Uobičajene ranjivosti web stranica

2018. svjedoče o nekim najvećim cyber napadima ikad viđenima: hakovanja na Marriott Group, Equifax, Yahoo i Facebook sve su rezultirala velikim kršenjima podataka. K tome dodajte pojačano uplitanje razine u izborne procese širom svijeta i jasno je da smo suočeni s krizom.


To je jasno već neko vrijeme, ali to ne biste znali iz statistike.

Umjesto toga, čini se da web stranice 2020. postaju manje sigurne.

Ptsecurity je utvrdio da je na kraju 2018. ranjivost web aplikacija ponovno u porastu, nakon višegodišnjeg smanjenja: ustanovili su da 67% posto web aplikacija imalo je ranjivosti visoke sigurnosti na kraju 2018. godine, a to su najčešće nedovoljno autoriziranje, proizvoljno učitavanje datoteka, prolazak puta i SQL ubrizgavanje.

Godine 2020. to čini se da se trend nastavlja. Iako se možete naći u iskušenju da se zatvorite unutra, isključite se iz interneta i nikada više ne uspostavite ljudski kontakt … savjetujemo vam da to ne učinite.

Umjesto toga, većinu gore navedenih ranjivosti možete izbjeći instaliranjem vatrozida i surfanjem Internetom samo ako ste povezani putem virtualne privatne mreže (VPN). Pogledajte naš vodič za najbolje VPN usluge u Kanadi kako biste odabrali onu koja odgovara vama.

To je rečeno, pogledajmo najnovije podatke.

Gospodarstvo protiv kibernetičkih kriminala

Prvo, pogledajmo veličinu ekonomije putem cyber kriminala i kibernetičke sigurnosti.

  1. Ukupnu novčanu vrijednost cyber kriminala teško je procijeniti, pogotovo s obzirom na to da mnoge tvrtke čuvaju uspješne tajne hake. No, istraživanje Accenturea otkrilo je da izravni i neizravni napadi riskiraju 5,2 trilijuna dolara tijekom sljedećih pet godina.
  2. Gledajući s druge strane novčića, istraživanje provedeno na Global Market Insights stavlja veličinu tržišta kibernetičke sigurnosti na 300 milijardi dolara godišnje do 2024. godine.
  3. U SAD-u je cyber-sigurnost glavni sudoper državnih sredstava. Prema proračunu za 2020. godinu koji je objavila Bijela kuća, vlada planira potrošiti 15 milijardi dolara na zaštitu potrošača, poduzeća i kritične infrastrukture do 2020. To je povećanje za 4,1% u 2018. godini.
  4. To je ogroman broj, a male tvrtke se teško prate. Juniper Research je utvrdio da je u 2018. godini prosječna mala tvrtka trošila manje od 500 dolara godišnje na kibernetičku sigurnost.
  5. Zabrinjavajuća je i niska razina ulaganja MSP-a u cyber-kriminale, jer su SCORE otkrili da su mala i srednja poduzeća meta 43% svih cyber-napada.
  6. Kad je riječ o otkrivanju i prijavljivanju hakova, postižemo određeni napredak, ali ne mnogo. Prosječno vrijeme prijavljivanja kršenja podataka u 2020. godini bilo je 49,6 dana, a prema podacima na sigurnosnoj osnovi. Ovo je malo bolje od 50+ dana u 2018., još uvijek se tiče.
  7. U najširem rasponu, cyber kriminal je još uvijek u porastu. Deveto godišnje istraživanje troškova cyber kriminala od strane tvrtke Accenture pokazalo je da su kršenja sigurnosti porasla za 11% u 2018. godini i da će se to vjerojatno nastaviti do 2020. godine.
  8. Ista anketa također je dugoročno razmotrila porast cyber-napada, i otkrila je da su one porasle za 67% u posljednjih pet godina.

Troškovi hakova

Čitava razmjera kibernetičkih kriminala i ogroman broj koji su uključeni ponekad mogu značiti da se žrtve hakova – pojedinci, tvrtke, pa čak i vlade – mogu zaboraviti. Pogledajmo stvarne posljedice cyber kriminala u stvarnom životu.

  1. Godišnje izvješće o kriminalu tvrtke Cybersecurity Ventures za 2020. navodi neke brojke o posljedicama hakiranja za tvrtke. Otkrili su da će šteta od cyber-kriminala koštati poduzeća do 6 trilijuna dolara godišnje do 2021. godine, a broj koji ističu “predstavlja najveći prijenos bogatstva u ljudskoj povijesti”.
  2. Od tih 6 trilijuna dolara štete za otkupni softver najbrže rastu. Cybersecurity Ventures kažu da će trošak ransomwarea do 2021. doseći 20 milijardi dolara.
  3. Prema svjetskoj studiji Accenture, prosječni troškovi kibernetičkog kriminala za organizacije procjenjuju se na 13 milijuna dolara godišnje.

Žrtve

Cyber ​​kriminala je ogroman problem kada je riječ o profitabilnosti i održivosti poduzeća. No, uspješni hakovi također mogu imati ozbiljne posljedice za ogroman broj potrošača.

  1. Izdvojimo jednu stvar: SAD su meta cyber napada, SAD su prema istraživanju Nortona. To bi mogla biti jedna statistika u kojoj su građani SAD-a manje nego ponosni što su broj 1.
  2. U SAD-u više od 60% građana bilo je izloženo internetskoj prijevari, navodi se u izvješću američkog Instituta za CPA.
  3. Gallupova godišnja anketa o kriminalu izgleda malo dublja i otkrila je da je razmjer cyber-kriminala u SAD-u zapanjujući. 23% Amerikanaca izvijestilo je da su oni, ili netko koga poznaju, izravna žrtva cyber-kriminala.
  4. Većina tih ljudi postala je žrtva samo malog broja ogromnih kršenja podataka. U 2018. godini, prema izvješću RBS-a, samo je 12 kršenja podataka otkrilo više od tri četvrtine svih zapisa kompromitiranih te godine. Broj zapisa? Više od 100 milijuna.
  5. Gledajući u budućnost, Juniper Research tvrdi da će do 2021. godine biti ukradeno 33 milijarde zapisa godišnje.

Cyber ​​kriminala prema industriji

Neke su industrije vjerojatnije da će biti meta cyber kriminala od drugih. Konkretno, tvrtke koje rade s kritičnom infrastrukturom ili osjetljivim osobnim podacima su najviše izložene riziku.

  1. Trenutno su proizvođači i rudarske kompanije favorizirane mete. Izvješće Make UK-a i AIG-a otkrilo je da je 48% proizvođača u Velikoj Britaniji na meti cyber-kriminalaca, a prema Symantec-ovom izvješću o riziku od sigurnosti zbog interneta, 38,4% tvrtki u rudarskoj industriji vidjelo je slične napade.
  2. U budućnosti će zdravstvene tvrtke biti sve više ciljane. Cybersecurity Ventures kažu kako očekuju da će se napadi na zdravstvene tvrtke povećati pet puta (da, pet puta) do 2021. godine.
  3. Prema Symantecovom Izvješću o riziku od internetske sigurnosti, javni se sektor također sve više nalazi na meti. Jedna od svakih 302 e-maila koje su javni službenici dobili u 2020. godini bila je prijevara.
  4. Zlonamjerni softver se također povećava, posebice u bankarskoj i financijskoj industriji. Kaspersky Labs nedavno su ažurirali svoj popis zlonamjernih softvera kako bi uključili više od 20 vrsta zlonamjernog softvera za ATM.

Vrhunski hakeri

A sad o galeriji skitnica: najveći hakovi za 2018. (i početak 2020.) i broj žrtava svakog.

  1. Zapravo najveći hack u 2018. godini bio je izvan SAD-a. Nevjerojatnih 1,5 milijardi indijskih građana procurilo je njihove osobne podatke tijekom hakovanja u nacionalnu bazu podataka ID. To su skoro svi u državi.
  2. U SAD-u je najveći hack u 2020. godini bio i najveće kršenje podataka u povijesti. U ožujku je istraživač sigurnosti pronašao bazu podataka pod nazivom “Zbirka 1” koja je sadržavala adrese e-pošte i lozinke 1,16 milijardi ljudi.
  3. Čini se da Facebook svake godine ima veće povrede podataka, a 2020. nije iznimka. 540 milijuna zapisa javno je izloženo, navodi se u izvješću Upguarda.
  4. Lista se nastavlja. Marriott grupa je otkrila osobne podatke 500 milijuna korisnika krajem 2018., a 340 milijuna korisničkih zapisa objavljeno je u prekršaju od Exactisa, prenosi CNET.

Najčešće vrste ranjivosti web stranica

Sada imamo nekoliko ideja o razmjeri kibernetičkih kriminala, pogledajmo najčešći izvor ranjivosti za tvrtke i druge organizacije: njihove web stranice.

Promatranje najčešće ranjivosti web stranica u 2020. godini pomalo je depresivan zadatak. To je zato što su najčešće (i najopasnije) ranjivosti one koje su bile na istom popisu 2018., 2008. i 1988..

To su: DDoS napadi, zaraza zlonamjernim softverom, Čovjek u srednjim napadima i loše osigurane web aplikacije.

Pogledajmo svako zasebno.

DDoS napadi

Napadi distribuiranog uskraćivanja usluge (DDoS) češći su nego ikad prije i još uvijek su najpopularniji oblik napada na web mjesto..

  1. S obzirom na to, nije iznenađujuće da je u 2018. godini zabilježen najveći DDoS napad ikada. “Dobavljač sa sjedištem u SAD-u”, prema NETSCOUT-u, bio je meta napada refleksije / pojačanja koji je pogodio njihovu web stranicu sa 1,7 terabajta zlonamjernih zahtjeva u sekundi. Iz neke perspektive, to je ekvivalentna širina pojasa za streaming 200.000 HD TV emisija istovremeno.
  2. DDoS također snosi veliki dio troškova cyber kriminala. Godišnje izvješće o cyber sigurnosti od 2020. godine otkrilo je da napad DDoS-a obično košta velike tvrtke 2 milijuna dolara, a manje tvrtke 120 000 dolara.
  3. To i ne čudi s obzirom na to da DDoS-ovi napadi koji se mogu kupiti na Mrežnom webu koštaju oko 20 dolara, navodi se u članku Ars Technica.
  4. Prosječno trajanje vremena koje je potrebno da uređaj, novo spojen na internet, napadne DDoS zahtjev je 5 minuta, prema NETSCOUT.
  5. Sve su ove statistike poznate, ali DDoS napadi pokazuju i neke nove značajke. Prema Kasperskyu, na primjer, Kina je krajem 2018. činila više od 50% DDoS napada.
  6. Druga zabrinutost je da će, s više IoT uređaja nego ikad povezanih s Internetom, snaga DDoS napada tek povećati. Gartner je procijenio da će broj IoT uređaja do 2020. dostići 20,4 milijarde i da će to DDoS napadima učiniti opasnijim nego ikad.

malware

Zlonamjerni softver i dalje je veliki problem. Zapravo je zlonamjerni softver češći nego ikad.

  1. E-pošta je i dalje najčešći način širenja zlonamjernog softvera. CSO Online izvijestio je da je e-pošta odgovorna za širenje do 92% slučajeva zlonamjernog softvera. Ali to ne znači da web stranice nisu ranjive na zlonamjerni softver.
  2. Većina zlonamjernog softvera sada se distribuira kao zlonamjerne skripte. PowerShell skripte dugo su bili ogroman izvor ranjivosti, ali Symantec je otkrio da je upotreba zlonamjernih Powershell skripti skočila 1000% u 2018. Isto izvješće otkrilo je da skripte čine 47,5% zlonamjernih privitaka e-pošte..
  3. Zlonamjerni softver utječe na sve vrste uređaja i može predstavljati prijetnju web lokacijama s prijenosnih računala, tableta i pametnih telefona. U stvari, pametni telefoni možda bi mogli postati najveći izvor zlonamjernog softvera u sljedećem desetljeću: mobilni ransomware povećao se za 33% u posljednjoj godini, navodi Symantec.
  4. Zlonamjerni softver je sada velika prijetnja i za tvrtke. Zlonamjerni softver koji je posebno usmjeren na poduzeća povećao se za 12% u 2020. godini, što je utvrdio Symantec.

Čovjek u srednjim napadima

Glavni izvor ranjivosti web stranica je čovjek u napadima u sredini. Za slabo osigurane web stranice, hakeri su relativno lako umetati se među kupce i vlasnike web lokacija i presresti sve informacije koje im se šalju..

Kao što je poznato, napadi MITM-a također su u porastu.

  1. Na primjer, MITM tehnike bile su uključene u 35% iskorištavanja web stranica u 2018., prema IBM-ovom X-Force Threat Intelligence Index 2020.
  2. Ovo ne iznenađuje s obzirom na to koliko je nepripremljenih za mnoge tvrtke napadi na MITM. Netcraft je otkrio, na primjer, da je 95% HTTPs poslužitelja bilo ranjivo na MiTM u 2016., a od tada je malo učinjeno na otklanjanju tih ranjivosti.
  3. Još više zabrinjava činjenica da je samo 10% tvrtki implementiralo HSTS za svoje web stranice, što ih ostavlja otvorenim za napad. W3Techs je proveo ovo istraživanje i također je preporučio da sve web stranice implementiraju protokol što je prije moguće.

Napadi na web aplikaciju

Web aplikacije sada su sastavni dio gotovo svake web stranice, a porast njihove upotrebe praćen je sličnim porastom njihove eksploatacije. Na primjer, prema istraživanju tvrtke Imperva, više od polovice web aplikacija ima javno iskorištavanje koje je dostupno hakerima, a više od trećine tih iskorištavanja nema rješenje.

  1. Prema izvješću TrustWave-a, najčešći oblici napada web aplikacija su oni koji iskorištavaju skriptiranje na više mjesta (XSS), koji čine oko 40% takvih napada, i SQL injekcije, koje čine 24%.
  2. Ranjivosti web aplikacija također su vrlo česte. Acunetix je otkrio da 46% web stranica ima takvu ranjivost.
  3. Ova vrsta ranjivosti web stranica također je u porastu. SQL ubrizgavanje i napadi skripte na više mjesta u 2018. godini porasli su za 38%, prema istraživanju Akamai. WordPress, do sada najpopularniji CMS, uobičajeni je cilj SQL ubrizgavanja jer većina najpopularnijih WordPress domaćina koristi SQL prema zadanim postavkama.
  4. Formjacking je također zabilježio velik porast u 2018. Prosječni broj web stranica kompromitiranih zbog eksploatacije oblika mjesečno u 2018. godini bio je 4818, prema Symantec-u.
  5. Prema Acunetixu, 2% web aplikacija bilo je podložno daljinskom izvršavanju koda, što omogućava zlonamjernom korisniku izvršavanje vlastitog (zlonamjernog) koda unutar skripte vaše web lokacije. Iako 2% možda ne zvuči toliko visoko, s obzirom na čist broj web stranica vani, to predstavlja ogroman broj ranjivih web stranica.
  6. Zapravo, velika većina prodora lokalne mreže (LAN) u 2020. godini bila je posljedica slabosti web aplikacija, pokazalo je istraživanje pozitivnih tehnologija.

Donja linija

I tu je: razmjera ranjivosti web stranice u 2020. godini i najčešći oblici iskorištavanja.

Ovi brojevi mogu biti šokantni, ali potvrđuju istinu koju svi znamo već nekoliko godina. Ljestvica cyber kriminala ogroman je problem koji još uvijek nismo riješili.

Poduzimanje nekih osnovnih koraka za osiguravanje vaše web stranice može pomoći u ograničavanju vaše podložnosti tim cyber napadima i potencijalno spasiti vaše poslovanje od njih. A također biste trebali zapamtiti da niste sami – ako koristite jednu od najboljih web hosting tvrtki u Kanadi, oni će vam pomoći pružanjem sigurnosnih alata koji mogu zaštititi vašu web stranicu.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector