פגיעויות נפוצות באתר

2018 עדים לכמה מהתקפות הסייבר הגדולות שנראו אי פעם: פריצות לקבוצת מריוט, אקוויפקס, יאהו ופייסבוק גרמו לכל הפרות נתונים משמעותיות. תוסיפו לכך את ההתערבות ברמת העל בתהליכי בחירות ברחבי העולם, וניכר כי אנו עומדים בפני משבר.


זה היה ברור מזה זמן, אך לא תדע זאת מהנתונים הסטטיסטיים.

במקום זאת, בשנת 2020 נראה שהאתרים לא נעשים פחות מאובטחים.

Ptsecurity מצאה כי בסוף שנת 2018, הפגיעות של יישומי רשת שוב עולה בעלייה, לאחר שנים רבות של ירידה: הם גילו כי 67% אחוז מאפליקציות האינטרנט סבלו מפגיעות אבטחה גבוהה בסוף 2018, שהנפוצה ביותר היא הרשאה בלתי מספקת, העלאת קבצים שרירותיים, מעבר נתיב והזרקת SQL..

בשנת 2020, זה נראה כי המגמה נמשכת. למרות שאתה עשוי להתפתות לנעול את עצמך בפנים, נתק מהאינטרנט ולעולם לא יצור קשר אנושי לעולם … היינו ממליצים על כך.

במקום זאת, אתה יכול להימנע מרוב הפגיעויות המפורטות להלן על ידי התקנת חומת אש ורק גלישה באינטרנט כשהיא מחוברת דרך רשת פרטית וירטואלית (VPN). עיין במדריך שלנו לשירותי ה- VPN הטובים ביותר בקנדה כדי לבחור אחד שמתאים לך.

עם זאת, בואו נראה את הנתונים האחרונים.

כלכלת פשע הסייבר

ראשית, נסתכל על גודל כלכלת פשעי האינטרנט והביטחון ברשת.

  1. קשה להעריך את הערך הכספי הכולל של פשעי רשת, במיוחד בהתחשב בכך שחברות רבות שומרות בסוד פריצות מצליחות. אולם מחקרים של חברת Accenture מצאו כי התקפות ישירות ועקיפות מסכנות 5.2 טריליון דולר בסכנת חמש השנים הבאות.
  2. כשמסתכלים על הצד השני של המטבע, מחקרים שביצעו תובנות שוק גלובאלי מעמידים את גודל שוק הביטחון הקיברנטי על 300 מיליארד דולר בשנה עד שנת 2024.
  3. בארה”ב, אבטחת הרשת היא כיור משמעותי עבור כספי הממשלה. על פי תקציב 2020 שפרסם הבית הלבן, הממשלה מתכננת להוציא 15 מיליארד דולר על הגנה על צרכנים, עסקים ותשתיות קריטיות בשנת 2020. מדובר בעלייה של 4.1% לעומת 2018.
  4. מדובר במספרים עצומים, ועסקים קטנים מתקשים לעמוד בקצב. מחברת ג’וניפר מצאה כי בשנת 2018, הוצאה קטנה ממוצעת הוציאה פחות מ -500 דולר לשנה על אבטחת סייבר.
  5. רמת ההשקעה הנמוכה של חברות קטנות ובינוניות בפשעי רשת מדאיגה גם היא, מכיוון ש- SCORE מצאו כי חברות קטנות ובינוניות הן היעד של 43% מכל התקפות הסייבר..
  6. כשמדובר באיתור ודיווח על פריצות, אנו מתקדמים מעט אך לא הרבה. הזמן הממוצע לדווח על הפרות נתונים בשנת 2020 היה 49.6 יום, על פי אבטחת מבוסס סיכונים. זה קצת יותר טוב מ- 50+ ימים בשנת 2018, זה עדיין עניין.
  7. בקנה מידה הרחב ביותר, פשעי האינטרנט עדיין במגמת עלייה. העלות השנתית התשיעית של סקר פשיעה ברשת על ידי Accenture מצאה כי הפרות האבטחה עלו ב -11% בשנת 2018, וככל הנראה שזה יימשך לשנת 2020..
  8. אותו סקר בדק גם את הגידול בהתקפות הסייבר לטווח הארוך יותר, ומצא כי הם עלו ב -67% בחמש השנים האחרונות..

עלויות האקים

קנה המידה העצום של פשעי הסייבר, והמספרים העצומים הכרוכים בהם, יכולים לפעמים לגרום לכך שאפשר יהיה לשכוח את קורבנות הפריצות – יחידים, חברות ואפילו ממשלות. אז בואו נסתכל על ההשפעות האמיתיות של פשעי רשת.

  1. דוח הפשע השנתי של Cybersecurity Ventures לשנת 2020 מציב מספרים על ההשלכות של פריצות על עסקים. הם גילו כי נזקי פשיעה ברשת צפויים לעלות לעסקים 6 טריליון דולר בשנה עד שנת 2021, מספר שהם מציינים כי “מייצג את העושר הגדול ביותר של עושר בהיסטוריה האנושית”..
  2. מבין 6 טריליון דולר זה, נזקי ransomware הם הצמיחה המהירה ביותר. Cybersecurity Ventures אומרים כי עלות הכלי ransomware תגיע ל -20 מיליארד דולר עד שנת 2021.
  3. על פי המחקר העולמי של Accenture, העלות הממוצעת של פשעי רשת עבור ארגונים מוערכת בכ -13 מיליון דולר בשנה.

הקורבנות

פשע ברשת הוא בעיה עצומה כשמדובר ברווחיות וקיימות של חברות. אך לפריצות מוצלחות יכולות להיות השלכות קשות גם על מספר עצום של צרכנים.

  1. בואו נגמור דבר אחד מהדרך: ארה”ב היא היעד מספר אחת של מתקפות סייבר, כך עולה ממחקר של נורטון. זה עשוי להיות נתון אחד שבו אזרחי ארה”ב פחות גאים בכך שהם מספר 1.
  2. בארה”ב יותר מ -60% מהאזרחים נחשפו להונאה מקוונת, על פי דו”ח של מכון רואי החשבון האמריקאי.
  3. סקר הפשע השנתי של גאלופ נראה קצת יותר עמוק וגילה כי היקף פשעי הסייבר בארצות הברית מדהים. 23% מהאמריקנים מדווחים כי הם, או מישהו שהם מכירים, היו הקורבן הישיר לפשעי רשת.
  4. רוב האנשים הללו נפלו קורבן למספר קטן בלבד של הפרות נתונים ענקיות. בשנת 2018, על פי דיווח של RBS, רק 12 הפרות נתונים חשפו יותר משלושה רבעים מכל הרשומות שנפגעו באותה השנה. מספר הרשומות? יותר ממאה מיליון.
  5. במבט לעתיד, מחקר ג’וניפר טוען כי עד 2021 ייגנבו 33 מיליארד רשומות בשנה.

פשע ברשת לפי ענף כלכלי

יש תעשיות שיש סיכוי גבוה יותר להיות היעד של פשעי רשת מאשר אחרות. בפרט, חברות העובדות עם תשתיות קריטיות, או מידע אישי רגיש, הינן בסיכון הגבוה ביותר.

  1. כרגע יעדים מועדפים על יצרנים וחברות כרייה. דוח של Make UK ו- AIG מצא כי 48% מהיצרנים בבריטניה הוטלו על ידי פושעי רשת, ועל פי דוח הסיכון לאבטחת האינטרנט של סימנטק, 38.4% מהחברות בענף הכרייה ראו התקפות דומות.
  2. בעתיד, חברות הבריאות הולכות להיות ממוקדות יותר ויותר. Cybersecurity Ventures אמרו כי הם צופים כי ההתקפות נגד חברות הבריאות יגדלו חמש פעמים (כן חמש פעמים) עד שנת 2021.
  3. על פי דוח הסיכונים לאבטחת האינטרנט של סימנטק, המגזר הציבורי ממוקד יותר ויותר. אחת מכל 302 הודעות דוא”ל שקיבלו עובדי ציבור בשנת 2020 הייתה תרמית.
  4. תוכנות זדוניות הולכות וגדלות, בעיקר בענפי הבנקאות והפיננסים. מעבדות קספרסקי עדכנו לאחרונה את רשימת המשפחות הזדוניות שלה כך שתכלול יותר מעשרים סוגים של תוכנת כספומט זדונית.

התיקים העליונים

עכשיו לגלריית הסוררים: ההאקים הגדולים ביותר של שנת 2018 (ותחילת 2020), ומספר הקורבנות של כל אחד.

  1. למעשה ההאקינג הגדול ביותר של שנת 2018 היה מחוץ לארה”ב. כמיליארד וחצי מיליארד אזרחים הודים לא דלפו את המידע האישי שלהם במהלך גרזן במסד הנתונים הלאומי של המדינה. זה כמעט כולם במדינה.
  2. בארצות הברית, הפריצה הגדולה ביותר של 2020 הייתה גם הפרת הנתונים הגדולה ביותר בהיסטוריה. בחודש מרץ, חוקר אבטחה ב- It מצא מסד נתונים בשם “אוסף 1”, שהכיל כתובות דוא”ל וסיסמאות של 1.16 מיליארד אנשים..
  3. נראה שלפייסבוק יש הפרת נתונים משמעותית מדי שנה, ו- 2020 לא הייתה יוצאת דופן. 540 מיליון רשומות נחשפו בפומבי, על פי דיווח של Upguard.
  4. הרשימה עוד ארוכה. קבוצת מריוט חשפה את המידע האישי של 500 מיליון משתמשים בסוף 2018, ו -340 מיליון רשומות לקוחות שוחררו בהפרה של חברת Exactis, כך על פי CNET..

הסוגים הנפוצים ביותר של פגיעות באתר

כעת יש לנו מושג כלשהו לגבי גודל פשעי רשת, בואו נראה את המקור הנפוץ ביותר של פגיעויות עבור עסקים וארגונים אחרים: אתרי האינטרנט שלהם.

התבוננות בפגיעויות האתר הנפוצות ביותר בשנת 2020 היא משימה מעט מדכאת. הסיבה לכך היא שהפגיעויות הנפוצות (והמסוכנות ביותר) הן אלה שהיו באותה רשימה בשנת 2018, בשנת 2008 ובשנת 1988.

אלה הם: התקפות DDoS, זיהום זדוני, התקפות אדם באמצע, ואפליקציות אינטרנט מאובטחות בצורה לא טובה.

בואו נסתכל על כל אחד בנפרד.

התקפות DDoS

התקפות של מניעת שירות מופצות (DDoS) נפוצות יותר מאי פעם, ועדיין הן הצורה הפופולרית ביותר של התקפת אתרים.

  1. בהתחשב בכך, אין זה מפתיע כי שנת 2018 ראתה את מתקפת ה- DDoS הגדולה אי פעם. “ספק מבוסס ארה”ב”, לפי נתוני NETSCOUT, היה היעד להתקפת השתקפות / הגברה שפגעה באתר שלהם עם 1.7 טרה-בייט של בקשות זדוניות בשנייה. לנקודת מבט מסוימת, זהו רוחב הפס המקביל להזרמת 200,000 תכניות טלוויזיה HD בו זמנית.
  2. DDoS גם מהווה חלק גדול מעלות פשעי האינטרנט. בדו”ח השנתי בנושא אבטחת הסייבר של Bulletproof משנת 2020 נמצא כי התקפת DDoS בדרך כלל עולה לחברות גדולות 2 מיליון דולר, וחברות קטנות יותר 120,000 דולר..
  3. זה לא מפתיע, בהתחשב בכך ש- ‘ערכות התקפה’ של DDoS, הזמינות לרכישה באינטרנט האפל, עלו בערך 20 דולר, על פי מאמר מאת Ars Technica.
  4. משך הזמן הממוצע שלוקח להתקן, המחובר לאינטרנט לאינטרנט לתקוף על ידי בקשת DDoS, הוא 5 דקות, לפי נתוני NETSCOUT.
  5. כל הנתונים הסטטיסטיים הללו מוכרים, אך התקפות DDoS מציגות גם כמה תכונות חדשות. לדברי קספרסקי, למשל, סין היוותה למעלה מ- 50% מהתקפות ה- DDoS בסוף 2018..
  6. חשש נוסף הוא שעם יותר מכשירי IoT מחוברים לאינטרנט אי פעם, כוחם של התקפות DDoS צפוי רק לגדול. גרטנר העריך כי מספר מכשירי ה- IoT יגיע ל 20.4 מיליארד עד 2020, וכי הדבר יהפוך את התקפות ה- DDoS למסוכנות מתמיד.

תוכנות זדוניות

תוכנות זדוניות הן עדיין בעיה עצומה. למעשה, תוכנות זדוניות נפוצות יותר מתמיד.

  1. דוא”ל הוא עדיין הדרך הנפוצה ביותר להפצת תוכנות זדוניות. CSO Online דיווח כי דוא”ל אחראי להפצת עד 92% מהמקרים הזדוניים. אבל זה לא אומר שאתרים אינם פגיעים לתוכנות זדוניות.
  2. רוב התוכנות הזדוניות מופצות כעת כתסריטים זדוניים. סקריפטים של PowerShell הם מזמן מקור ענק לפגיעות, אך Symantec מצאו כי השימוש בסקריפטים של Powershell זינק ב -1000% בשנת 2018. באותו דוח נמצא כי סקריפטים מהווים 47.5% מהקבצים המצורפים לדוא”ל..
  3. תוכנות זדוניות משפיעות על כל סוגי המכשירים, ויכולות להוות איום על אתרים ממחשבים ניידים, טאבלטים וסמארטפונים. למעשה, סמארטפונים עשויים בהחלט להפוך למקור הגדול ביותר לתוכנות זדוניות בעשור הקרוב: תוכנות כופר רלוונטיות לנייד גדלו בשנה האחרונה ב- 33%, על פי סימנטק..
  4. תוכנות זדוניות מהוות כעת גם איום עצום עבור עסקים. תוכנות זדוניות שמכוונות באופן ספציפי לארגונים עלו ב- 12% בשנת 2020, כפי שנמצא על ידי סימנטק.

אדם באמצע התקפות

מקור מרכזי לפגיעות באתר הוא האדם בהתקפות אמצעיות. עבור אתרים מאובטחים בצורה גרועה, קל יחסית להאקרים להכניס את עצמם בין לקוחות לבעלי אתרי אינטרנט, וליירט את כל המידע שנשלח ביניהם..

התקפות MITM, כידוע, הולכות וגוברות.

  1. לדוגמה, טכניקות MITM היו מעורבות ב -35% מניצול אתרים בשנת 2018, על פי מדד מודיעין האיום X-Force Threat 2020 של יבמ.
  2. זה לא מפתיע, נוכח עד כמה עסקים רבים שלא היו מוכנים להתקפות MITM. Netcraft מצאה, למשל, כי 95% משרתי HTTP היו חשופים ל- MiTM בשנת 2016, וכי מעט נעשה מאז לתקן את הפגיעויות הללו..
  3. מדאיג יותר הוא העובדה שרק 10% מהחברות יישמו HSTS לאתרי האינטרנט שלהן, מה שמותיר אותן פתוחות להתקפה. W3Techs ביצעו מחקר זה, והמליצו גם לכל אתרי האינטרנט ליישם את הפרוטוקול בהקדם האפשרי.

התקפות של יישומי אינטרנט

יישומי אינטרנט הם כיום חלק בלתי נפרד כמעט מכל אתר, והעלייה בשימוש שלהם לוותה בעלייה דומה בניצולם. על פי המחקר של אימפרה, למשל, יותר ממחצית מאפליקציות הרשת מנצלות ציבורית הזמינות להאקרים, ולמעלה משליש מהניצולים הללו אין פיתרון..

  1. הצורות הנפוצות ביותר של התקפות על יישומי אינטרנט, על פי דיווח של TrustWave, הן אלה המנצלות סקריפטים בין אתרים (XSS), שהיוו כ -40% מהתקפות כאלה, והזרקות SQL שהיוו 24%..
  2. פגיעויות ביישומי אינטרנט נפוצות אף הן. Acunetix מצאה כי 46% מהאתרים סובלים מפגיעות מסוג זה.
  3. סוג זה של פגיעות באתר נמצא במגמת עלייה. התקפות של הזרקת SQL והתקפות סקריפט בין-לאומיות עלו ב -38% בשנת 2018, על פי מחקר של אקמאי. וורדפרס, CMS הפופולרי ביותר ללא ספק, הוא יעד נפוץ לזריקות SQL מכיוון שמארחי וורדפרס הפופולריים ביותר משתמשים ב- SQL כברירת מחדל..
  4. על פי סימנטק המספר הממוצע של אתרי אינטרנט שנחשפו לניצול טפסים בחודש בשנת 2018 נרשם גידול עצום בשנת 2018..
  5. על פי Acunetix, 2% מיישומי האינטרנט היו רגישים גם לביצוע קוד מרחוק, מה שמאפשר למשתמש זדוני לבצע קוד (זדוני) משלו בתוך סקריפט האתר שלך. ולמרות ש -2% אולי לא נשמעים כל כך גבוהים, לאור המספר העצום של אתרי אינטרנט בחוץ, זה מייצג מספר עצום של אתרים פגיעים.
  6. למעשה, הרוב המכריע של חדירת LAN לאזור מקומי (LAN) בשנת 2020 נבע מחולשות ביישומי אינטרנט, כך עולה ממחקר שערך חיובי טכנולוגיות..

בשורה התחתונה

והנה יש לנו את זה: היקף הפגיעות באתר בשנת 2020, וצורות הניצול הנפוצות ביותר.

המספרים האלה עשויים להיות מזעזעים, אך הם מאשרים אמת שכולנו ידועים כבר לא מעט שנים. היקף פשעי האינטרנט הוא בעיה עצומה, ואנחנו כמעט לא פותרים אותה.

נקיטת כמה צעדים בסיסיים לאבטחת האתר שלך יכולה לעזור לך להגביל את הרגישות שלך להתקפות סייבר אלה, ובאופן פוטנציאלי להציל את העסק שלך מהן. וכדאי לזכור שאינך לבד – אם אתה משתמש באחת מחברות אירוח אתרים הטובות ביותר בקנדה, הן יסייעו בכך שתספק כלי אבטחה שיכולים לשמור על בטיחות האתר שלך..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map