Vietnes bieži sastopamās ievainojamības

2018. gads ir liecinieks dažiem no lielākajiem kiberuzbrukumiem, kādi jebkad pieredzēti: hakeru veikšana Marriott grupā, Equifax, Yahoo un Facebook – visi tie izraisīja būtiskus datu pārkāpumus. Tam pievieno pastiprinātu iejaukšanos vēlēšanu procesos visā pasaulē, un ir skaidrs, ka mēs saskaramies ar krīzi.


Tas jau kādu laiku ir skaidrs, bet no statistikas jūs to nezināt.

Tā vietā šķiet, ka 2020. gadā tīmekļa vietnes kļūst mazāk drošas.

Ptsecurity atklāja, ka 2018. gada beigās pēc daudzu gadu ilgas samazināšanās atkal bija vērojama tīmekļa lietojumprogrammu ievainojamība: viņi atklāja, ka 67% procenti tīmekļa lietotņu bija ievainojami ar augstu drošības pakāpi 2018. gada beigās, kas visbiežāk ir nepietiekama autorizācija, patvaļīga faila augšupielāde, ceļa traversa un SQL injekcija.

2020. gadā tas šķiet, ka tendence turpinās. Kaut arī jums var rasties kārdinājums bloķēt sevi, atvienoties no interneta un nekad vairs neveidot cilvēku kontaktus … mēs to iesakām.

Tā vietā jūs varat izvairīties no lielākās daļas no turpmāk uzskaitītajām ievainojamībām, instalējot ugunsmūri un sērfojot tīmeklī tikai tad, kad ir izveidots savienojums caur virtuālo privāto tīklu (VPN). Iepazīstieties ar mūsu ceļvedi par labākajiem VPN pakalpojumiem Kanādā, lai izvēlētos sev piemērotāko.

To sakot, apskatīsim jaunākos datus.

Kibernoziedzības ekonomika

Vispirms apskatīsim kibernoziedzības un kiberdrošības ekonomikas apmērus.

  1. Kibernoziedzības kopējo naudas vērtību ir grūti novērtēt, jo īpaši ņemot vērā to, ka daudzi uzņēmumi veiksmīgi noslēpumus glabā. Bet Accenture pētījumos atklāts, ka tiešie un netiešie uzbrukumi nākamajiem pieciem gadiem pakļauj risku 5,2 triljoniem dolāru.
  2. Aplūkojot monētas otru pusi, veiktie pētījumi Globālā tirgus ieskatā kiberdrošības tirgus apmēru palielina līdz 300 miljardiem dolāru gadā līdz 2024. gadam..
  3. ASV kiberdrošība ir galvenā valdības līdzekļu izlietne. Saskaņā ar Baltā nama atbrīvoto 2020. gada budžetu valdība 2020. gadā plāno tērēt 15 miljardus dolāru patērētāju, uzņēmumu un kritiskās infrastruktūras aizsardzībai. Tas ir par 4,1% vairāk nekā 2018. gadā..
  4. Tas ir milzīgs skaits, un mazajiem uzņēmumiem ir grūti sekot līdzi. Juniper Research atklāja, ka 2018. gadā vidējais mazais bizness kiberdrošībai iztērēja mazāk nekā USD 500 gadā.
  5. Satraucošs ir arī zemais MVU ieguldījumu līmenis kibernoziegumos, jo SCORE ir secinājis, ka MVU ir mērķis 43% no visiem kiberuzbrukumiem.
  6. Runājot par hacku atklāšanu un ziņošanu par tām, mēs gūstam nelielu progresu, bet ne daudz. Saskaņā ar riska balstītu drošību vidējais laiks ziņot par datu pārkāpumiem 2020. gadā bija 49,6 dienas. Tas ir nedaudz labāk nekā 50 dienas 2018. gadā, joprojām uztrauc.
  7. Plašākā mērogā kibernoziedzība joprojām pieaug. Accenture veiktajā devītajā ikgadējā kibernoziedzības izmaksu aptaujā tika noskaidrots, ka drošības pārkāpumi 2018. gadā ir palielinājušies par 11%, un tas, domājams, turpināsies līdz 2020. gadam..
  8. Tajā pašā aptaujā arī ilgāk apskatīja kiberuzbrukumu pieaugumu un atklāja, ka pēdējo piecu gadu laikā to skaits ir palielinājies par 67%..

Haku izmaksas

Viennozīmīgais kibernoziedzības mērogs un tajā iesaistītais lielais skaits dažkārt var nozīmēt, ka var aizmirst hakeru upurus – privātpersonas, uzņēmumus un pat valdības. Apskatīsim kibernoziedzības reālo situāciju.

  1. Kiberdrošības Ventures gada noziedzības ziņojumā par 2020. gadu ir daži skaitļi par hakeru sekām uzņēmumiem. Viņi ir secinājuši, ka paredzams, ka kibernoziegumu radītie zaudējumi uzņēmumiem līdz 2021. gadam izmaksās 6 triljonus dolāru gadā – skaitlis, uz kuru viņi norāda, ka “ir lielākais bagātības nodošana cilvēces vēsturē”..
  2. No šiem 6 triljoniem dolāru visstraujāk aug ransomware zaudējumi. Kiberdrošības Ventures saka, ka rensomware izmaksas līdz 2021. gadam sasniegs 20 miljardus USD.
  3. Saskaņā ar Accenture globālo pētījumu vidējās kibernoziedzības izmaksas organizācijām tiek lēstas 13 miljonu dolāru gadā.

Upuri

Kibernoziedzība ir milzīga problēma, kas attiecas uz uzņēmumu rentabilitāti un ilgtspēju. Bet veiksmīgai hacki var būt arī smagas sekas milzīgam skaitam patērētāju.

  1. Izņemsim vienu lietu no malas: saskaņā ar Nortona pētījumu ASV ir kiberuzbrukumu mērķis numur viens. Tā varētu būt viena statistika, kurā ASV pilsoņi mazāk nekā lepojas, ka ir 1. vietā.
  2. ASV vairāk nekā 60% pilsoņu ir bijuši pakļauti krāpšanai tiešsaistē, teikts Amerikas CPAs institūta ziņojumā.
  3. Gallup ikgadējais noziedzības pētījums izskatās nedaudz dziļāks, un ir atklājies, ka kibernoziegumu līmenis ASV ir satriecošs. 23% amerikāņu ziņo, ka viņi vai kāds viņu pazīstams ir tiešs kibernoziegumu upuris.
  4. Lielākā daļa šo cilvēku ir kļuvuši par upuriem tikai nedaudziem milzīgiem datu pārkāpumiem. 2018. gadā saskaņā ar RBS ziņojumu tikai 12 datu pārkāpumi atklāja vairāk nekā trīs ceturtdaļas no visiem ierakstiem, kas tajā gadā bija apdraudēti. Ierakstu skaits? Vairāk nekā 100 miljoni.
  5. Raugoties nākotnē, Juniper Research apgalvo, ka līdz 2021. gadam tiks nozagti 33 miljardi ierakstu gadā.

Kibernoziedzība pēc nozares

Dažas nozares, iespējams, ir kibernoziedzības mērķis nekā citas. Jo īpaši tie uzņēmumi, kas strādā ar kritisko infrastruktūru vai konfidenciālu personisko informāciju, ir visvairāk pakļauti riskam.

  1. Pašlaik priekšroka tiek dota ražotājiem un kalnrūpniecības uzņēmumiem. Make UK un AIG ziņojumā noskaidrots, ka 48% ražotāju Lielbritānijā ir vērsti pret kibernoziedzniekiem, un saskaņā ar Symantec interneta drošības riska ziņojumu 38,4% ieguves rūpniecības uzņēmumu ir redzējuši līdzīgus uzbrukumus.
  2. Nākotnē veselības aprūpes uzņēmumiem tiks pievērsta arvien lielāka uzmanība. Kiberdrošības uzņēmumi ir paziņojuši, ka viņi sagaida, ka uzbrukumi pret veselības aprūpes uzņēmumiem līdz 2021. gadam palielināsies piecas reizes (jā, piecas reizes)..
  3. Saskaņā ar Symantec interneta drošības riska ziņojumu arvien vairāk tiek mērķēts arī uz publisko sektoru. Viens no katriem 302 e-pastiem, ko valsts darbinieki saņēmuši 2020. gadā, ir bijis krāpšana.
  4. Ļaunprātīgas programmatūras skaits arī pieaug, īpaši banku un finanšu nozarē. Kaspersky Labs nesen ir atjauninājis savu ļaundabīgo programmu saimes sarakstu, iekļaujot vairāk nekā 20 ļaunprātīgas ATM programmatūras veidus.

Populārākie haki

Tagad negodīgo galerijā: 2018. gada (un 2020. gada sākuma) lielākie hacks un katrā no tiem cietušo skaits.

  1. Faktiski lielākais 2018. gada hack notika ārpus ASV. Neticami 1,5 miljardu Indijas pilsoņu personīgās informācijas noplūde notika uzlaušanas laikā valsts nacionālajā identifikācijas datu bāzē. Tas ir gandrīz ikviens valstī.
  2. ASV 2020. gada lielākais hack bija arī lielākais datu pārkāpums vēsturē. Martā It drošības pētnieks atrada datu bāzi ar nosaukumu “Collection 1”, kurā bija 1,16 miljardu cilvēku e-pasta adreses un paroles..
  3. Šķiet, ka Facebook katru gadu notiek būtisks datu pārkāpums, un 2020. gads nav bijis izņēmums. Saskaņā ar Upguard ziņojumu tika publiski atklāti 540 miljoni ierakstu.
  4. Saraksts turpinās. Marriott grupa atklāja 500 miljonu lietotāju personisko informāciju 2018. gada beigās, un 340 miljonu klientu ieraksti tika atbrīvoti no pārkāpumiem no Exactis, saskaņā ar CNET.

Visizplatītākie vietņu ievainojamības veidi

Tagad mums ir ideja par kibernoziedzības mērogu, apskatīsim uzņēmumu un citu organizāciju izplatītākos ievainojamības avotus: viņu vietnes.

Aplūkojot visizplatītākās vietņu ievainojamības 2020. gadā, tas ir nedaudz nomācošs uzdevums. Tas ir tāpēc, ka visizplatītākās (un visbīstamākās) ievainojamības ir tās, kas bija vienā un tajā pašā sarakstā 2018., 2008. un 1988. gadā.

Tie ir: DDoS uzbrukumi, ļaunprātīgas programmatūras infekcija, Cilvēks vidējos uzbrukumos un vāji nodrošinātas tīmekļa lietotnes.

Apskatīsim katru atsevišķi.

DDoS uzbrukumi

Izplatīti pakalpojumu liegšanas (DDoS) uzbrukumi ir biežāk nekā jebkad agrāk, un tie joprojām ir populārākais vietņu uzbrukuma veids.

  1. Ņemot to vērā, nav pārsteidzoši, ka 2018. gadā notika visu laiku lielākais DDoS uzbrukums. Saskaņā ar NETSCOUT teikto “ASV bāzēts pakalpojumu sniedzējs” bija pārdomu / pastiprināšanas uzbrukuma mērķis, kas viņu vietnē nonāca ar 1,7 terabaitiem ļaunprātīgu pieprasījumu sekundē. Zināmā perspektīvā tas ir līdzvērtīgs joslas platums, ja vienlaikus straumē 200 000 HD televīzijas pārraižu.
  2. DDoS arī veido lielu daļu no kibernoziedzības izmaksām. Bulletproof ikgadējā kiberdrošības pārskatā no 2020. gada tika atklāts, ka DDoS uzbrukums lieliem uzņēmumiem parasti izmaksā USD 2 miljonus, bet mazākiem uzņēmumiem – par 120 000 USD.
  3. Tas nav pārsteidzoši, ņemot vērā, ka DDoS “uzbrukumu komplekti”, kurus var iegādāties Dark Web, maksā apmēram 20 USD, teikts Ars Technica rakstā.
  4. Saskaņā ar NETSCOUT vidējais laiks, kas nepieciešams, lai no jauna ar internetu savienota ierīce uzbrūk DDoS pieprasījumam, ir 5 minūtes..
  5. Visi šie statistikas dati ir pazīstami, taču DDoS uzbrukumi parāda arī dažas jaunas iespējas. Pēc Kaspersky vārdiem, piemēram, Ķīna 2018. gada beigās bija vairāk nekā 50% no DDoS uzbrukumiem.
  6. Citas bažas rada tas, ka, pieliekot vairāk IoT ierīču, nekā jebkad ir bijis savienots ar tīmekli, DDoS uzbrukumu jauda tikai palielināsies. Gartners ir aprēķinājis, ka IoT ierīču skaits līdz 2020. gadam sasniegs 20,4 miljardus un tas DDoS uzbrukumus padarīs bīstamākus nekā jebkad agrāk.

Ļaunprātīga programmatūra

Ļaunprātīga programmatūra joprojām ir milzīga problēma. Faktiski ļaunprātīga programmatūra ir izplatītāka nekā jebkad agrāk.

  1. E-pasts joprojām ir visizplatītākais kaitīgās programmatūras izplatīšanas veids. CSO Online ziņo, ka e-pasts ir atbildīgs par līdz pat 92% ļaunprātīgas programmatūras izplatīšanu. Bet tas nenozīmē, ka vietnes nav neaizsargātas pret ļaunprātīgu programmatūru.
  2. Lielākā daļa ļaunprātīgas programmatūras tagad tiek izplatīta kā ļaunprātīgi skripti. PowerShell skripti jau sen ir milzīgs ievainojamības avots, taču Symantec ir atklājis, ka ļaunprātīgu Powershell skriptu izmantošana 2018. gadā pieauga par 1000%. Tajā pašā ziņojumā tika atklāts, ka skripti veido 47,5% no ļaunprātīgiem e-pasta pielikumiem..
  3. Ļaunprātīga programmatūra ietekmē visu veidu ierīces un klēpjdatorus, planšetdatorus un viedtālruņus var apdraudēt vietnēs. Faktiski viedtālruņi varētu kļūt par lielāko ļaunprātīgas programmatūras avotu nākamajā desmitgadē: mobilā izpirkuma programmatūra gadā palielinājās par 33%, liecina Symantec dati.
  4. Ļaunprātīga programmatūra arī tagad ir milzīgs drauds uzņēmumiem. Kā atklāja Symantec, 2020. gadā īpaši pret uzņēmumiem vērsta ļaunprogrammatūra pieauga par 12%.

Cilvēks vidējos uzbrukumos

Galvenais vietņu neaizsargātības avots ir vidēja uzbrukuma cilvēki. Vietnēm ar zemu drošību hakeriem ir samērā viegli ievietot sevi starp klientiem un vietņu īpašniekiem un pārtvert visu starp viņiem sūtāmo informāciju..

Arī MITM uzbrukumi, kā zināms, pieaug.

  1. Piemēram, MITM paņēmieni tika iesaistīti 35% vietņu izmantošanā 2018. gadā saskaņā ar IBM X-Force draudu izlūkošanas indeksu 2020. gadā..
  2. Tas nav pārsteidzoši, ņemot vērā, cik daudzi uzņēmumi ir nesagatavoti MITM uzbrukumiem. Piemēram, Netcraft ir atklājis, ka 95% HTTP serveru 2016. gadā bija neaizsargāti pret MiTM, un kopš tā laika ir izdarīts maz..
  3. Vēl satraucošāks joprojām ir fakts, ka tikai 10% uzņēmumu ir ieviesuši HSTS savās vietnēs, kas viņiem ļauj atvērt uzbrukumus. W3Techs veica šo pētījumu un arī ieteica visām vietnēm pēc iespējas ātrāk ieviest protokolu.

Tīmekļa lietojumprogrammu uzbrukumi

Tīmekļa lietotnes tagad ir neatņemama gandrīz katras vietnes sastāvdaļa, un to izmantošanas palielināšanās ir papildināta ar līdzīgu to izmantošanas pieaugumu. Saskaņā ar Imperva pētījumu, piemēram, vairāk nekā pusei tīmekļa lietotņu ir publiska izmantošana, kas ir pieejama hakeriem, un vairāk nekā trešdaļai no šiem izmantošanas veidiem nav risinājuma..

  1. Saskaņā ar TrustWave ziņojumu visbiežāk sastopamie tīmekļa lietojumprogrammu uzbrukumu veidi ir tādi, kas izmanto vietņu skriptus (XSS), kas veidoja apmēram 40% no šādiem uzbrukumiem, un SQL injekcijas, kas veidoja 24%.
  2. Īpaši izplatītas ir arī tīmekļa lietojumprogrammu ievainojamības. Acunetix ir atklājuši, ka 46% vietņu ir šāda veida ievainojamība.
  3. Arī šāda veida vietņu neaizsargātība pieaug. SQL injekcija un vietņu skriptu uzbrukumi 2018. gadā palielinājās par 38%, liecina Akamai pētījumi. WordPress, līdz šim vispopulārākais CMS, ir izplatīts SQL injekciju mērķis, jo populārākie WordPress saimnieki SQL izmanto pēc noklusējuma.
  4. Arī formjacking 2018. gadā bija milzīgs pieaugums. 2018. gadā vidējais vietņu skaits, kurām kompromitēti formveida jacking izmantošanas gadījumi, mēnesī bija 4818, saskaņā ar Symantec.
  5. Saskaņā ar Acunetix teikto, 2% tīmekļa lietojumprogrammu bija arī jutīgas pret attālo koda izpildi, kas ļaunprātīgam lietotājam ļauj jūsu vietnes skriptos izpildīt viņu pašu (ļaunprātīgu) kodu. Un, lai arī 2% varētu neizklausīties tik augsti, ņemot vērā milzīgo vietņu skaitu, tas nozīmē milzīgu skaitu neaizsargātu vietņu.
  6. Faktiski vairākums lokālā tīkla (LAN) izplatības 2020. gadā ir noticis tīmekļa lietojumprogrammu nepilnību dēļ, liecina uzņēmuma Positive Technologies pētījumi..

Grunts līnija

Un tur mums tas ir: vietņu neaizsargātības mērogs 2020. gadā un visbiežāk izmantotie veidi.

Šie skaitļi varētu būt šokējoši, taču tie apstiprina patiesību, kuru mēs visi zinām jau vairākus gadus. Kibernoziedzības mērogs ir milzīga problēma, un tādu problēmu, kuru mēs gandrīz neatrisinām.

Dažu pamata darbību veikšana, lai aizsargātu jūsu vietni, var palīdzēt ierobežot jūsu uzņēmību pret šiem kiberuzbrukumiem un potenciāli ietaupīt jūsu biznesu no tiem. Un jums arī jāatceras, ka jūs neesat viens – ja izmantojat vienu no labākajiem tīmekļa mitināšanas uzņēmumiem Kanādā, viņi palīdzēs, nodrošinot drošības rīkus, kas jūsu vietni var aizsargāt.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector