Vulnerabilidades comuns no site

2018 testemunha alguns dos maiores ataques cibernéticos já vistos: hacks no Marriott Group, Equifax, Yahoo e Facebook resultaram em grandes violações de dados. Adicione a isso o aumento da interferência nos processos eleitorais em todo o mundo, e é claro que estamos enfrentando uma crise.


Isso já está claro há algum tempo, mas você não saberia disso pelas estatísticas.

Em vez disso, em 2020, os sites parecem estar ficando menos seguros.

A Ptsecurity constatou que, no final de 2018, a vulnerabilidade dos aplicativos da Web estava em ascensão novamente, após muitos anos de queda: eles descobriram que 67% por cento dos aplicativos da web tinham vulnerabilidades de alta segurança no final de 2018, sendo o mais comum a Autorização Insuficiente, Upload de Arquivo Arbitrário, Traversal de Caminho e Injeção de SQL.

Em 2020, esse tendência parece continuar. Embora você possa ficar tentado a se trancar lá dentro, desconecte-o da Internet e nunca mais faça contato humano … recomendamos que não.

Em vez disso, você pode evitar a maioria das vulnerabilidades listadas abaixo instalando um firewall e navegando na Web apenas quando conectado por meio de uma rede virtual privada (VPN). Confira nosso guia para os melhores serviços de VPN no Canadá e escolha um que funcione para você.

Dito isto, vamos olhar para os dados mais recentes.

A economia do cibercrime

Primeiro, vamos dar uma olhada no tamanho da economia de crimes cibernéticos e cibersegurança.

  1. O valor monetário total do crime cibernético é difícil de avaliar, especialmente porque muitas empresas mantêm em segredo os hacks de sucesso. Mas uma pesquisa da Accenture descobriu que ataques diretos e indiretos colocam US $ 5,2 trilhões em risco nos próximos cinco anos.
  2. Olhando para o outro lado da moeda, a pesquisa realizada Global Market Insights coloca o tamanho do mercado de segurança cibernética em US $ 300 bilhões por ano até 2024.
  3. Nos EUA, a cibersegurança é uma grande fonte de recursos do governo. De acordo com o orçamento de 2020 divulgado pela Casa Branca, o governo planeja gastar US $ 15 bilhões na proteção de consumidores, empresas e infraestrutura crítica em 2020. Este é um aumento de 4,1% em 2018.
  4. São números enormes e as pequenas empresas estão enfrentando dificuldades para acompanhar. A Juniper Research descobriu que em 2018 a média das pequenas empresas gastava menos de US $ 500 por ano em segurança cibernética.
  5. O baixo nível de investimento das PME em crimes cibernéticos também é preocupante, porque a SCORE descobriu que as PME são alvo de 43% de todos os ataques cibernéticos.
  6. Quando se trata de detectar e relatar hacks, estamos fazendo algum progresso, mas não muito. O tempo médio para relatar violações de dados em 2020 foi de 49,6 dias, de acordo com a Segurança baseada em risco. Isso é um pouco melhor que mais de 50 dias em 2018, ainda é preocupante.
  7. Na escala mais ampla, o cibercrime ainda está em ascensão. A nona pesquisa de custo anual de crimes cibernéticos da Accenture constatou que as violações de segurança aumentaram 11% em 2018 e que é provável que isso continue em 2020.
  8. A mesma pesquisa também analisou a longo prazo o aumento dos ataques cibernéticos e descobriu que eles aumentaram 67% nos últimos cinco anos.

Os Custos dos Hacks

A enorme escala do crime cibernético e o grande número de envolvidos podem às vezes significar que as vítimas de hackers – indivíduos, empresas e até governos – podem ser esquecidas. Então, vamos ver os efeitos reais do crime cibernético.

  1. O Relatório Anual de Crime da Cybersecurity Ventures para 2020 coloca alguns números sobre as consequências dos hacks para as empresas. Eles descobriram que os danos ao cibercrime devem custar às empresas US $ 6 trilhões anualmente até 2021, número que eles apontam “representa a maior transferência de riqueza da história da humanidade”.
  2. Desses US $ 6 trilhões, os danos ao ransomware são os que mais crescem. A Cybersecurity Ventures diz que o custo do ransomware chegará a US $ 20 bilhões até 2021.
  3. Segundo o estudo global da Accenture, o custo médio do crime cibernético para as organizações é estimado em US $ 13 milhões por ano.

As vítimas

O cibercrime é um grande problema quando se trata da lucratividade e sustentabilidade das empresas. Mas hacks de sucesso também podem ter graves consequências para um grande número de consumidores.

  1. Vamos esclarecer uma coisa: os EUA são o alvo número um dos ataques cibernéticos, de acordo com uma pesquisa da Norton. Essa pode ser uma estatística em que os cidadãos dos EUA têm menos orgulho de ser o número 1.
  2. Nos EUA, mais de 60% dos cidadãos foram expostos a fraudes online, de acordo com um relatório do American Institute of CPAs.
  3. A pesquisa anual sobre crimes da Gallup parece um pouco mais profunda e descobriu que a escala do crime cibernético nos EUA é surpreendente. 23% dos americanos relatam que eles, ou alguém que conhecem, foram vítimas diretas de crimes cibernéticos.
  4. A maioria dessas pessoas foi vítima de apenas um pequeno número de grandes violações de dados. Em 2018, de acordo com um relatório da RBS, apenas 12 violações de dados expuseram mais de três quartos de todos os registros comprometidos naquele ano. O número de registros? Mais de 100 milhões.
  5. Olhando para o futuro, a Juniper Research afirma que 33 bilhões de registros por ano serão roubados até 2021.

Cibercrime por setor

É provável que algumas indústrias sejam alvo de crimes cibernéticos do que outras. Em particular, as empresas que trabalham com infraestrutura crítica ou informações pessoais sensíveis são as que mais correm riscos..

  1. No momento, fabricantes e empresas de mineração são alvos favorecidos. Um relatório da Make UK e da AIG constatou que 48% dos fabricantes no Reino Unido foram alvo de cibercriminosos e, de acordo com o Relatório de risco à segurança na Internet da Symantec, 38,4% das empresas do setor de mineração sofreram ataques semelhantes.
  2. No futuro, as empresas de assistência médica serão cada vez mais direcionadas. A Cybersecurity Ventures disse que espera que os ataques contra empresas de saúde aumentem cinco vezes (sim, cinco vezes) até 2021.
  3. De acordo com o Relatório de riscos à segurança da Internet da Symantec, o setor público também está sendo cada vez mais direcionado. Um em cada 302 e-mails recebidos por funcionários públicos em 2020 foi uma farsa.
  4. O malware também está aumentando, principalmente nos setores bancário e financeiro. A Kaspersky Labs atualizou recentemente sua lista de famílias de malware para incluir mais de 20 tipos de software ATM malicioso.

The Top Hacks

Agora, para a galeria do trapaceiro: os maiores hacks de 2018 (e início de 2020) e o número de vítimas de cada.

  1. Na verdade, o maior hack de 2018 foi fora dos EUA. Um incrível número de 1,5 bilhão de cidadãos indianos teve suas informações pessoais vazadas durante uma invasão no banco de dados de identificação nacional do país. Isso é quase todo mundo no país.
  2. Nos EUA, o maior hack de 2020 também foi a maior violação de dados da história. Em março, um pesquisador de segurança de TI encontrou um banco de dados chamado “Coleção 1”, que continha endereços de e-mail e senhas de 1,16 bilhão de pessoas.
  3. O Facebook parece ter uma grande violação de dados todos os anos, e 2020 não foi uma exceção. 540 milhões de registros foram expostos publicamente, de acordo com um relatório da Upguard.
  4. A lista continua. O Marriott Group revelou as informações pessoais de 500 milhões de usuários no final de 2018 e 340 milhões de registros de clientes foram divulgados em uma violação da Exactis, de acordo com a CNET.

Os tipos mais comuns de vulnerabilidade de site

Agora, temos uma ideia da escala do crime cibernético. Vamos analisar a fonte mais comum de vulnerabilidades para empresas e outras organizações: seus sites.

Observar as vulnerabilidades mais comuns do site em 2020 é uma tarefa um pouco deprimente. Isso ocorre porque as vulnerabilidades mais comuns (e mais perigosas) são aquelas que estavam na mesma lista em 2018, em 2008 e em 1988.

São eles: ataques DDoS, infecção por malware, ataques intermediários e aplicativos da Web mal protegidos.

Vamos ver cada um separadamente.

Ataques DDoS

Os ataques de negação de serviço distribuída (DDoS) são mais comuns do que nunca e ainda são a forma mais popular de ataque a sites.

  1. Diante disso, não surpreende que 2018 tenha sido o maior ataque de DDoS de todos os tempos. Um “provedor baseado nos EUA”, de acordo com a NETSCOUT, foi alvo de um ataque de reflexão / amplificação que atingiu seu site com 1,7 terabytes de solicitações maliciosas por segundo. Para alguma perspectiva, essa é a largura de banda equivalente ao streaming de 200.000 programas de TV HD simultaneamente.
  2. O DDoS também responde por grande parte do custo do crime cibernético. O Relatório Anual de Segurança Cibernética da Bulletproof de 2020 descobriu que um ataque DDoS normalmente custa às grandes empresas US $ 2 milhões e às pequenas empresas US $ 120.000.
  3. Isso não surpreende, já que os DDoS ‘kits de ataque’, disponíveis para compra na Dark Web, custam cerca de US $ 20, de acordo com um artigo da Ars Technica.
  4. O tempo médio que leva para um dispositivo, recém-conectado à Internet, ser atacado por uma solicitação de DDoS é de 5 minutos, de acordo com o NETSCOUT.
  5. Todas essas estatísticas são familiares, mas os ataques DDoS também mostram alguns novos recursos. Segundo a Kaspersky, por exemplo, a China foi responsável por mais de 50% dos ataques DDoS no final de 2018.
  6. Outra preocupação é que, com mais dispositivos de IoT do que nunca conectados à Web, o poder dos ataques DDoS provavelmente aumentará. O Gartner estimou que o número de dispositivos IoT chegará a 20,4 bilhões até 2020, e isso tornará os ataques DDoS mais perigosos do que nunca.

Malware

O malware ainda é um grande problema. De fato, o malware é mais comum do que nunca.

  1. O email ainda é a maneira mais comum de propagação de malware. A CSO Online informou que o email é responsável por espalhar até 92% das instâncias de malware. Mas isso não significa que os sites não sejam vulneráveis ​​a malware.
  2. A maioria dos malwares agora é distribuída como scripts maliciosos. Os scripts do PowerShell há muito tempo são uma grande fonte de vulnerabilidade, mas a Symantec descobriu que o uso de scripts maliciosos do Powershell aumentou 1000% em 2018. O mesmo relatório descobriu que os scripts formam 47,5% dos anexos de email maliciosos.
  3. O malware afeta todos os tipos de dispositivos e pode ser uma ameaça para sites de laptops, tablets e smartphones. De fato, os smartphones podem se tornar a maior fonte de malware na próxima década: o ransomware móvel aumentou 33% no último ano, de acordo com a Symantec.
  4. O malware agora também é uma grande ameaça para as empresas. O malware especificamente voltado para empresas aumentou 12% em 2020, conforme encontrado pela Symantec.

Homem nos ataques do meio

A principal fonte de vulnerabilidade do site é o homem no meio de ataques. Para sites mal protegidos, é relativamente fácil para os hackers se inserirem entre clientes e proprietários de sites e interceptar todas as informações enviadas entre eles..

Os ataques MITM, como são conhecidos, também estão aumentando.

  1. Por exemplo, as técnicas MITM estavam envolvidas em 35% da exploração de sites em 2018, de acordo com o X-Force Threat Intelligence Index 2020 da IBM.
  2. Isso não é surpreendente, dado o número de empresas despreparadas para ataques MITM. A Netcraft descobriu, por exemplo, que 95% dos servidores HTTPs estavam vulneráveis ​​ao MiTM em 2016 e pouco foi feito desde então para corrigir essas vulnerabilidades..
  3. Mais preocupante ainda é o fato de apenas 10% das empresas implementarem HSTS para seus sites, o que as deixa abertas a ataques. A W3Techs realizou essa pesquisa e também recomendou que todos os sites implementassem o protocolo o mais rápido possível.

Ataques de aplicativos da Web

Os aplicativos da Web agora são parte integrante de quase todos os sites, e o aumento no uso deles foi acompanhado por um aumento semelhante na exploração. De acordo com uma pesquisa da Imperva, por exemplo, mais da metade dos aplicativos da Web tem uma exploração pública disponível para hackers, e mais de um terço dessas explorações não tem uma solução.

  1. As formas mais comuns de ataques a aplicativos da Web, de acordo com um relatório da TrustWave, são as que exploram XSS (cross-site scripting), que constituem cerca de 40% desses ataques, e as injeções de SQL, responsáveis ​​por 24%.
  2. As vulnerabilidades de aplicativos da Web também são extremamente comuns. A Acunetix descobriu que 46% dos sites têm esse tipo de vulnerabilidade.
  3. Esse tipo de vulnerabilidade do site também está aumentando. Os ataques de injeção de SQL e scripts entre sites aumentaram 38% em 2018, de acordo com pesquisa da Akamai. O WordPress, o CMS mais popular de longe, é um alvo comum de injeções de SQL, porque os hosts WordPress mais populares usam SQL por padrão..
  4. O Formjacking também teve um grande aumento em 2018. O número médio de sites comprometidos por explorações de jack-form por mês em 2018 foi de 4818, segundo a Symantec.
  5. Segundo a Acunetix, 2% dos aplicativos da web também eram suscetíveis à execução remota de código, o que permite que um usuário mal-intencionado execute seu próprio código (mal-intencionado) nos scripts do seu site. E embora 2% possa não parecer tão alto, dado o grande número de sites disponíveis, isso representa um grande número de sites vulneráveis.
  6. De fato, a grande maioria da penetração da rede de área local (LAN) em 2020 deve-se a fraquezas de aplicativos da web, de acordo com pesquisa da Positive Technologies.

A linha inferior

E aí está: a escala da vulnerabilidade do site em 2020 e as formas mais comuns de exploração.

Esses números podem ser chocantes, mas confirmam uma verdade que todos conhecemos há alguns anos. A escala do crime cibernético é um problema enorme e que estamos longe de resolver.

Tomar algumas etapas básicas para proteger seu site pode ajudar a limitar sua suscetibilidade a esses ataques cibernéticos e potencialmente salvar sua empresa deles. E lembre-se também de que não está sozinho – se você usar uma das melhores empresas de hospedagem no Canadá, elas ajudarão fornecendo ferramentas de segurança que podem manter seu site seguro.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map