Lỗ hổng trang web phổ biến

Năm 2018 chứng kiến ​​một số vụ tấn công mạng lớn nhất từng thấy: các vụ hack trên Tập đoàn Marriott, Equachus, Yahoo và Facebook đều dẫn đến các vi phạm dữ liệu lớn. Thêm vào đó là sự can thiệp ở cấp độ gia tăng trong quá trình bầu cử trên toàn thế giới và rõ ràng là chúng ta đang phải đối mặt với một cuộc khủng hoảng.


Điều này đã rõ ràng trong một thời gian, nhưng bạn sẽ biết rằng từ các số liệu thống kê.

Thay vào đó, vào năm 2020, các trang web dường như không an toàn hơn.

Ptsecurance nhận thấy rằng, vào cuối năm 2018, lỗ hổng của các ứng dụng web đã tăng trở lại, sau nhiều năm giảm: họ thấy rằng 67% phần trăm ứng dụng web có lỗ hổng bảo mật cao vào cuối năm 2018, trong đó phổ biến nhất là Ủy quyền không đủ, Tải lên tệp tùy ý, Truyền tải đường dẫn và SQL SQL.

Năm 2020, đó xu hướng dường như đang tiếp tục. Mặc dù bạn có thể muốn tự nhốt mình bên trong, rút ​​phích cắm ra khỏi internet và không bao giờ liên lạc với con người nữa, chúng tôi sẽ khuyên bạn nên chống lại điều đó.

Thay vào đó, bạn có thể tránh hầu hết các lỗ hổng được liệt kê bên dưới bằng cách cài đặt tường lửa và chỉ lướt web khi được kết nối qua mạng riêng ảo (VPN). Hãy xem hướng dẫn của chúng tôi về các dịch vụ VPN tốt nhất ở Canada để chọn một dịch vụ phù hợp với bạn.

Điều đó nói rằng, hãy để Lôi nhìn vào dữ liệu mới nhất.

Nền kinh tế tội phạm mạng

Trước tiên, hãy để Lôi nhìn vào quy mô của nền kinh tế tội phạm mạng và an ninh mạng.

  1. Tổng giá trị tiền tệ của tội phạm mạng rất khó đánh giá, đặc biệt là khi nhiều công ty giữ bí mật hack thành công. Nhưng nghiên cứu của Acckey đã phát hiện ra rằng các cuộc tấn công trực tiếp và gián tiếp gây rủi ro 5,2 nghìn tỷ đô la trong năm năm tới.
  2. Nhìn vào mặt khác của đồng tiền, nghiên cứu đã thực hiện Global Market Insights đặt quy mô của thị trường an ninh mạng ở mức 300 tỷ đô la mỗi năm vào năm 2024.
  3. Ở Mỹ, an ninh mạng là một sự sụp đổ lớn đối với các quỹ của chính phủ. Theo ngân sách năm 2020 do Nhà Trắng công bố, chính phủ có kế hoạch chi 15 tỷ đô la để bảo vệ người tiêu dùng, doanh nghiệp và cơ sở hạ tầng quan trọng vào năm 2020. Đây là mức tăng 4,1% vào năm 2018.
  4. Đây là những con số khổng lồ và các doanh nghiệp nhỏ đang gặp khó khăn trong việc theo kịp. Juniper Research phát hiện ra rằng vào năm 2018, doanh nghiệp nhỏ trung bình đã chi ít hơn 500 đô la mỗi năm cho an ninh mạng.
  5. Mức đầu tư thấp của các doanh nghiệp vừa và nhỏ vào tội phạm mạng cũng đáng lo ngại, bởi vì SCORE đã phát hiện ra rằng các doanh nghiệp vừa và nhỏ là mục tiêu của 43% trong tất cả các cuộc tấn công mạng.
  6. Khi nói đến việc phát hiện và báo cáo các vụ hack, chúng tôi đang thực hiện một số tiến bộ, nhưng không nhiều. Thời gian trung bình để báo cáo các vi phạm dữ liệu trong năm 2020 là 49,6 ngày, theo Rủi ro Dựa trên Bảo mật. Điều này tốt hơn một chút so với hơn 50 ngày trong năm 2018, vẫn còn liên quan.
  7. Ở quy mô rộng nhất, tội phạm mạng vẫn đang gia tăng. Cuộc điều tra chi phí tội phạm mạng hàng năm lần thứ 9 của Acckey cho thấy các vi phạm an ninh đã tăng 11% trong năm 2018 và điều này có thể sẽ tiếp tục vào năm 2020.
  8. Cuộc khảo sát tương tự cũng đã có một cái nhìn dài hạn hơn về sự gia tăng của các cuộc tấn công mạng và thấy rằng chúng đã tăng 67% trong năm năm qua.

Chi phí của Hacks

Quy mô tội phạm mạng và số lượng khổng lồ liên quan, đôi khi có thể có nghĩa là nạn nhân của các vụ hack – cá nhân, công ty và thậm chí cả chính phủ – có thể bị lãng quên. Vì vậy, hãy để Lôi nhìn vào những ảnh hưởng thực tế của tội phạm mạng.

  1. Báo cáo Tội phạm hàng năm của Tổ chức An ninh mạng năm 2020 đưa ra một số con số về hậu quả của các vụ hack đối với các doanh nghiệp. Họ đã phát hiện ra rằng thiệt hại do tội phạm mạng dự kiến ​​sẽ tiêu tốn của các doanh nghiệp 6 nghìn tỷ đô la hàng năm vào năm 2021, một con số mà họ chỉ ra là đại diện cho sự chuyển giao tài sản lớn nhất trong lịch sử loài người..
  2. Trong số 6 nghìn tỷ đô la này, thiệt hại về ransomware là tăng nhanh nhất. An ninh mạng nói rằng chi phí của ransomware sẽ đạt 20 tỷ đô la vào năm 2021.
  3. Theo nghiên cứu toàn cầu của Accoji, chi phí trung bình của tội phạm mạng cho các tổ chức được ước tính là 13 triệu đô la mỗi năm.

Các nạn nhân

Tội phạm mạng là một vấn đề lớn khi nói đến lợi nhuận và tính bền vững của các công ty. Nhưng hack thành công cũng có thể gây hậu quả nghiêm trọng cho số lượng lớn người tiêu dùng.

  1. Theo nghiên cứu của Norton, hãy để một thứ khác trên đường đi: Hoa Kỳ là mục tiêu số một của các cuộc tấn công mạng. Đó có thể là một thống kê mà công dân Hoa Kỳ không tự hào là số 1.
  2. Tại Mỹ, hơn 60% công dân đã bị phơi bày với gian lận trực tuyến, theo báo cáo của Viện CPA Hoa Kỳ.
  3. Khảo sát tội phạm hàng năm của Gallup, có vẻ sâu hơn một chút, và đã phát hiện ra rằng quy mô của tội phạm mạng ở Hoa Kỳ là đáng kinh ngạc. 23% người Mỹ báo cáo rằng họ hoặc ai đó mà họ biết là nạn nhân trực tiếp của tội phạm mạng.
  4. Phần lớn những người này trở thành nạn nhân của một số lượng nhỏ các vi phạm dữ liệu khổng lồ. Năm 2018, theo báo cáo của RBS, chỉ có 12 vụ vi phạm dữ liệu đã phơi bày hơn ba phần tư của tất cả các hồ sơ bị xâm phạm trong năm đó. Số lượng hồ sơ? Hơn 100 triệu.
  5. Nhìn về tương lai, Juniper Research tuyên bố rằng 33 tỷ hồ sơ mỗi năm sẽ bị đánh cắp vào năm 2021.

Tội phạm mạng theo ngành

Một số ngành có nhiều khả năng là mục tiêu của tội phạm mạng hơn những ngành khác. Đặc biệt, các công ty làm việc với cơ sở hạ tầng quan trọng, hoặc thông tin cá nhân nhạy cảm, có nguy cơ cao nhất.

  1. Hiện tại, các nhà sản xuất và các công ty khai thác là mục tiêu ưa thích. Báo cáo của Make UK và AIG cho thấy 48% các nhà sản xuất ở Anh đã bị tội phạm mạng nhắm đến, và theo Báo cáo Rủi ro An ninh Internet của Symantec, 38,4% các công ty trong ngành khai thác đã thấy các cuộc tấn công tương tự.
  2. Trong tương lai, các công ty chăm sóc sức khỏe sẽ ngày càng được nhắm mục tiêu. Tổ chức bảo mật không gian mạng đã nói rằng họ hy vọng các cuộc tấn công chống lại các công ty chăm sóc sức khỏe sẽ tăng gấp năm lần (vâng, năm lần) vào năm 2021.
  3. Theo Báo cáo Rủi ro An ninh Internet của Symantec, khu vực công cũng đang ngày càng được nhắm mục tiêu. Một trong số 302 email mà nhân viên công nhận được vào năm 2020 là một trò lừa đảo.
  4. Phần mềm độc hại cũng đang gia tăng, đặc biệt là trong ngành tài chính ngân hàng. Kaspersky Labs gần đây đã cập nhật danh sách các gia đình phần mềm độc hại của họ để bao gồm hơn 20 loại phần mềm ATM độc hại.

Hacks hàng đầu

Bây giờ cho phòng trưng bày lừa đảo: vụ hack lớn nhất năm 2018 (và đầu năm 2020), và số nạn nhân của mỗi.

  1. Thực tế vụ hack lớn nhất năm 2018 đã ở bên ngoài nước Mỹ. Một 1,5 tỷ công dân Ấn Độ đáng kinh ngạc đã bị rò rỉ thông tin cá nhân của họ trong vụ hack trên cơ sở dữ liệu ID quốc gia của đất nước. Đó là hầu hết mọi người trong nước.
  2. Tại Mỹ, vụ hack lớn nhất năm 2020 cũng là vụ vi phạm dữ liệu lớn nhất trong lịch sử. Vào tháng 3, một nhà nghiên cứu bảo mật của It đã tìm thấy một cơ sở dữ liệu có tên là Bộ sưu tập 1, có chứa địa chỉ email và mật khẩu của 1,16 tỷ người.
  3. Facebook dường như có một sự vi phạm dữ liệu lớn hàng năm và năm 2020 cũng không ngoại lệ. Theo báo cáo của Upguard, 540 triệu hồ sơ đã bị lộ..
  4. Danh sách cứ kéo dài. Tập đoàn Marriott tiết lộ thông tin cá nhân của 500 triệu người dùng vào cuối năm 2018 và 340 triệu hồ sơ khách hàng đã được phát hành do vi phạm từ Exactis, theo CNET.

Các loại phổ biến nhất của lỗ hổng trang web

Bây giờ chúng ta đã có một số ý tưởng về quy mô của tội phạm mạng, hãy để Lôi nhìn vào nguồn lỗ hổng phổ biến nhất cho các doanh nghiệp và các tổ chức khác: trang web của họ.

Nhìn vào các lỗ hổng trang web phổ biến nhất trong năm 2020 là một nhiệm vụ hơi thất vọng. Đó là những lỗ hổng phổ biến nhất (và nguy hiểm nhất) là những lỗ hổng nằm trong cùng danh sách năm 2018, năm 2008 và năm 1988.

Đó là: Tấn công DDoS, nhiễm phần mềm độc hại, Tấn công trung gian và Ứng dụng web được bảo mật kém.

Hãy để chúng tôi xem xét riêng.

Tấn công DDoS

Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) phổ biến hơn bao giờ hết và vẫn là hình thức tấn công trang web phổ biến nhất.

  1. Với điều này, không có gì đáng ngạc nhiên khi năm 2018 chứng kiến ​​cuộc tấn công DDoS lớn nhất từ ​​trước đến nay. Một nhà cung cấp dịch vụ có trụ sở tại Hoa Kỳ, theo NETSCOUT, là mục tiêu của một cuộc tấn công phản xạ / khuếch đại tấn công trang web của họ với 1,7 terabyte yêu cầu độc hại mỗi giây. Đối với một số góc nhìn, đó là băng thông tương đương của phát 200.000 chương trình truyền hình HD.
  2. DDoS cũng chiếm một phần lớn chi phí của tội phạm mạng. Báo cáo an ninh mạng hàng năm của Bulletproof từ năm 2020 cho thấy một cuộc tấn công DDoS thường tiêu tốn của các công ty lớn 2 triệu đô la và các công ty nhỏ hơn 120.000 đô la.
  3. Điều đó không có gì đáng ngạc nhiên, vì các bộ công cụ tấn công DDoS, có sẵn để mua trên Dark Web, có giá khoảng 20 đô la, theo một bài báo của Ars Technica.
  4. Thời gian trung bình cần thiết cho một thiết bị, mới được kết nối với internet, để bị tấn công bởi yêu cầu DDoS là 5 phút, theo NETSCOUT.
  5. Tất cả các số liệu thống kê này đều quen thuộc, nhưng các cuộc tấn công DDoS cũng cho thấy một số tính năng mới. Theo Kaspersky, chẳng hạn, Trung Quốc chiếm hơn 50% các cuộc tấn công DDoS vào cuối năm 2018.
  6. Một mối quan tâm khác là, với nhiều thiết bị IoT hơn bao giờ được kết nối với web, sức mạnh của các cuộc tấn công DDoS chỉ có khả năng tăng lên. Gartner đã ước tính rằng số lượng thiết bị IoT sẽ đạt 20,4 tỷ vào năm 2020 và điều này sẽ khiến các cuộc tấn công DDoS trở nên nguy hiểm hơn bao giờ hết.

Phần mềm độc hại

Phần mềm độc hại vẫn là một vấn đề lớn. Trên thực tế, phần mềm độc hại phổ biến hơn bao giờ hết.

  1. Email vẫn là cách phổ biến nhất để phần mềm độc hại lây lan. CSO Online đã báo cáo rằng email có trách nhiệm phát tán tới 92% trường hợp phần mềm độc hại. Nhưng điều đó không có nghĩa là các trang web không dễ bị phần mềm độc hại..
  2. Hầu hết các phần mềm độc hại hiện được phân phối dưới dạng các tập lệnh độc hại. Các tập lệnh PowerShell từ lâu đã là một nguồn lỗ hổng lớn, nhưng Symantec đã phát hiện ra rằng việc sử dụng các tập lệnh Powershell độc hại đã tăng 1000% trong năm 2018. Báo cáo tương tự cho thấy các tập lệnh hình thành 47,5% các tệp đính kèm email độc hại.
  3. Phần mềm độc hại ảnh hưởng đến tất cả các loại thiết bị và có thể là mối đe dọa cho các trang web từ máy tính xách tay, máy tính bảng và điện thoại thông minh. Trên thực tế, điện thoại thông minh có thể trở thành nguồn phần mềm độc hại lớn nhất trong thập kỷ tới: ransomware di động tăng 33% trong năm sau, theo Symantec.
  4. Phần mềm độc hại cũng là một mối đe dọa lớn cho các doanh nghiệp. Phần mềm độc hại nhắm mục tiêu cụ thể vào các doanh nghiệp tăng 12% vào năm 2020, như Symantec tìm thấy.

Người đàn ông ở giữa tấn công

Một nguồn chính của lỗ hổng trang web là con người trong các cuộc tấn công giữa. Đối với các trang web được bảo mật kém, tin tặc có thể dễ dàng chèn vào giữa khách hàng và chủ sở hữu trang web và chặn tất cả thông tin được gửi giữa họ.

Các cuộc tấn công MITM, như đã biết, cũng đang gia tăng.

  1. Chẳng hạn, các kỹ thuật MITM đã tham gia vào 35% khai thác trang web vào năm 2018, theo Chỉ số Thông minh Mối đe dọa X-Force Threat 2020 của IBM.
  2. Điều này không có gì đáng ngạc nhiên, do nhiều doanh nghiệp chưa chuẩn bị cho các cuộc tấn công MITM. Ví dụ, Netcraft đã phát hiện ra rằng 95% máy chủ HTTP dễ bị tổn thương với MiTM vào năm 2016 và từ đó đã có rất ít việc được thực hiện để khắc phục các lỗ hổng này.
  3. Đáng lo ngại hơn nữa là thực tế là chỉ có 10% các công ty đã triển khai HSTS cho các trang web của họ, điều này khiến họ bỏ ngỏ để tấn công. W3Tech đã thực hiện nghiên cứu này và cũng khuyến nghị tất cả các trang web triển khai giao thức càng sớm càng tốt.

Tấn công ứng dụng web

Các ứng dụng web hiện là một phần không thể thiếu của hầu hết mọi trang web và sự gia tăng sử dụng của chúng đi kèm với sự gia tăng tương tự trong khai thác của chúng. Theo nghiên cứu của Imperva, chẳng hạn, hơn một nửa ứng dụng web có khai thác công khai có sẵn cho tin tặc và hơn một phần ba trong số các khai thác này không có giải pháp.

  1. Các hình thức tấn công ứng dụng web phổ biến nhất, theo báo cáo của TrustWave, là các hình thức khai thác kịch bản chéo trang (XSS), chiếm khoảng 40% các cuộc tấn công như vậy và SQL tiêm, chiếm 24%.
  2. Lỗ hổng ứng dụng web cũng cực kỳ phổ biến. Acunetix đã phát hiện ra rằng 46% các trang web có loại lỗ hổng này.
  3. Loại lỗ hổng trang web này cũng đang gia tăng. Theo các nghiên cứu của Akamai, SQL và các cuộc tấn công kịch bản chéo trang web đã tăng 38% trong năm 2018. WordPress, CMS phổ biến nhất cho đến nay, là mục tiêu phổ biến của việc tiêm SQL vì hầu hết các máy chủ WordPress phổ biến đều sử dụng SQL theo mặc định.
  4. Formjacking cũng chứng kiến ​​sự gia tăng rất lớn trong năm 2018. Số lượng trang web trung bình bị xâm phạm do khai thác theo hình thức mỗi tháng trong năm 2018 là 4808, theo Symantec.
  5. Theo Acunetix, 2% ứng dụng web cũng dễ bị thực thi mã từ xa, cho phép người dùng độc hại thực thi mã (độc hại) của riêng họ trong tập lệnh của trang web của bạn. Và trong khi 2% có thể không nghe cao như vậy, với số lượng trang web khổng lồ ngoài kia, điều này thể hiện một số lượng lớn các trang web dễ bị tổn thương.
  6. Trên thực tế, phần lớn sự thâm nhập của Mạng cục bộ (LAN) vào năm 2020 là do các điểm yếu của ứng dụng web, theo nghiên cứu của positive Technologies.

Điểm mấu chốt

Và chúng ta có nó: quy mô của lỗ hổng trang web vào năm 2020 và các hình thức khai thác phổ biến nhất.

Những con số này có thể gây sốc, nhưng chúng xác nhận một sự thật mà chúng ta đã biết trong một vài năm. Quy mô của tội phạm mạng là một vấn đề lớn và là vấn đề mà chúng ta không thể giải quyết được.

Thực hiện một số bước cơ bản để bảo mật trang web của bạn có thể giúp hạn chế tính nhạy cảm của bạn đối với các cuộc tấn công mạng này và có khả năng cứu doanh nghiệp của bạn khỏi chúng. Và bạn cũng nên nhớ rằng bạn không đơn độc – nếu bạn sử dụng một trong những công ty lưu trữ web tốt nhất ở Canada, họ sẽ giúp đỡ bằng cách cung cấp các công cụ bảo mật có thể giữ an toàn cho trang web của bạn.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map