Общи уязвимости на уебсайта

2018 г. става свидетел на някои от най-големите кибератаки, виждани някога: хакове на Marriott Group, Equifax, Yahoo и Facebook, всички доведоха до големи нарушения на данните. Към това добавете и засилената намеса в избирателните процеси по света и е ясно, че сме изправени пред криза.


Това е ясно от известно време, но не бихте знали това от статистиката.

Вместо това, през 2020 г. уебсайтовете изглежда не стават по-малко защитени.

Ptsecurity установи, че в края на 2018 г. уязвимостта на уеб приложенията отново нараства, след много години намаление: те откриха, че 67% процента от уеб приложенията имат уязвими места в края на 2018 г., като най-често това е Недостатъчно разрешение, произволно качване на файлове, преминаване на пътя и SQL инжектиране.

През 2020 г. това изглежда, че тенденцията продължава. Въпреки че може да се изкушите да се заключите вътре, изключете се от интернет и никога повече не контактувайте с хората … ние бихме посъветвали това.

Вместо това можете да избегнете повечето изброени по-долу уязвимости, като инсталирате защитна стена и сърфирате в мрежата само когато сте свързани чрез виртуална частна мрежа (VPN). Вижте нашето ръководство за най-добрите VPN услуги в Канада, за да изберете такава, която да работи за вас.

Това каза, нека разгледаме най-новите данни.

Икономиката на киберпрестъпността

Първо, нека разгледаме размера на икономиката на киберпрестъпността и киберсигурността.

  1. Общата парична стойност на киберпрестъпността е трудно да се оцени, особено като се има предвид, че много компании пазят в тайна успешните хакове. Но изследването на Accenture установи, че преките и косвените атаки излагат на риск 5,2 трилиона долара през следващите пет години.
  2. Разглеждайки другата страна на монетата, проведените изследвания Global Market Insights поставят размера на пазара на киберсигурност на 300 милиарда долара годишно до 2024 г..
  3. В САЩ киберсигурността е основна мивка за държавните средства. Според бюджета за 2020 г., освободен от Белия дом, правителството планира да похарчи 15 милиарда долара за защита на потребителите, бизнеса и критичната инфраструктура през 2020 г. Това е 4,1% увеличение за 2018 г..
  4. Това са огромни числа, а малките предприятия изпитват трудности в крак. Juniper Research установи, че през 2018 г. средният малък бизнес харчи по-малко от 500 долара годишно за киберсигурност.
  5. Ниското ниво на инвестиции на МСП в киберпрестъпност също е тревожно, защото SCORE са установили, че МСП са цел на 43% от всички кибератаки.
  6. Когато става въпрос за откриване и докладване на хакове, ние постигаме известен напредък, но не много. Средното време за подаване на сигнали за нарушения на данните през 2020 г. е било 49,6 дни, според Risk Based Security. Това е малко по-добре от 50+ дни през 2018 г., все още се отнася.
  7. В най-широк мащаб киберпрестъпността все още е във възход. Деветото годишно проучване на разходите за киберпрестъпления от Accenture установи, че нарушенията на сигурността са се увеличили с 11% през 2018 г. и че това вероятно ще продължи и през 2020 г..
  8. Същото проучване взе и по-дългосрочен поглед върху увеличаването на кибератаките и установи, че те са се увеличили със 67% през последните пет години.

Разходите за хакове

Едният мащаб на киберпрестъпността и огромен брой участващи понякога може да означава, че жертвите на хакове – физически лица, компании и дори правителства – могат да бъдат забравени. Затова нека разгледаме влиянията на киберпрестъпността в реалния живот.

  1. Годишният доклад за престъпленията за киберсигурност за 2020 г. поставя известен брой последствия от хакове за бизнеса. Те откриха, че щетите от киберпрестъпността се очаква да струват на бизнеса 6 трилиона долара годишно до 2021 г., число, което те посочват „представлява най-големият трансфер на богатство в човешката история“.
  2. От тези 6 трилиона щатски долара щетите от износ на софтуер най-бързо нарастват. В киберсигурността Ventures казват, че цената на извличане на софтуер ще достигне 20 милиарда долара до 2021 г..
  3. Според глобалното проучване на Accenture средната цена на киберпрестъпността за организации се оценява на 13 милиона долара годишно.

Жертвите

Киберпрестъпността е огромен проблем, когато става въпрос за рентабилността и устойчивостта на компаниите. Но успешните хакове също могат да имат тежки последици за огромен брой потребители.

  1. Нека да се измъкнем едно нещо: САЩ са мишена номер 1 на кибератаки, сочат проучванията на Нортън. Това може да е една статистика, при която гражданите на САЩ са по-малко от горди от това, че са №1.
  2. В САЩ повече от 60% от гражданите са били изложени на онлайн измами, сочи доклад на Американския институт за CPA.
  3. Годишното проучване на престъпността на Gallup изглежда малко по-задълбочено и установи, че мащабът на киберпрестъпността в САЩ е стряскащ. 23% от американците съобщават, че те или някой, когото познават, са били пряката жертва на киберпрестъпността.
  4. По-голямата част от тези хора станаха жертва само на малък брой огромни нарушения на данните. През 2018 г. според доклад на RBS само 12 нарушения на данните разкриха повече от три четвърти от всички записи, компрометирани през тази година. Броят на записите? Повече от 100 милиона.
  5. Гледайки към бъдещето, Juniper Research твърдят, че до 2021 г. ще бъдат откраднати 33 милиарда записи годишно.

Киберпрестъпност по индустрия

Някои отрасли са по-склонни да бъдат обект на киберпрестъпност от други. По-специално, компаниите, които работят с критична инфраструктура или чувствителна лична информация, са най-изложени на риск.

  1. В момента производителите и минните компании са предпочитани цели. Доклад на Make UK и AIG установява, че 48% от производителите в Обединеното кралство са били обект на киберпрестъпници, а според доклада на риска за сигурността в интернет на Symantec 38,4% от компаниите в минната индустрия са виждали подобни атаки.
  2. В бъдеще здравните компании ще бъдат все по-насочени. Киберсигурността Ventures заявиха, че очакват атаките срещу здравните компании да нараснат пет пъти (да, пет пъти) до 2021 г..
  3. Според доклада на риска за сигурността в интернет на Symantec, публичният сектор също е все по-насочен. Един на всеки 302 имейла, получавани от служители на обществеността през 2020 г., беше измама.
  4. Зловредният софтуер също се увеличава, особено в банковата и финансовата индустрия. Наскоро Kaspersky Labs актуализираха списъка си със семейства от злонамерен софтуер, за да включват повече от 20 вида злонамерен софтуер за УВД.

Топ хакове

Сега за галерията на мошениците: най-големите хакове за 2018 г. (и началото на 2020 г.) и броят на жертвите на всеки.

  1. Всъщност най-големият хак на 2018 г. беше извън САЩ. Невероятните 1,5 милиарда индийски граждани изтичаха личната си информация по време на хакване в националната база данни за самоличност. Това е почти всеки в страната.
  2. В САЩ най-големият хак през 2020 г. беше и най-голямото нарушение на данните в историята. През март изследовател по сигурността на It намери база данни, наречена „Колекция 1“, която съдържа имейл адреси и пароли на 1,16 милиарда души.
  3. Изглежда, че Facebook всяка година нарушава големи данни и 2020 г. не е изключение. 540 милиона записа са публично изложени, според доклад на Upguard.
  4. Списъкът продължава. Marriott Group разкри личната информация на 500 милиона потребители в края на 2018 г., а 340 милиона клиентски записи бяха публикувани в нарушение от Exactis, според CNET.

Най-често срещаните видове уязвимост на уебсайтове

Сега имаме някаква идея за мащаба на киберпрестъпността, нека разгледаме най-често срещания източник на уязвимости за бизнеса и други организации: техните уебсайтове.

Разглеждането на най-често срещаните уязвимости на уебсайта през 2020 г. е леко потискаща задача. Това е така, защото най-честите (и най-опасните) уязвимости са тези, които са били в същия списък през 2018 г., през 2008 г. и през 1988 г..

Това са: DDoS атаки, зараза със злонамерен софтуер, Man in the Middle Attacks и лошо защитени уеб приложения.

Нека разгледаме всеки поотделно.

DDoS атаки

Атаките на разпределеното отказване на услуга (DDoS) са по-чести от всякога и все още са най-популярната форма на атака на уебсайтове.

  1. Като се има предвид това, не е изненадващо, че през 2018 г. се наблюдава най-голямата DDoS атака в историята. Според „NETSCOUT“ „базираният в САЩ доставчик“ беше целта на атака за размисъл / усилване, която удари уебсайта им със 1,7 терабайта злонамерени заявки в секунда. За известна гледна точка това е еквивалентната честотна лента на стрийминг на 200 000 HD телевизионни предавания едновременно.
  2. DDoS също представлява голяма част от цената на киберпрестъпността. Годишният доклад за киберсигурност на Bulletproof от 2020 г. установи, че DDoS атаката обикновено струва на големи компании 2 милиона долара, а на по-малките компании 120 000 долара.
  3. Това не е изненадващо, като се има предвид, че DDoS „атакуващите комплекти“, достъпни за закупуване в Тъмната мрежа, струват около 20 долара, според статия на Ars Technica.
  4. Средната продължителност на времето, необходимо за устройство, новозавързано към интернет, да бъде атакувано от DDoS заявка е 5 минути, според NETSCOUT.
  5. Всички тези статистики са познати, но DDoS атаките също показват някои нови функции. Според Касперски например, Китай представлява над 50% от DDoS атаките в края на 2018 година.
  6. Друго притеснение е, че с повече IoT устройства от всякога свързани с мрежата, силата на DDoS атаките вероятно само ще се увеличи. Gartner са изчислили, че броят на IoT устройства ще достигне 20,4 милиарда до 2020 г. и че това ще направи DDoS атаките по-опасни от всякога.

Malware

Зловредният софтуер все още е огромен проблем. Всъщност зловредният софтуер е по-често срещан от всякога.

  1. Имейлът все още е най-разпространеният начин за разпространение на злонамерен софтуер. CSO Online съобщиха, че имейл е отговорен за разпространението на до 92% от случаите на злонамерен софтуер. Но това не означава, че уебсайтовете не са уязвими от зловреден софтуер.
  2. Повечето зловреден софтуер вече се разпространява като злонамерени скриптове. PowerShell скриптове отдавна са огромен източник на уязвимост, но Symantec откриха, че използването на злонамерени скриптове на Powershell скочи 1000% през 2018 г. Същият доклад установи, че скриптовете формират 47,5% от злонамерени прикачени имейли.
  3. Зловредният софтуер засяга всички видове устройства и може да представлява заплаха за уебсайтове от лаптопи, таблети и смартфони. Всъщност смартфоните може да се превърнат в най-големият източник на зловреден софтуер през следващото десетилетие: мобилният откъм софтуер е нараснал с 33% през годината, според Symantec.
  4. Зловредният софтуер също е огромна заплаха за бизнеса. Зловредният софтуер, специално насочен към предприятията, се увеличи с 12% през 2020 г., както установява Symantec.

Човек в средните атаки

Основен източник на уязвимост на уебсайта е човекът в средата на атаките. За лошо защитените уебсайтове хакерите са сравнително лесни за вмъкване между клиенти и собственици на уебсайтове и прихващат цялата информация, която се изпраща между тях.

MITM атаките, както са известни, също се увеличават.

  1. Например техниките на MITM са участвали в 35% от експлоатацията на уебсайтове през 2018 г., според X-Force Threat Intelligence Index 2020.
  2. Това не е изненадващо, като се има предвид колко неподготвени са много бизнеси за MITM атаки. Netcraft са установили например, че 95% от HTTP-сървърите са уязвими към MiTM през 2016 г. и оттогава е направено малко за отстраняване на тези уязвимости.
  3. Още по-притеснителен е фактът, че само 10% от компаниите са внедрили HSTS за своите уебсайтове, което ги оставя отворени за атака. W3Techs извърши това проучване и също препоръча всички уебсайтове да прилагат протокола възможно най-скоро.

Атаки на уеб приложения

Уеб приложенията вече са неразделна част от почти всеки уебсайт, а нарастването на използването им е придружено от подобно увеличение на тяхната експлоатация. Според проучвания на Imperva, например, повече от половината уеб приложения имат публичен експлоатация, която е достъпна за хакери, а повече от една трета от тези експлоатации нямат решение.

  1. Според доклад на TrustWave най-често срещаните форми на атаки на уеб приложения са тези, които експлоатират скриптове на различни сайтове (XSS), които представляват около 40% от такива атаки, и SQL инжекции, които представляват 24%.
  2. Уязвимостите в уеб приложенията също са изключително често срещани. Acunetix са установили, че 46% от уебсайтовете имат този вид уязвимост.
  3. Този тип уязвимост на уебсайтове също се увеличава. SQL инжектиране и кръстосани скриптови атаки се увеличиха с 38% през 2018 г., според проучване на Akamai. WordPress, най-популярният CMS досега, е обща цел на SQL инжекции, тъй като повечето популярни WordPress хостове използват SQL по подразбиране.
  4. Формейкингът също отбеляза огромен ръст през 2018 г. Средният брой уебсайтове, компрометирани от експлоатационни формати на месец през 2018 г., е 4818, според Symantec.
  5. Според Acunetix 2% от уеб приложенията също са податливи на отдалечено изпълнение на код, което позволява на злонамерен потребител да изпълнява свой (злонамерен) код в скриптите на уебсайта си. И макар 2% да не звучат толкова високо, като се има предвид чистият брой уебсайтове там, това представлява огромен брой уязвими уебсайтове.
  6. Всъщност по-голямата част от навлизането на локалната мрежа (LAN) през 2020 г. се дължи на слабостите в уеб приложенията, според проучванията на позитивните технологии.

Долния ред

И там го имаме: мащаба на уязвимостта на уебсайта през 2020 г. и най-често срещаните форми на подвизи.

Тези цифри може да са шокиращи, но потвърждават истина, която всички познаваме от доста години. Мащабът на киберпрестъпността е огромен проблем и този никъде не се решава.

Предприемането на някои основни стъпки за осигуряване на уебсайта Ви може да помогне за ограничаване на възприемчивостта ви към тези кибератаки и потенциално да спестите бизнеса си от тях. Освен това трябва да помните, че не сте сами – ако използвате една от най-добрите компании за уеб хостинг в Канада, те ще ви помогнат, като предоставят инструменти за сигурност, които могат да запазят вашия уебсайт в безопасност.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map