Համացանցային խոցելի խոցելիություններ

2018 թվականը ականատես են եղել երբևէ տեսած ամենախոշոր կիբերհարձակումներից ՝ Marriott Group- ի, Equifax- ի, Yahoo- ի և Facebook- ի հակերները բոլորն էլ հանգեցրել են տվյալների խոշոր խախտումների: Սրան գումարեք ավելացված մակարդակի միջամտությունը ընտրական գործընթացներին ամբողջ աշխարհում, և պարզ է, որ մենք կանգնած ենք ճգնաժամի առջև.


Դա որոշ ժամանակ պարզ էր, բայց դուք դա չէիք իմանա վիճակագրությունից.

Փոխարենը, 2020 թ. Կայքերը կարծես թե դառնում են ավելի քիչ անվտանգ.

Ptsecurance- ը պարզեց, որ 2018-ի վերջին վեբ դիմումների խոցելիությունը կրկին աճում է ՝ երկար տարիներ իջելուց հետո. Նրանք գտան, որ Վեբ հավելվածների 67% -ը ունեցել են բարձր անվտանգության խոցելիություններ 2018-ի վերջին, որոնք ամենատարածվածը անբավարար թույլտվությունն են, կամայական ֆայլերի վերբեռնումը, Path Traversal- ը և SQL ներարկումը.

2020 թ միտումը, կարծես, շարունակվում է. Եթե ​​գուցե գայթակղվեք ձեզ ներսից կողպեք, անջատեք ինտերնետից և այլևս երբեք մարդկային կապ չկատարեք… մենք խորհուրդ կտանք դրան դեմ:.

Փոխարենը, դուք կարող եք խուսափել ստորև նշված թվարկած խոցելիություններից շատերից ՝ տեղադրելով firewall և միայն վեբ-ցանց ճամփորդել, երբ միացված է վիրտուալ մասնավոր ցանցի միջոցով (VPN): Ստուգեք Կանադայում գործող լավագույն VPN ծառայությունների մեր ուղեցույցը `ընտրելու համար մեկը, որն աշխատում է ձեզ համար.

Այսինքն ՝ եկեք դիտենք վերջին տվյալները.

Կիբերհանցագործությունների տնտեսություն

Նախ, դիտարկենք կիբերհանցագործությունների և կիբեր անվտանգության ոլորտի տնտեսության չափը.

  1. Կիբերհանցագործությունների ընդհանուր դրամական արժեքը դժվար է գնահատել, մանավանդ, որ շատ ընկերություններ հաջող գաղտնիք են պահում: Սակայն Accenture- ի կողմից կատարված հետազոտության արդյունքում պարզվել է, որ ուղիղ և անուղղակի հարձակումները 5,2 տրիլիոն դոլար ռիսկի են ենթարկում առաջիկա հինգ տարիներին.
  2. Նայելով մետաղադրամի մյուս կողմին ՝ Global Market Insights- ի կողմից իրականացված հետազոտությունները կիբերվտանգության շուկայի չափը տարեկան մինչև 2024 թվականը կազմում է 300 միլիարդ դոլար.
  3. ԱՄՆ-ում կիբերանվտանգությունը գլխավոր միջոց է պետական ​​միջոցների համար: Ըստ Սպիտակ տան կողմից թողարկված 2020 թվականի բյուջեի, կառավարությունը նախատեսում է ծախսել 15 միլիարդ դոլար ՝ 2020-ին սպառողներին, բիզնեսին և կրիտիկական ենթակառուցվածքը պաշտպանելու համար: Սա 2018 թվականի համար 4,1 տոկոսանոց աճ է:.
  4. Սրանք հսկայական թվեր են, և փոքր բիզնեսը դժվար է պահպանում: Juniper Research- ը պարզել է, որ 2018-ին averag փոքր բիզնեսը տարեկան ավելի քիչ $ 500 դոլար է ծախսել կիբերանվտանգության վրա.
  5. Կիբեր հանցագործության մեջ ՓՄՁ-ների ներդրումների ցածր մակարդակը նույնպես մտահոգիչ է, քանի որ SCORE- ը պարզել է, որ ՓՄՁ-ները հանդիսանում են կիբերհարձակումների 43% -ի թիրախ:.
  6. Երբ խոսքը վերաբերում է հաքերի հայտնաբերմանը և զեկուցմանը, մենք որոշակի առաջընթաց ենք ապրում, բայց ոչ շատ: Համաձայն Risk based Security- ի տվյալների ՝ 2020 թվականին տվյալների խախտումների մասին հաղորդելու միջին ժամանակը կազմել է 49,6 օր: Սա մի փոքր ավելի լավ է, քան 50+ օր 2018-ին, դեռևս մտահոգիչ է.
  7. Ամենալայն մասշտաբով կիբերհանցագործությունները դեռ աճում են: Accenture- ի կողմից կիբերհանցագործությունների հարցման իններորդ տարեկան արժեքը պարզել է, որ 2018-ին անվտանգության խախտումներն աճել են 11% -ով, և որ դա, ամենայն հավանականությամբ, կշարունակվի մինչև 2020 թ..
  8. Նույն հետազոտությունը նաև երկարաժամկետ հայացք է տվել կիբերհարձակումների աճին, և պարզվել է, որ վերջին 5 տարիներին դրանք աճել են 67% -ով.

Հաքերի ծախսերը

Կիբերհանցագործությունների զգալի մասշտաբը և դրանում ներգրավված հսկայական թվաքանակը երբեմն կարող են նշանակել, որ հաքերի զոհերը `անհատներ, ընկերություններ և նույնիսկ կառավարություններ, կարող են մոռացվել: Եկեք դիտարկենք կիբերհանցագործությունների իրական ազդեցությունը.

  1. Կիբերանվտանգության ձեռնարկությունների 2020 թվականի տարեկան հանցագործության մասին զեկույցը որոշ թվեր է ներկայացնում բիզնեսի համար հաքերի հետևանքների վերաբերյալ: Նրանք պարզել են, որ կիբերհանցագործությունների հասցված վնասները մինչև 2021 թվականը նախատեսվում է տարեկան $ 6 տրիլիոն դոլար, ինչը, ըստ նրանց, «ներկայացնում է հարստության ամենամեծ փոխանցումը մարդկության պատմության մեջ»:.
  2. Այս 6 տրիլիոն դոլարից փրկագին վնասները ամենաարագ աճն են: Կիբերանվտանգության ձեռնարկությունները նշում են, որ փրկարարական ծրագրերի արժեքը մինչև 2021 թվականը կհասնի 20 միլիարդ դոլարի.
  3. Համաձայն Accenture- ի գլոբալ ուսումնասիրության, կազմակերպությունների համար կիբերհանցագործությունների միջին արժեքը գնահատվում է տարեկան 13 միլիոն դոլար.

Զոհերը

Կիբերհանցագործությունը հսկայական խնդիր է, երբ խոսքը գնում է ընկերությունների շահութաբերության և կայունության մասին: Բայց հաջող հաքերը կարող են նաև ծանր հետևանքներ ունենալ սպառողների մեծ թվաքանակի համար.

  1. Եկեք դուրս գանք մի բան. ԱՄՆ-ը կիբերհարձակումների թիվ մեկ թիրախն է, համաձայն Norton- ի հետազոտության: Դա կարող է լինել մի վիճակագրություն, որտեղ ԱՄՆ քաղաքացիները ավելի քիչ են հպարտանում, որ # 1 են.
  2. ԱՄՆ-ում քաղաքացիների ավելի քան 60% -ը ենթարկվել է առցանց խարդախությունների, ասվում է CPA- ի ամերիկյան ինստիտուտի զեկույցում:.
  3. Gallup- ի տարեկան հանցագործության ուսումնասիրությունը մի փոքր ավելի խորն է թվում և պարզել է, որ ԱՄՆ-ում կիբերհանցագործությունների մասշտաբները զարմանալի են: Ամերիկացիների 23% -ը նշում է, որ իրենք, կամ իրենց ճանաչած մեկը, եղել են կիբերհանցագործությունների անմիջական զոհը.
  4. Այս մարդկանց մեծամասնությունը զոհ է դարձել պարզապես տվյալների հսկայական քանակի խախտումների: 2018-ին, ըստ RBS- ի զեկույցի, տվյալների ընդամենը 12 խախտմամբ բացահայտվել է այդ տարվա ընթացքում բոլոր գրառումների ավելի քան երեք քառորդը: Գրառումների քանակը: 100 միլիոնից ավելի.
  5. Նայելով ապագային ՝ Juniper Research- ը պնդում է, որ տարեկան մինչև 2021 թվականը գողանալու է 33 միլիարդ գրառում.

Կիբերհանցագործությունն ըստ արդյունաբերության

Որոշ արդյունաբերություններ, հավանաբար, կիբերհանցագործությունների թիրախ են, քան մյուսները: Մասնավորապես, առավելագույն ռիսկի են ենթարկում այն ​​ընկերությունները, որոնք աշխատում են կրիտիկական ենթակառուցվածքների կամ զգայուն անձնական տեղեկատվության վրա.

  1. Այս պահի դրությամբ արտադրողները և հանքարդյունաբերական ընկերությունները նախընտրելի թիրախներ են: Make UK- ի և AIG- ի զեկույցում պարզվել է, որ Մեծ Բրիտանիայում արտադրողների 48% -ը թիրախավորվել են կիբերհանցագործների կողմից, և Symantec- ի համացանցային անվտանգության ռիսկերի վերաբերյալ զեկույցի համաձայն, հանքարդյունաբերության ոլորտի ընկերությունների 38.4% -ը նման հարձակումներ է տեսել.
  2. Ապագայում առողջապահական ընկերությունները գնալով ավելի ու ավելի թիրախավորված կլինեն: Կիբերանվտանգության ձեռնարկությունները հայտնել են, որ ակնկալում են, որ մինչև 2021 թվականը առողջապահական ընկերությունների դեմ հարձակումները կավելանան հինգ անգամ (այո, հինգ անգամ).
  3. Համաձայն Symantec- ի ՝ ինտերնետի անվտանգության ռիսկերի մասին զեկույցի, հանրային հատվածը նույնպես ավելի ու ավելի թիրախավորված է: 2020-ին պետական ​​ծառայողների կողմից ստացված յուրաքանչյուր 302 էլ-նամակից մեկը խաբեություն է եղել.
  4. Վնասակար ծրագիրը նույնպես աճում է, մասնավորապես, բանկային և ֆինանսական ոլորտներում: Kaspersky Labs- ը վերջերս թարմացրեց չարամիտ ընտանիքների իրենց ցուցակը `ավելի քան 20 տեսակի չարամիտ բանկոմատների ծրագրակազմ ներառելու համար.

Լավագույն հեքիաթները

Այժմ չարագործների պատկերասրահի համար. 2018-ի (և 2020-ի սկզբի) ամենամեծ հաքերները և յուրաքանչյուրի զոհերի թիվը.

  1. Իրականում 2018-ի ամենամեծ հաքը ԱՄՆ-ից դուրս էր: Անհավատալի 1,5 միլիարդ Հնդկաստանի քաղաքացիներ արտացոլվել են իրենց անձնական տեղեկությունները երկրի ազգային տվյալների բազան խաբելու ժամանակ: Դա գրեթե բոլորն են երկրում.
  2. ԱՄՆ-ում, 2020-ի ամենամեծ հաքը նույնպես պատմության մեջ ամենամեծ տվյալների խախտումն էր: Մարտին անվտանգության անվտանգության հետազոտողը գտավ տվյալների բազա ՝ «Հավաքածու 1», որը պարունակում էր 1.16 միլիարդ մարդու էլփոստի հասցեներ և գաղտնաբառեր:.
  3. Facebook- ը, կարծես, ամեն տարի տվյալների մեծ խախտում ունի, և 2020 թվականը նույնպես բացառություն չէր: Ըստ Ուգգարդի զեկույցի ՝ հրապարակվել է 540 միլիոն գրառում.
  4. Ուցակը շարունակվում է: «Մարիոթ գրուպ» -ը բացահայտել է 500 միլիոն օգտագործողների անձնական տեղեկությունները 2018-ի վերջին, իսկ 340 միլիոն հաճախորդի գրառումները թողարկվել են Exactis- ի խախտմամբ, հայտնում է CNET- ը:.

Վեբ կայքի խոցելիության ամենատարածված տեսակները

Այժմ մենք մի գաղափար ունենք կիբերհանցագործությունների մասշտաբի մասին, եկեք դիտարկենք բիզնեսի և այլ կազմակերպությունների համար խոցելիությունների ամենատարածված աղբյուրը. Նրանց կայքերը.

2020-ի ամենատարածված կայքի խոցելիություններին նայելը մի փոքր ճնշող խնդիր է: Դա այն է, որ ամենատարածված (և ամենավտանգավոր) խոցելիությունը նրանք են, որոնք նույն ցուցակում էին 2018-ին, 2008-ին և 1988-ին.

Դրանք են ՝ DDoS հարձակումները, չարամիտ վարակը, «Մարդը միջին հարձակումներում» և վատ ապահովված վեբ ծրագրերը.

Եկեք նայենք յուրաքանչյուրին առանձին.

DDoS հարձակումները

Distribution Denial of Service (DDoS) հարձակումները ավելի տարածված են, քան երբևէ, և շարունակում են մնալ վեբ կայքի հարձակման ամենատարածված ձևը.

  1. Հաշվի առնելով դա, զարմանալի չէ, որ 2018 թվականը տեսավ DDoS- ով երբևէ կատարված ամենամեծ հարձակումը: Ըստ «NETSCOUT» – ի «ԱՄՆ-ի մատակարարող» եղել է արտացոլման / ուժեղացման հարձակման թիրախ, որը հարվածել է իրենց կայքին `մեկ վայրկյանում 1,7 տերաբայթ չարամիտ խնդրանքով: Որոշ տեսանկյունից դա 200,000 HD հեռուստատեսային շոուն միաժամանակ հոսող համարժեք թողունակություն է.
  2. DDoS- ը նաև բաժին է ընկնում կիբերհանցագործությունների գնի մեծ մասը: 2020-ից Bulletproof– ի կիբերանվտանգության տարեկան զեկույցում պարզվել է, որ DDoS հարձակումը, որպես կանոն, արժի մեծ ընկերություններին 2 միլիոն դոլար, իսկ փոքր ընկերությունները ՝ 120 000 դոլար.
  3. Դա զարմանալի չէ, հաշվի առնելով, որ DDoS- ի «հարձակման հավաքածուները», որոնք հասանելի են Dark Web- ում գնելու համար, կարժենան մոտ 20 դոլար, ըստ Ars Technica- ի հոդվածի.
  4. DDoS- ի խնդրանքով հարձակման ենթարկված սարքի միջին երկարությունը 5 րոպե է, ըստ NETSCOUT.
  5. Այս բոլոր վիճակագրությունները ծանոթ են, բայց DDoS- ի գրոհները նաև ցույց են տալիս որոշ նոր հնարավորություններ: Ըստ Կասպերսկու, օրինակ, Չինաստանը կազմում էր DDoS հարձակումների ավելի քան 50% -ը 2018-ի վերջին.
  6. Մեկ այլ մտահոգություն այն է, որ ավելի շատ IoT սարքերով, քան երբևէ ցանցին միացված են, DDoS հարձակումների ուժը միայն հավանական է, որ ավելանա: Գարտները գնահատել է, որ IoT սարքերի քանակը մինչև 2020 թվականը կհասնի 20,4 միլիարդի, և որ դա կդարձնի DDoS գրոհները ավելի վտանգավոր, քան երբևէ.

Չարամիտ

Վնասակար ծրագիրը դեռ հսկայական խնդիր է: Իրականում, չարամիտ ծրագրերն ավելի տարածված են, քան երբևէ.

  1. Email- ը դեռ չարամիտ ծրագրի տարածման ամենատարածված միջոցն է: CSO Online- ը հաղորդել է, որ էլ.փոստը պատասխանատու է չարամիտ դեպքերի մինչև 92% -ի տարածման համար: Բայց դա չի նշանակում, որ կայքերը խոցելի չեն չարամիտ ծրագրի համար.
  2. Չարամիտ ծրագրերի մեծ մասը այժմ բաժանվում է որպես չարամիտ գրություններ: PowerShell- ի սցենարները վաղուց դարձել են խոցելիության հսկայական աղբյուր, բայց Symantec- ը պարզել է, որ չարամիտ Powershell սցենարների օգտագործումը 2018-ին թռավ 1000% -ով: Նույն զեկույցում պարզվեց, որ սցենարները կազմում են էլեկտրոնային փոստով վնասակար հավելվածների 47.5% -ը:.
  3. Չարամիտ ծրագիրը ազդում է բոլոր տեսակի սարքերի վրա և կարող է սպառնալիք լինել կայքերի համար ՝ նոութբուքերի, պլանշետների և սմարթֆոնների: Փաստորեն, սմարթֆոնները կարող են դառնալ չարամիտ չարամիտների ամենամեծ աղբյուրը հաջորդ տասնամյակում. Բջջային փրկագինը ավելացել է 33% -ով անցած տարվա ընթացքում, ըստ Symantec- ի.
  4. Malware- ը այժմ նաև հսկայական սպառնալիք է բիզնեսի համար: Ձեռնարկություններին հատուկ ուղղված չարամիտ ծրագրերն աճել են 12% -ով `2020 թվականին, ինչպես պարզել է Symantec- ը.

Մարդը միջին հարձակման մեջ

Վեբ կայքի խոցելիության հիմնական աղբյուրը միջին հարձակման մեջ գտնվող մարդն է: Վատ ապահովված կայքերի համար հակերների համար համեմատաբար հեշտ է տեղադրվել հաճախորդների և կայքերի տերերի միջև և ընդհատել նրանց միջև ուղարկվող բոլոր տեղեկությունները.

MITM- ի գրոհները, ինչպես հայտնի է, նույնպես աճում են.

  1. Օրինակ ՝ MITM տեխնիկան 2018-ին ներգրավվել է վեբ-կայքերի շահագործման 35% -ով, համաձայն IBM- ի X-Force Threat Intelligence Index 2020.
  2. Սա զարմանալի չէ, հաշվի առնելով, թե որքան անպատրաստ են շատ բիզնեսներ MITM- ի գրոհների համար: Netcraft- ը պարզել է, որ 2016-ին HTTP սերվերների 95% -ը խոցելի է MiTM- ի համար, և այդ ժամանակվանից ի վեր քիչ բան է արվել այդ խոցելիությունները շտկելու համար:.
  3. Ավելի մտահոգիչ է այն փաստը, որ ընկերությունների միայն 10% -ն է իրականացրել HSTS իրենց կայքերի համար, ինչը նրանց բաց է թողնում հարձակման համար: W3Techs- ն իրականացրեց այս հետազոտությունը, ինչպես նաև խորհուրդ տվեց, որ բոլոր կայքերը հնարավորինս շուտ իրականացնեն արձանագրությունը.

Վեբ դիմումների հարձակումներ

Վեբ ծրագրերը այժմ գրեթե յուրաքանչյուր կայքի անբաժանելի մասն են, և դրանց օգտագործման բարձրացումը ուղեկցվել է դրանց շահագործման նմանատիպ աճով: Imperva- ի հետազոտության համաձայն, օրինակ, վեբ հավելվածների կեսից ավելին ունի հանրային շահագործում, որը հասանելի է հակերների համար, և այդ շահագործումների ավելի քան մեկ երրորդը լուծում չունի:.

  1. Համացանցային դիմումների գրոհների ամենատարածված ձևերը, ըստ TrustWave- ի զեկույցի, այն են, որոնք օգտագործում են խաչմերուկային գրությունները (XSS), որոնք կազմում էին այդպիսի գրոհների մոտ 40% -ը, և SQL ներարկումները, որոնք կազմում էին 24%:.
  2. Վեբ կիրառման խոցելիությունները նույնպես չափազանց տարածված են: Acunetix- ը պարզել է, որ կայքերի 46% -ը նման խոցելիություն ունի.
  3. Այս տեսակի վեբ կայքի խոցելիությունը նույնպես աճում է: Akamai- ի հետազոտության համաձայն, 2018 թվականին SQL ներարկման և խաչմերուկի գրությունների գրոհներն աճել են 38% -ով: WordPress- ը, ամենատարածված CMS- ը, SQL ներարկումների ընդհանուր թիրախն է, քանի որ WordPress- ի ամենատարածված հաղորդիչները օգտագործում են SQL- ը լռելյայն.
  4. Ձևաթղթերի ձևավորումը նույնպես հսկայական աճ է գրանցել 2018 թ.-ին: 2018-ին ամսական ձևի շահագործման հետ կապված վարկաբեկված կայքերի միջին թիվը 4818 է, ըստ Symantec- ի.
  5. Ըստ Acunetix- ի, վեբ հավելվածների 2% -ը նույնպես ենթակա էր հեռակա կոդերի կատարմանը, ինչը թույլ է տալիս չարամիտ օգտագործողին կատարել ձեր սեփական (չարամիտ) ծածկագիրը ձեր կայքի գրությունների մեջ: Եվ չնայած 2% -ը գուցե այդքան բարձր չի թվում ՝ հաշվի առնելով այնտեղի կայքերի բավականին քանակը, սա ներկայացնում է խոցելի կայքերի հսկայական քանակ.
  6. Փաստորեն, «Տեղական տարածքային ցանցի» (LAN) ներթափանցման ճնշող մեծամասնությունը 2020 թվականին պայմանավորված է վեբ կիրառման թույլ կողմերով: Ըստ Positive Technologies- ի հետազոտության.

Ներքևի գիծը

Եվ ահա մենք ունենք այն ՝ 2020-ին վեբ կայքի խոցելիության մասշտաբները և շահագործման ամենատարածված ձևերը.

Այս թվերը կարող են ցնցող լինել, բայց նրանք հաստատում են մի ճշմարտություն, որը մենք բոլորս հայտնի ենք բավականին երկար տարիներ: Կիբերհանցագործությունների մասշտաբը հսկայական խնդիր է, և այն, որը մենք ոչ մի տեղ մոտ չենք լուծելու.

Ձեր վեբ կայքը ապահովելու համար մի քանի հիմնական քայլեր ձեռնարկելը կարող է օգնել սահմանափակել ձեր հակվածությունը կիբերհարձակումներից և, հնարավոր է, ձեր բիզնեսը դրանցից փրկել: Եվ պետք է հիշել նաև, որ դուք մենակ չեք. Եթե օգտագործեք Կանադայի լավագույն վեբ հոստինգ ընկերություններից մեկը, ապա դրանք կօգնեն ՝ ապահովելով անվտանգության գործիքներ, որոնք կարող են ձեր կայքը անվտանգ պահել.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map