Ortak Web Sitesi Güvenlik Açıkları

2018, şimdiye kadar görülen en büyük siber saldırıların bazılarına tanıklık ediyor: Marriott Group, Equifax, Yahoo ve Facebook’taki saldırılar büyük veri ihlallerine yol açtı. Buna dünya çapında seçim süreçlerinde artan düzeyde parazit ekleniyor ve bir krizle karşı karşıya olduğumuz açık.


Bu bir süredir açıktı, ancak bunu istatistiklerden bilemezsiniz..

Bunun yerine, 2020’de web siteleri daha az güvenli hale geliyor gibi görünüyor.

Ptsecurity, 2018’in sonunda, web uygulamalarının güvenlik açığının, yıllar süren düşüşün ardından tekrar arttığını buldu: Web uygulamalarının yüzde 67’sinin yüksek güvenlik açıkları vardı 2018’in sonunda, en yaygın olanı Yetersiz Yetkilendirme, Rasgele Dosya Yükleme, Yol Geçişi ve SQL Enjeksiyonu.

2020’de bu trend devam ediyor gibi görünüyor. Kendinizi içeride kilitlemeye, internetten çekmeye ve bir daha asla insan teması kurmaya cazip olmasanız da ….

Bunun yerine, bir güvenlik duvarı yükleyerek ve yalnızca sanal bir özel ağ (VPN) üzerinden bağlandığında web’de gezinerek aşağıda listelenen güvenlik açıklarının çoğunu önleyebilirsiniz. Size en uygun VPN hizmetini seçmek için Kanada’daki en iyi VPN hizmetleri kılavuzumuza göz atın.

Bununla birlikte, en son verilere bakalım.

Siber Suç Ekonomisi

İlk olarak, siber suç ve siber güvenlik ekonomisinin büyüklüğüne bakalım.

  1. Siber suçların toplam parasal değerini değerlendirmek zordur, özellikle de birçok şirketin başarılı saldırıları gizli tuttuğu göz önüne alındığında. Ancak Accenture tarafından yapılan araştırmalar, doğrudan ve dolaylı saldırıların önümüzdeki beş yıl boyunca 5,2 trilyon dolar risk altına girdiğini buldu..
  2. Madalyonun diğer tarafına bakıldığında, Global Market Insights tarafından yürütülen araştırmalar, siber güvenlik pazarının boyutunu 2024 yılına kadar yılda 300 milyar dolara çıkarıyor.
  3. ABD’de siber güvenlik, hükümet fonları için büyük bir lavabo. Beyaz Saray tarafından yayınlanan 2020 bütçesine göre, hükümet 2020’de tüketicileri, işletmeleri ve kritik altyapıyı korumak için 15 milyar dolar harcamayı planlıyor. Bu 2018’de% 4.1’lik bir artış.
  4. Bunlar çok büyük rakamlar ve küçük işletmelere ayak uydurmakta zorlanıyorlar. Juniper Research, 2018 yılında ortalama küçük işletmelerin siber güvenlik için yılda 500 dolardan daha az harcadığını buldu.
  5. KOBİ’lerin siber suçlara yatırımlarının düşük olması da endişe vericidir, çünkü SCORE, KOBİ’lerin tüm siber saldırıların% 43’ünün hedefi olduğunu bulmuştur..
  6. Hackleri tespit etmek ve raporlamak söz konusu olduğunda, biraz ilerleme kaydediyoruz, ancak çok fazla değil. Risk Bazlı Güvenliğe göre, 2020 yılında veri ihlallerini bildirme süresi ortalama 49,6 gündü. Bu, 2018’de 50+ günden biraz daha iyi, hala ilgili.
  7. En geniş ölçekte siber suçlar hala artıyor. Accenture tarafından yapılan dokuzuncu yıllık siber suç maliyeti araştırması, güvenlik ihlallerinin 2018’de% 11 arttığını ve bunun 2020’ye kadar devam edeceğini buldu..
  8. Aynı anket, siber saldırılardaki artışa daha uzun vadeli bir göz attı ve son beş yılda% 67 oranında arttıklarını tespit etti..

Hacklerin Maliyeti

Siber suçların saf ölçeği ve ilgili çok sayıda kişi bazen saldırı kurbanlarının – bireyler, şirketler ve hatta hükümetler – unutulabileceği anlamına gelebilir. Öyleyse siber suçların gerçek hayattaki etkilerine bakalım.

  1. 2020 Siber Güvenlik Girişimleri Yıllık Suç Raporu işletmeler için hack’lerin sonuçlarına bazı rakamlar koymaktadır. Siber suç zararlarının 2021 yılına kadar işletmelere yılda 6 trilyon dolara mal olması beklendiğini belirttiler; bu sayı “insanlık tarihinin en büyük servet transferini temsil ediyor”.
  2. Bu 6 trilyon dolarlık fidye yazılımı hasarları en hızlı büyüyen. Siber Güvenlik Girişimleri, fidye yazılımının maliyetinin 2021 yılına kadar 20 milyar dolara ulaşacağını söylüyor.
  3. Accenture’ın küresel araştırmasına göre, kuruluşlar için ortalama siber suç maliyetinin yılda 13 milyon dolar olduğu tahmin ediliyor.

Mağdurlar

Şirketlerin kârlılığı ve sürdürülebilirliği söz konusu olduğunda siber suç büyük bir sorundur. Ancak başarılı hack’lerin çok sayıda tüketici için ciddi sonuçları olabilir.

  1. Norton’un araştırmasına göre, bir şey yoldan çıkalım: ABD, siber saldırıların bir numaralı hedefi. Bu, ABD vatandaşlarının # 1 olmaktan daha az gurur duyduğu bir istatistik olabilir..
  2. Amerika’da CPA’nın raporuna göre, ABD’de vatandaşların% 60’ından fazlası çevrimiçi dolandırıcılığa maruz kaldı.
  3. Gallup’un yıllık suç araştırması biraz daha derin görünüyor ve ABD’deki siber suç ölçeğinin şaşırtıcı olduğunu tespit etti. Amerikalıların% 23’ü kendilerinin veya tanıdıkları birinin siber suçların doğrudan kurbanı olduğunu bildiriyor.
  4. Bu insanların çoğunluğu az sayıda büyük veri ihlaline kurban gitti. 2018’de, RBS tarafından hazırlanan bir rapora göre, sadece 12 veri ihlali, o yıl ele geçirilen tüm kayıtların dörtte üçünden fazlasını ortaya çıkardı. Kayıt sayısı? 100 milyondan fazla.
  5. Geleceğe baktığımızda Juniper Research, 2021 yılına kadar yılda 33 milyar kayıt çalınacağını iddia ediyor.

Sektöre Göre Siber Suçlar

Bazı endüstrilerin siber suçların hedefi olma olasılığı diğerlerinden daha fazladır. Özellikle, kritik altyapı veya hassas kişisel bilgilerle çalışan şirketler en fazla risk altında olanlardır.

  1. Şu anda, üreticiler ve madencilik şirketleri tercih edilmektedir. Make UK ve AIG’nin bir raporu, İngiltere’deki üreticilerin% 48’inin siber suçlular tarafından hedeflendiğini ve Symantec’in İnternet Güvenlik Risk Raporuna göre, madencilik sektöründeki şirketlerin% 38,4’ünün benzer saldırılar gördüklerini buldu.
  2. Gelecekte, sağlık şirketleri giderek daha fazla hedeflenecektir. Siber Güvenlik Girişimleri, sağlık şirketlerine yönelik saldırıların 2021 yılına kadar beş kat (evet, beş kat) artmasını beklediklerini söyledi.
  3. Symantec’in İnternet Güvenliği Risk Raporuna göre, kamu sektörü de giderek daha fazla hedefleniyor. 2020 yılında kamu çalışanları tarafından alınan her 302 e-postadan biri bir aldatmaca olmuştur.
  4. Kötü amaçlı yazılımlar, özellikle bankacılık ve finans sektörlerinde de artmaktadır. Kaspersky Labs yakın zamanda kötü amaçlı yazılım ailesinin listesini 20’den fazla kötü amaçlı ATM yazılımı türü içerecek şekilde güncelledi.

En İyi Hack’ler

Şimdi haydutun galerisi için: 2018’in en büyük kesmek (ve 2020’nin başları) ve her birinin kurbanı sayısı.

  1. Aslında 2018’in en büyük kesmek ABD dışındaydı. İnanılmaz 1,5 milyar Hintli vatandaş, ülkenin ulusal kimlik veri tabanındaki bir saldırı sırasında kişisel bilgilerini sızdırdı. Bu neredeyse ülkedeki herkes.
  2. ABD’de, 2020’nin en büyük kesmek aynı zamanda tarihin en büyük veri ihlali oldu. Mart ayında bir IT güvenlik araştırmacısı, 1.16 milyar kişinin e-posta adreslerini ve şifrelerini içeren “Koleksiyon 1” adlı bir veritabanı buldu.
  3. Facebook’un her yıl büyük bir veri ihlali olduğu görülüyor ve 2020 bir istisna değildi. Upguard’ın raporuna göre 540 milyon kayıt kamuya açıklandı.
  4. Liste devam ediyor. Marriott Grubu, 2018’in sonlarında 500 milyon kullanıcının kişisel bilgilerini açıkladı ve CNET’e göre Exactis’ten bir ihlalle 340 milyon müşteri kaydı yayınlandı.

Web Sitesinde En Yaygın Güvenlik Açığı

Şimdi siber suç ölçeği hakkında bir fikrimiz var, hadi işletmeler ve diğer kuruluşlar için en yaygın güvenlik açıklarına bakalım: web siteleri.

2020’deki en yaygın web sitesi güvenlik açıklarına bakmak biraz iç karartıcı bir görevdir. Çünkü en yaygın (ve en tehlikeli) güvenlik açıkları 2018, 2008 ve 1988’de aynı listede bulunan güvenlik açıklarıdır.

Bunlar: DDoS saldırıları, kötü amaçlı yazılım bulaşması, Orta Saldırılarda Adam ve kötü korunan Web Uygulamaları.

Her birine ayrı ayrı bakalım.

DDoS Saldırıları

Dağıtılmış Hizmet Reddi (DDoS) saldırıları hiç olmadığı kadar yaygındır ve hala en popüler web sitesi saldırısı biçimidir..

  1. Bu göz önüne alındığında, 2018’in şimdiye kadarki en büyük DDoS saldırısını görmüş olması şaşırtıcı değil. NETSCOUT’a göre “ABD merkezli bir sağlayıcı”, saniyede 1,7 terabayt kötü amaçlı istekle web sitelerine ulaşan bir yansıma / yükseltme saldırısının hedefi oldu. Bazı açılardan, aynı anda 200.000 HD TV şovu yayınlamanın eşdeğer bant genişliği budur.
  2. DDoS ayrıca siber suç maliyetinin büyük bir bölümünü oluşturmaktadır. Kurşun geçirmez’in 2020’deki Yıllık Siber Güvenlik Raporu, bir DDoS saldırısının genellikle büyük şirketlere 2 milyon dolara ve daha küçük şirketlere 120.000 dolara mal olduğunu buldu..
  3. Ars Technica’nın bir makalesine göre, Karanlık Web’den satın alınabilecek DDoS “saldırı kitleri” nin 20 dolara mal olması şaşırtıcı değil..
  4. NETSCOUT’a göre, İnternet’e yeni bağlanan bir cihazın DDoS isteği tarafından saldırıya uğraması için geçen ortalama süre 5 dakikadır..
  5. Bu istatistiklerin tümü tanıdık, ancak DDoS saldırıları da bazı yeni özellikler gösteriyor. Örneğin Kaspersky’ye göre Çin, 2018’in sonunda DDoS saldırılarının% 50’sinden fazlasını oluşturdu.
  6. Başka bir endişe, web’e her zamankinden daha fazla IoT cihazı ile DDoS saldırılarının gücünün sadece artacağıdır. Gartner, IoT cihazlarının sayısının 2020’ye kadar 20,4 milyara ulaşacağını ve bunun DDoS saldırılarını her zamankinden daha tehlikeli hale getireceğini tahmin etti..

Malware

Kötü amaçlı yazılım hala büyük bir sorun. Aslında, kötü amaçlı yazılım her zamankinden daha yaygın.

  1. E-posta hala kötü amaçlı yazılımların yayılmasının en yaygın yoludur. CSO Online, e-postanın kötü amaçlı yazılım örneklerinin% 92’sine kadar yayılmasından sorumlu olduğunu bildirdi. Ancak bu, web sitelerinin kötü amaçlı yazılımlara karşı savunmasız olmadığı anlamına gelmez.
  2. Çoğu kötü amaçlı yazılım artık kötü amaçlı komut dosyaları olarak dağıtılmaktadır. PowerShell komut dosyaları uzun süredir büyük bir güvenlik açığı kaynağı olmuştur, ancak Symantec 2018’de kötü niyetli Powershell komut dosyalarının kullanımının% 1000 arttığını tespit etti..
  3. Kötü amaçlı yazılım her tür cihazı etkiler ve dizüstü bilgisayarlardan, tabletlerden ve akıllı telefonlardan gelen web siteleri için bir tehdit olabilir. Aslında, akıllı telefonlar önümüzdeki on yıl içinde en büyük kötü amaçlı yazılım kaynağı haline gelebilir: Symantec’e göre mobil fidye yazılımı% 33 arttı.
  4. Kötü amaçlı yazılımlar artık işletmeler için büyük bir tehdit. Özellikle işletmeleri hedef alan kötü amaçlı yazılımlar, Symantec’in bulduğu gibi 2020’de% 12 arttı.

Orta Saldırılarda Adam

Web sitesi güvenlik açığının önemli bir kaynağı orta saldırılardaki insandır. Güvenli olmayan web siteleri için, bilgisayar korsanlarının kendilerini müşteriler ve web sitesi sahipleri arasına yerleştirmesi ve aralarında gönderilen tüm bilgileri engellemesi nispeten kolaydır..

Bilindiği gibi MITM saldırıları da artıyor.

  1. Örneğin, IBM’in X-Force Tehdit İstihbarat Endeksi 2020’ye göre, MITM teknikleri 2018’de web sitesi kullanımının% 35’ine katıldı..
  2. Birçok işletmenin MITM saldırıları için ne kadar hazırlıksız olduğu düşünüldüğünde, bu şaşırtıcı değildir. Netcraft, örneğin, HTTPs sunucularının% 95’inin 2016’da MiTM’ye karşı savunmasız olduğunu ve o zamandan beri bu güvenlik açıklarını düzeltmek için çok az şey yapıldığını buldu..
  3. Daha endişe verici olan şey ise, şirketlerin sadece% 10’unun web siteleri için HSTS uygulamasıdır, bu da onları saldırıya açık bırakır. W3Techs bu araştırmayı gerçekleştirdi ve ayrıca tüm web sitelerinin protokolü mümkün olan en kısa sürede uygulamasını önerdi.

Web Uygulaması Saldırıları

Web uygulamaları artık hemen hemen her web sitesinin ayrılmaz bir parçasıdır ve kullanımlarındaki artışa, kullanımlarında benzer bir artış eşlik etmiştir. Örneğin, Imperva tarafından yapılan araştırmaya göre, web uygulamalarının yarısından fazlasının bilgisayar korsanları tarafından kullanılabilen bir genel istismarı var ve bu istismarların üçte birinden fazlasının bir çözümü yok.

  1. TrustWave’in bir raporuna göre en yaygın web uygulaması saldırıları, bu tür saldırıların yaklaşık% 40’ını oluşturan siteler arası komut dosyası (XSS) ve% 24’ünü oluşturan SQL enjeksiyonlarından yararlananlardır..
  2. Web uygulaması güvenlik açıkları da oldukça yaygındır. Acunetix, web sitelerinin% 46’sının bu tür bir güvenlik açığına sahip olduğunu buldu.
  3. Bu tür web sitesi güvenlik açığı da artıyor. Akamai’nin araştırmasına göre, SQL enjeksiyonu ve siteler arası komut dosyası saldırıları 2018’de% 38 arttı. En popüler CMS, WordPress, SQL enjeksiyonlarının ortak bir hedefidir, çünkü en popüler WordPress ana bilgisayarları varsayılan olarak SQL kullanır.
  4. Formjacking de 2018’de büyük bir artış gördü. Symantec’e göre, 2018’de ayda form krikoyu istismarlarından etkilenen ortalama web sitesi sayısı 4818 idi..
  5. Acunetix’e göre, web uygulamalarının% 2’si kötü amaçlı bir kullanıcının web sitenizin komut dosyalarında kendi (kötü amaçlı) kodlarını yürütmesine izin veren uzaktan kod yürütülmesine de açıktı. Ve% 2 o kadar yüksek gelmeyebilir, ancak çok sayıda web sitesi göz önüne alındığında, bu çok sayıda savunmasız web sitesini temsil ediyor.
  6. Aslında, 2020 yılında Yerel Alan Ağı (LAN) penetrasyonunun büyük çoğunluğu, web uygulama zayıflıklarından kaynaklanmıştır..

Alt çizgi

Ve işte buradayız: 2020’deki web sitesi güvenlik açığı ölçeği ve en yaygın istismar biçimleri.

Bu rakamlar şok edici olabilir, ancak birkaç yıldır hepimizin bildiği bir gerçeği doğrularlar. Siber suç ölçeği büyük bir sorundur ve çözmek için hiçbir yerde olmadığımız bir sorundur.

Web sitenizi güvence altına almak için bazı temel adımlar atmak, bu siber saldırılara olan duyarlılığınızı sınırlamanıza ve işinizi bunlardan kurtarmanıza yardımcı olabilir. Ayrıca yalnız olmadığınızı da hatırlamalısınız – Kanada’daki en iyi web barındırma şirketlerinden birini kullanırsanız, web sitenizi güvende tutabilecek güvenlik araçları sağlayarak yardımcı olurlar..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector