Vulnerabilità comuni del sito Web

Il 2018 è testimone di alcuni dei più grandi attacchi informatici mai visti: gli hack sul Marriott Group, Equifax, Yahoo e Facebook hanno provocato gravi violazioni dei dati. Aggiungete a ciò la maggiore interferenza di livello nei processi elettorali in tutto il mondo ed è chiaro che stiamo affrontando una crisi.


Questo è stato chiaro per qualche tempo, ma non lo sapresti dalle statistiche.

Invece, nel 2020 i siti web sembrano diventare meno sicuri.

Ptsecurity ha scoperto che, alla fine del 2018, la vulnerabilità delle applicazioni Web era di nuovo in aumento, dopo molti anni di diminuzione: hanno scoperto che Il 67% delle app Web presentava vulnerabilità ad alta sicurezza alla fine del 2018, il più comune dei quali era l’autorizzazione insufficiente, il caricamento arbitrario dei file, l’attraversamento del percorso e l’iniezione di SQL.

Nel 2020, quello la tendenza sembra continuare. Anche se potresti essere tentato di rinchiuderti all’interno, scollegalo da Internet e non stabilire mai più un contatto umano … ti sconsigliamo.

Invece, puoi evitare la maggior parte delle vulnerabilità elencate di seguito installando un firewall e navigando sul Web solo quando sei connesso tramite una rete privata virtuale (VPN). Consulta la nostra guida ai migliori servizi VPN in Canada per sceglierne uno adatto a te.

Detto questo, diamo un’occhiata agli ultimi dati.

L’economia del crimine informatico

Innanzitutto, diamo un’occhiata alle dimensioni dell’economia della criminalità informatica e della sicurezza informatica.

  1. Il valore monetario totale del crimine informatico è difficile da valutare, soprattutto perché molte aziende mantengono segreti gli hack di successo. Ma la ricerca di Accenture ha scoperto che gli attacchi diretti e indiretti mettono a rischio 5,2 trilioni di dollari nei prossimi cinque anni.
  2. Osservando l’altro lato della medaglia, la ricerca condotta su Global Market Insights pone la dimensione del mercato della sicurezza informatica a $ 300 miliardi all’anno entro il 2024.
  3. Negli Stati Uniti, la sicurezza informatica è un grosso problema per i fondi del governo. Secondo il bilancio 2020 pubblicato dalla Casa Bianca, il governo prevede di spendere $ 15 miliardi per proteggere i consumatori, le imprese e le infrastrutture critiche nel 2020. Si tratta di un aumento del 4,1% rispetto al 2018.
  4. Sono numeri enormi e le piccole imprese hanno difficoltà a tenere il passo. Juniper Research ha scoperto che nel 2018 la piccola impresa ha speso meno di $ 500 all’anno per la sicurezza informatica.
  5. Anche il basso livello di investimenti delle PMI nel crimine informatico è preoccupante, poiché SCORE ha scoperto che le PMI sono l’obiettivo del 43% di tutti gli attacchi informatici.
  6. Quando si tratta di rilevare e segnalare hack, stiamo facendo alcuni progressi, ma non molto. Il tempo medio per segnalare violazioni dei dati nel 2020 è stato di 49,6 giorni, secondo la sicurezza basata sul rischio. Questo è un po ‘meglio di 50+ giorni nel 2018, è ancora preoccupante.
  7. Su scala più ampia, il crimine informatico è ancora in aumento. Il nono sondaggio annuale sul costo della criminalità informatica di Accenture ha rilevato che le violazioni della sicurezza sono aumentate dell’11% nel 2018 e che probabilmente continuerà fino al 2020.
  8. Lo stesso sondaggio ha anche dato uno sguardo a più lungo termine all’aumento degli attacchi informatici e ha scoperto che erano aumentati del 67% negli ultimi cinque anni.

I costi degli hack

L’enorme portata del crimine informatico e gli enormi numeri coinvolti, a volte possono significare che le vittime degli hack – individui, aziende e persino governi – possono essere dimenticate. Quindi diamo un’occhiata agli effetti della vita reale del crimine informatico.

  1. Il Rapporto annuale sul crimine della Cybersecurity Ventures per il 2020 riporta alcuni numeri sulle conseguenze degli hack per le aziende. Hanno scoperto che i danni alla criminalità informatica dovrebbero costare alle aziende 6 trilioni di dollari all’anno entro il 2021, un numero che sottolineano “rappresenta il più grande trasferimento di ricchezza nella storia umana”.
  2. Di questi $ 6 trilioni, i danni da ransomware sono quelli in più rapida crescita. Cybersecurity Ventures afferma che il costo del ransomware raggiungerà i 20 miliardi di dollari entro il 2021.
  3. Secondo lo studio globale di Accenture, il costo medio del crimine informatico per le organizzazioni è stimato a $ 13 milioni all’anno.

Le vittime

Il crimine informatico è un grosso problema in termini di redditività e sostenibilità delle aziende. Ma gli hacker di successo possono anche avere gravi conseguenze per un numero enorme di consumatori.

  1. Evitiamo una cosa: gli Stati Uniti sono l’obiettivo numero uno degli attacchi informatici, secondo una ricerca di Norton. Questa potrebbe essere una statistica in cui i cittadini statunitensi sono meno che orgogliosi di essere il numero 1.
  2. Negli Stati Uniti, oltre il 60% dei cittadini è stato esposto a frodi online, secondo un rapporto dell’American Institute of CPAs.
  3. L’indagine annuale sulla criminalità di Gallup sembra un po ‘più profonda e ha scoperto che la portata del crimine informatico negli Stati Uniti è sorprendente. Il 23% degli americani afferma di essere stato vittima diretta del crimine informatico, o qualcuno che conosceva.
  4. La maggior parte di queste persone è stata vittima di un numero limitato di enormi violazioni dei dati. Nel 2018, secondo un rapporto di RBS, solo 12 violazioni dei dati hanno rivelato più di tre quarti di tutti i record compromessi quell’anno. Il numero di record? Più di 100 milioni.
  5. Guardando al futuro, Juniper Research afferma che entro il 2021 verranno rubati 33 miliardi di dischi all’anno.

Criminalità informatica per settore

Alcuni settori hanno maggiori probabilità di essere bersaglio del crimine informatico rispetto ad altri. In particolare, le aziende che lavorano con infrastrutture critiche o informazioni personali sensibili sono le più a rischio.

  1. Al momento, i produttori e le società minerarie sono obiettivi favoriti. Un rapporto di Make UK e AIG ha rilevato che il 48% dei produttori nel Regno Unito è stato preso di mira dai criminali informatici e, secondo il Rapporto sui rischi per la sicurezza di Internet di Symantec, il 38,4% delle aziende del settore minerario ha visto attacchi simili.
  2. In futuro, le aziende sanitarie saranno sempre più prese di mira. Cybersecurity Ventures ha affermato di prevedere che gli attacchi contro le aziende sanitarie aumenteranno di cinque volte (sì, cinque volte) entro il 2021.
  3. Secondo il rapporto sui rischi per la sicurezza di Internet di Symantec, anche il settore pubblico viene sempre più preso di mira. Una e-mail su 302 ricevuta da dipendenti pubblici nel 2020 è stata una truffa.
  4. Anche il malware è in aumento, in particolare nei settori bancario e finanziario. Kaspersky Labs ha recentemente aggiornato il proprio elenco di famiglie di malware per includere più di 20 tipi di software ATM dannoso.

I migliori hack

Ora per la galleria dei ladri: i più grandi hack del 2018 (e l’inizio del 2020) e il numero di vittime di ciascuno.

  1. In realtà il più grande hack del 2018 era fuori dagli Stati Uniti. Un incredibile 1,5 miliardi di cittadini indiani hanno fatto trapelare le loro informazioni personali durante un hack sul database degli ID nazionali del paese. Sono quasi tutti nel paese.
  2. Negli Stati Uniti, la più grande violazione del 2020 è stata anche la più grande violazione dei dati nella storia. A marzo, un ricercatore della sicurezza IT ha trovato un database chiamato “Collection 1”, che conteneva indirizzi e-mail e password di 1,16 miliardi di persone.
  3. Facebook sembra avere una grave violazione dei dati ogni anno e il 2020 non ha fatto eccezione. 540 milioni di dischi sono stati esposti pubblicamente, secondo un rapporto di Upguard.
  4. L’elenco continua. Il gruppo Marriott ha rivelato le informazioni personali di 500 milioni di utenti alla fine del 2018 e 340 milioni di record di clienti sono stati rilasciati in una violazione di Exactis, secondo CNET.

I tipi più comuni di vulnerabilità del sito Web

Ora abbiamo un’idea della portata del crimine informatico, diamo un’occhiata alla fonte più comune di vulnerabilità per aziende e altre organizzazioni: i loro siti Web.

Osservare le vulnerabilità dei siti Web più comuni nel 2020 è un compito leggermente deprimente. Questo perché le vulnerabilità più comuni (e le più pericolose) sono quelle presenti nella stessa lista nel 2018, nel 2008 e nel 1988.

Questi sono: attacchi DDoS, infezione da malware, attacchi Man in the Middle e app Web scarsamente protette.

Diamo un’occhiata a ciascuno separatamente.

Attacchi DDoS

Gli attacchi DDoS (Distributed Denial of Service) sono più comuni che mai e sono ancora la forma più popolare di attacco al sito Web.

  1. Detto questo, non sorprende che il 2018 abbia visto il più grande attacco DDoS di sempre. Un “fornitore con sede negli Stati Uniti”, secondo NETSCOUT, era l’obiettivo di un attacco di riflessione / amplificazione che ha colpito il loro sito Web con 1,7 terabyte di richieste dannose al secondo. Per qualche prospettiva, questa è la larghezza di banda equivalente dello streaming di 200.000 programmi TV HD contemporaneamente.
  2. DDoS rappresenta anche una grande parte del costo del crimine informatico. Il Rapporto annuale sulla sicurezza informatica di Bulletproof del 2020 ha rilevato che un attacco DDoS in genere costa alle grandi aziende $ 2 milioni e alle aziende più piccole $ 120.000.
  3. Ciò non sorprende, dato che i “kit di attacco” DDoS, disponibili per l’acquisto sul Web oscuro, costano circa $ 20, secondo un articolo di Ars Technica.
  4. Il tempo medio impiegato da un dispositivo, appena connesso a Internet, per essere attaccato da una richiesta DDoS è di 5 minuti, secondo NETSCOUT.
  5. Tutte queste statistiche sono familiari, ma gli attacchi DDoS mostrano anche alcune nuove funzionalità. Secondo Kaspersky, ad esempio, alla fine del 2018 la Cina rappresentava oltre il 50% degli attacchi DDoS.
  6. Un’altra preoccupazione è che, con più dispositivi IoT che mai connessi al web, è probabile che la potenza degli attacchi DDoS aumenti. Gartner ha stimato che il numero di dispositivi IoT raggiungerà i 20,4 miliardi entro il 2020 e che ciò renderà gli attacchi DDoS più pericolosi che mai.

Malware

Il malware è ancora un grosso problema. In effetti, il malware è più comune che mai.

  1. L’e-mail è ancora il modo più comune per diffondere il malware. CSO Online ha riferito che l’e-mail è responsabile della diffusione fino al 92% delle istanze di malware. Ciò non significa che i siti Web non siano vulnerabili al malware.
  2. La maggior parte dei malware è ora distribuita come script dannoso. Gli script di PowerShell sono stati a lungo un’enorme fonte di vulnerabilità, ma Symantec ha scoperto che l’uso di script Powershell dannosi è aumentato del 1000% nel 2018. Lo stesso rapporto ha rilevato che gli script formano il 47,5% degli allegati di posta elettronica dannosi.
  3. Il malware colpisce tutti i tipi di dispositivi e può costituire una minaccia per i siti Web da laptop, tablet e smartphone. In effetti, gli smartphone potrebbero diventare la più grande fonte di malware nel prossimo decennio: il ransomware mobile è aumentato del 33% l’anno scorso, secondo Symantec.
  4. Anche il malware è ora una grande minaccia per le aziende. I malware specificamente indirizzati alle imprese sono aumentati del 12% nel 2020, come rilevato da Symantec.

Man In The Middle Attacks

Una delle principali fonti di vulnerabilità del sito Web è l’attacco man in the middle. Per i siti Web scarsamente protetti, è relativamente facile per gli hacker inserirsi tra clienti e proprietari di siti Web e intercettare tutte le informazioni inviate tra loro.

Anche gli attacchi MITM, come sono noti, sono in aumento.

  1. Ad esempio, le tecniche MITM sono state coinvolte nel 35% dello sfruttamento dei siti Web nel 2018, secondo l’X-Force Threat Intelligence Index 2020 di IBM.
  2. Ciò non sorprende, dato che molte aziende sono impreparate agli attacchi MITM. Netcraft ha scoperto, ad esempio, che il 95% dei server HTTP era vulnerabile a MiTM nel 2016 e che da allora poco è stato fatto per correggere queste vulnerabilità.
  3. Ancora più preoccupante è il fatto che solo il 10% delle aziende ha implementato l’HSTS per i propri siti Web, il che li lascia aperti agli attacchi. W3Techs ha svolto questa ricerca e ha inoltre raccomandato a tutti i siti Web di implementare il protocollo il prima possibile.

Attacchi alle applicazioni Web

Le app Web sono ora parte integrante di quasi tutti i siti Web e l’aumento del loro utilizzo è stato accompagnato da un aumento simile del loro sfruttamento. Secondo una ricerca di Imperva, ad esempio, oltre la metà delle app Web ha un exploit pubblico disponibile per gli hacker e oltre un terzo di questi exploit non ha una soluzione.

  1. Le forme più comuni di attacchi alle applicazioni web, secondo un rapporto di TrustWave, sono quelle che sfruttano lo scripting cross-site (XSS), che costituisce circa il 40% di tali attacchi, e iniezioni di SQL, che rappresentano il 24%.
  2. Anche le vulnerabilità delle applicazioni Web sono estremamente comuni. Acunetix ha riscontrato che il 46% dei siti Web presenta questo tipo di vulnerabilità.
  3. Anche questo tipo di vulnerabilità del sito Web è in aumento. Iniezione di SQL e attacchi di cross-site scripting sono aumentati del 38% nel 2018, secondo una ricerca di Akamai. WordPress, il CMS più popolare di gran lunga, è un obiettivo comune delle iniezioni di SQL perché gli host WordPress più popolari usano SQL per impostazione predefinita.
  4. Anche il formjacking ha visto un enorme aumento nel 2018. Il numero medio di siti Web compromessi dagli exploit di form jack al mese nel 2018 era 4818, secondo Symantec.
  5. Secondo Acunetix, il 2% delle applicazioni Web era anche suscettibile all’esecuzione di codice in modalità remota, che consente a un utente malintenzionato di eseguire il proprio codice (dannoso) all’interno degli script del proprio sito Web. E mentre il 2% potrebbe non sembrare così elevato, dato il numero incredibile di siti Web disponibili, ciò rappresenta un numero enorme di siti Web vulnerabili.
  6. In effetti, la stragrande maggioranza della penetrazione della LAN (Local Area Network) nel 2020 è dovuta a debolezze delle applicazioni web, secondo una ricerca di Positive Technologies.

La linea di fondo

Ed eccoci qui: la portata della vulnerabilità dei siti Web nel 2020 e le forme più comuni di exploit.

Questi numeri potrebbero essere scioccanti, ma confermano una verità che tutti conosciamo da parecchi anni. La portata del crimine informatico è un problema enorme, che non siamo vicini a nessuna soluzione.

Adottare alcune misure di base per proteggere il tuo sito Web può aiutare a limitare la tua suscettibilità a questi attacchi informatici e potenzialmente salvare la tua attività da loro. E dovresti anche ricordare che non sei solo: se usi una delle migliori società di web hosting in Canada, ti aiuteranno fornendo strumenti di sicurezza che possono proteggere il tuo sito web.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map