tohutu probleem. Kuid edukal häkkimisel võivad olla tõsised tagajärjed ka suurele hulgale tarbijatele.

  1. Lähme ühe asja eest ära: Nortoni uuringute kohaselt on USA küberrünnakute eesmärk number üks. See võib olla üks statistika, kus USA kodanikud on uhkusega nr 1 üle.
  2. Ameerika tsiviillennundusametite instituudi raporti kohaselt on USA-s Interneti-pettustega kokku puutunud enam kui 60% kodanikest.
  3. Gallupi iga-aastane kuritegevuse uuring on pisut sügavam ja leidis, et USA küberkuritegevuse ulatus on jahmatav. 23% ameeriklastest teatas, et nad või keegi, keda nad tunnevad, on olnud küberkuritegevuse otsene ohver.
  4. Enamik neist inimestest langes vaid väheste tohutute andmerikkumiste ohvriks. RBS-i aruande kohaselt paljastasid 2018. aastal vaid 12 andmerikkumist rohkem kui kolmveerand kõigist sellel aastal ohustatud andmetest. Plaatide arv? Rohkem kui 100 miljonit.
  5. Vaadates tulevikku, väidab Juniper Research, et 2021. aastaks varastatakse aastas 33 miljardit plaati.

Küberkuritegevus tööstuse kaupa

Mõni tööstusharu on suurema tõenäosusega küberkuritegevuse sihtmärk kui teised. Eriti ohustatud on ettevõtted, kes töötavad kriitilise infrastruktuuri või tundliku isikliku teabega.

  1. Praegu on tootjad ja kaevandusettevõtted soositud eesmärgid. Make UK ja AIGi aruandes leiti, et 48% Ühendkuningriigi tootjatest on suunatud kurjategijate poolt ning Symanteci Interneti-turvariski aruande kohaselt on sarnaseid rünnakuid näinud 38,4% mäetööstuse ettevõtetest.
  2. Tulevikus suunatakse tervishoiuettevõtteid üha enam sihtrühma. Küberturvalisuse ettevõtmised on öelnud, et nad ootavad, et 2021. aastaks suureneksid rünnakud tervishoiuettevõtete vastu viis korda (jah, viis korda)..
  3. Symanteci Interneti-turvalisuse riskiaruande kohaselt on üha enam suunatud ka avalikku sektorit. Üks igast 302 meilisõnumist, mis avalikud töötajad said 2020. aastal, on olnud kelmus.
  4. Samuti on pahavara suurenemas, eriti panganduses ja rahanduses. Kaspersky Labs värskendas hiljuti oma pahavaraperekondade nimekirja, et hõlmata enam kui 20 tüüpi pahatahtlikku ATM-tarkvara.

Parimad häkkerid

Nüüd petturite galerii kohta: 2018. aasta (ja 2020. aasta alguse) suurimad häkid ja kummagi ohvrite arv.

  1. Tegelikult oli 2018. aasta suurim häkk väljaspool USA-d. Uskumatu 1,5 miljardi India kodaniku isiklik teave lekkus riigi riikliku isikutuvastuse andmebaasi häkkimise ajal. Seda on peaaegu kõigil maal.
  2. USA-s oli 2020. aasta suurim häkk ka ajaloo suurim andmerikkumine. Märtsis leidis It turbeuurija andmebaasi nimega “Collection 1”, mis sisaldas 1,16 miljardi inimese e-posti aadresse ja paroole.
  3. Näib, et Facebookis on igal aastal suur andmerikkumine ja 2020. aasta pole olnud erand. Upguardi raporti kohaselt avalikustati 540 miljonit plaati.
  4. Nimekiri jätkub. Marriott Grupp avalikustas 500 miljoni kasutaja isikliku teabe 2018. aasta lõpus ja Tiksise andmetel vabastati rikkumisega 340 miljonit kliendikirjet, vahendab CNET.

Veebisaidi haavatavuse kõige levinumad tüübid

Nüüd on meil mõni idee küberkuritegevuse ulatuse kohta, vaatame ettevõtete ja muude organisatsioonide kõige levinumat turvaaukude allikat: nende veebisaite.

2020. aastal levinumate veebisaitide nõrkade kohtade uurimine on pisut masendav ülesanne. Seda seetõttu, et kõige tavalisemad (ja kõige ohtlikumad) haavatavused on need, mis olid samas nimekirjas 2018., 2008. ja 1988. aastal.

Need on: DDoS-rünnakud, pahavaranakkus, inimene keset rünnakut ja halvasti turvatud veebirakendused.

Vaatame igaüht eraldi.

DDoS rünnakud

Hajutatud teenuse keelamise (DDoS) rünnakud on tavalisemad kui kunagi varem ja on endiselt veebisaidide rünnaku kõige populaarsem vorm.

  1. Seda arvesse võttes pole üllatav, et 2018. aastal toimus kõigi aegade suurim DDoS-i rünnak. NETSCOUTi andmetel oli „USA-s asuv teenusepakkuja” peegeldus- / võimendusrünnaku objekt, mis tabas nende veebisaiti 1,7 terabaidi pahatahtlike taotlustega sekundis. Mõne vaatenurga jaoks on see samaväärne ribalaiusega 200 000 HD-telesaate voogesitamiseks üheaegselt.
  2. DDoS moodustab ka suure osa küberkuritegevuse kuludest. Bulletproofi iga-aastane küberturbearuanne aastast 2020 leidis, et DDoS-i rünnak maksab suurtele ettevõtetele tavaliselt 2 miljonit dollarit ja väiksematele ettevõtetele 120 000 dollarit..
  3. See pole üllatav, kui arvestada, et DDoS-i rünnakukomplektid, mida saab Dark Webis osta, maksavad Ars Technica artikli kohaselt umbes 20 dollarit..
  4. NETSCOUTi andmetel on äsja Interneti-ühendusega seadmel DDoS-i taotluse rünnakuks kulunud 5 minutit..
  5. Kõik need statistikad on tuttavad, kuid DDoS-i rünnakud näitavad ka uusi funktsioone. Kaspersky sõnul näiteks moodustas Hiina 2018. aasta lõpus üle 50% DDoS-i rünnakutest.
  6. Veel üks mure on see, et suurema hulga Interneti-seadmetega kui kunagi varem veebiga ühendatud on DDoS-i rünnakute võimsus tõenäoliselt ainult kasvav. Gartner on hinnanud, et asjatundmatu Interneti-seadmete arv jõuab 2020. aastaks 20,4 miljardini ja see muudab DDoS-rünnakud ohtlikumaks kui kunagi varem.

Pahavara

Pahavara on endiselt tohutu probleem. Tegelikult on pahavara tavalisem kui kunagi varem.

  1. E-post on endiselt kõige levinum viis pahavara levitamiseks. CSO Online teatas, et kuni 92% pahavara esinemisjuhtude levitamisest vastutab e-post. Kuid see ei tähenda, et veebisaidid pole pahavara suhtes haavatavad.
  2. Enamikku pahavara levitatakse nüüd pahatahtlike skriptidena. PowerShelli skriptid on pikka aega olnud tohutu haavatavuse allikas, kuid Symantec on leidnud, et pahatahtlike Powershelli skriptide kasutamine hüppas 2018. aastal 1000%. Samas aruandes leiti, et skriptid moodustavad 47,5% pahatahtlikest e-posti manustest.
  3. Pahavara mõjutab igat tüüpi seadmeid ja võib olla sülearvutite, tahvelarvutite ja nutitelefonide oht veebisaitidele. Tegelikult võivad nutitelefonid saada järgmisel kümnendil suurimaks pahavaraallikaks: Symanteci andmetel kasvas mobiilne lunavara hiljem 33%.
  4. Ka pahavara on nüüd ettevõtetele tohutu oht. Spetsiaalselt ettevõtetele suunatud pahavara kasvas Symanteci andmetel 2020. aastal 12%.

Inimene keskel ründab

Veebisaitide haavatavuse peamiseks allikaks on keskrünnakutes olevad inimesed. Halvasti turvatud veebisaitide puhul on häkkeritel suhteliselt lihtne sisestada end klientide ja veebisaitide omanike vahel ning kogu nende vahel saadetav teave kinni pidada.

MITM-rünnakud, nagu teada, on samuti sagenemas.

  1. Näiteks olid IBM-i X-Force Threat Intelligence Index 2020 järgi MITM-tehnikad seotud 2018. aasta 35% -lise veebisaidi kasutamisega..
  2. See pole üllatav, arvestades, kui paljud ettevõtted on MITM-i rünnakuteks ette valmistamata. Netcraft leidis näiteks, et 2016. aastal oli 95% HTTP-serveritest MiTM-i suhtes haavatav ja nende haavatavuste parandamiseks on sellest ajast peale tehtud vähe..
  3. Veel murettekitavam on asjaolu, et ainult 10% ettevõtetest on HSTS-i oma veebisaitidele juurutanud, mis jätab nad rünnakuks avatuks. W3Techs viis selle uuringu läbi ja soovitas kõigil veebisaitidel protokolli võimalikult kiiresti kasutusele võtta.

Veebirakenduste rünnakud

Veebirakendused on nüüd peaaegu iga veebisaidi lahutamatu osa ja nende kasutamise kasvuga on kaasnenud sarnane nende kasutamise suurenemine. Näiteks Imperva uuringu kohaselt on enam kui pooltel veebirakendustest häkkeritele kättesaadav avalik kasutus ja enam kui kolmandikul nendest rakendustest puudub lahendus.

  1. TrustWave’i raporti kohaselt on kõige levinumad veebirakenduste rünnakud need, mis kasutavad saitideülest skriptimist (XSS), mis moodustas umbes 40% sellistest rünnakutest, ja SQL-i süste, mis moodustasid 24%.
  2. Samuti on äärmiselt levinud veebirakenduste haavatavused. Acunetix on leidnud, et 46% veebisaitidest on selline haavatavus.
  3. Ka seda tüüpi veebisaitide haavatavus on tõusuteel. SQL-i süstimise ja saitideülese skriptimise rünnakud kasvasid Akamai uuringute kohaselt 2018. aastal 38%. WordPress, vaieldamatult populaarseim CMS, on SQL-i süstide üldine eesmärk, kuna kõige populaarsemad WordPress-hostid kasutavad vaikimisi SQL-i.
  4. Ka Formjacking nägi 2018. aastal tohutut kasvu. Symanteci andmetel oli 2018. aastal keskmiselt kuus veebisaidi kasutamist, mille tõttu vormistamise ohtu seadmine oli ohustatud, kuus 4818.
  5. Acunetixi andmetel oli 2% veebirakendustest vastuvõtlik ka koodi kaugkäivitamisele, mis võimaldab pahatahtlikul kasutajal teie enda (pahatahtlikku) koodi teie veebisaidi skriptides täita. Ja kuigi 2% ei pruugi tunduda nii kõrge, arvestades seal asuvate veebisaitide suurt arvu, on see tohutul hulgal haavatavaid veebisaite.
  6. Positiivse tehnoloogia uuringute kohaselt on valdav enamus kohtvõrkude (LAN) levikust 2020. aastal tingitud veebirakenduste nõrkustest..

Alumine rida

Ja seal see meil on: veebisaitide haavatavuse ulatus 2020. aastal ja kõige levinumad ärakasutamise vormid.

Need numbrid võivad olla šokeerivad, kuid need kinnitavad tõde, mida me teame kõik juba mitu aastat. Küberkuritegevuse ulatus on tohutu probleem ja seda pole meil peaaegu kuskil lahendada.

Mõnede põhiliste toimingute tegemine oma veebisaidi kaitsmiseks võib aidata piirata teie vastuvõtlikkust sellistele küberrünnakutele ja potentsiaalselt päästa teie ettevõte nende eest. Ja peaksite ka meeles pidama, et te pole üksi – kui kasutate ühte Kanada parimatest veebimajutusteenuseid pakkuvatest ettevõtetest, aitavad nad neid, pakkudes turbe tööriistu, mis võimaldavad teie veebisaidi turvalisena hoida.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map