نقاط الضعف المشتركة في الموقع

يشهد عام 2018 بعض أكبر الهجمات الإلكترونية التي شهدتها على الإطلاق: أدت عمليات الاختراق على مجموعة ماريوت و Equifax و Yahoo و Facebook إلى حدوث انتهاكات كبيرة للبيانات. أضف إلى ذلك التدخل المتزايد في العمليات الانتخابية حول العالم ، ومن الواضح أننا نواجه أزمة.


لقد كان هذا واضحًا لبعض الوقت ، لكنك لن تعرف ذلك من الإحصائيات.

بدلاً من ذلك ، في عام 2020 ، تبدو مواقع الويب أقل أمانًا.

توصل Ptsecurity إلى أنه في نهاية عام 2018 ، كانت ضعف تطبيقات الويب في الارتفاع مرة أخرى ، بعد سنوات عديدة من الانخفاض: وجدوا أن 67 ٪ من تطبيقات الويب لديها ثغرات أمنية عالية في نهاية عام 2018 ، وأكثرها شيوعًا هو التفويض غير الكافي ، وتحميل الملفات التعسفي ، ومسار المسار ، وحقن SQL.

في عام 2020 ، هذا يبدو أن الاتجاه مستمر. بينما قد تميل إلى قفل نفسك بالداخل ، افصله عن الإنترنت ، ولا تقم أبدًا باتصال بشري مرة أخرى … ننصح بعدم ذلك.

بدلاً من ذلك ، يمكنك تجنب معظم نقاط الضعف المذكورة أدناه عن طريق تثبيت جدار حماية وتصفح الويب فقط عند الاتصال عبر شبكة افتراضية خاصة (VPN). تحقق من دليلنا لأفضل خدمات VPN في كندا لاختيار الخدمات التي تناسبك.

ومع ذلك ، فلنلق نظرة على أحدث البيانات.

اقتصاد الجرائم الإلكترونية

أولاً ، دعنا نلقي نظرة على حجم الجرائم السيبرانية واقتصاد الأمن السيبراني.

  1. من الصعب تقييم القيمة النقدية الإجمالية للجرائم الإلكترونية ، خاصة وأن العديد من الشركات تحافظ على سر عمليات الاختراق الناجحة. لكن الأبحاث التي أجرتها شركة Accenture وجدت أن الهجمات المباشرة وغير المباشرة تعرض 5.2 تريليون دولار للخطر على مدى السنوات الخمس المقبلة.
  2. بالنظر إلى الجانب الآخر من العملة ، فإن البحث الذي أجرته Global Market Insights يضع حجم سوق الأمن السيبراني عند 300 مليار دولار سنويًا بحلول عام 2024.
  3. في الولايات المتحدة ، يعد الأمن السيبراني بالوعة رئيسية للأموال الحكومية. وفقًا لميزانية 2020 التي أصدرها البيت الأبيض ، تخطط الحكومة لإنفاق 15 مليار دولار على حماية المستهلكين والشركات والبنية التحتية الحيوية في عام 2020. وهذه زيادة بنسبة 4.1٪ عن عام 2018.
  4. هذه أرقام ضخمة ، والشركات الصغيرة تجد صعوبة في مواكبة ذلك. وجدت Juniper Research أنه في عام 2018 ، أنفق متوسط ​​الأعمال الصغيرة أقل من 500 دولار سنويًا على الأمن السيبراني.
  5. إن المستوى المنخفض لاستثمار الشركات الصغيرة والمتوسطة في الجرائم الإلكترونية مثير للقلق أيضًا ، لأن SCORE قد وجدت أن الشركات الصغيرة والمتوسطة هي هدف 43 ٪ من جميع الهجمات الإلكترونية.
  6. عندما يتعلق الأمر باكتشاف الاختراقات والإبلاغ عنها ، فإننا نحرز بعض التقدم ، ولكن ليس كثيرًا. كان متوسط ​​الوقت للإبلاغ عن خروقات البيانات في عام 2020 هو 49.6 يومًا ، وفقًا للأمن القائم على المخاطر. هذا أفضل قليلاً من 50 يومًا في عام 2018 ، لا يزال مقلقًا.
  7. على نطاق أوسع ، لا تزال الجرائم السيبرانية في ارتفاع. توصلت دراسة التكلفة السنوية التاسعة للجرائم الإلكترونية التي أجرتها Accenture إلى أن الخروقات الأمنية زادت بنسبة 11٪ في عام 2018 ، ومن المرجح أن يستمر هذا حتى عام 2020.
  8. ألقى المسح نفسه أيضًا نظرة على المدى الطويل على الزيادة في الهجمات السيبرانية ، ووجدوا أنها زادت بنسبة 67 ٪ على مدى السنوات الخمس الماضية.

تكاليف المأجورون

يمكن أن يعني الحجم الهائل للجرائم الإلكترونية والأعداد الضخمة في بعض الأحيان أنه يمكن نسيان ضحايا الاختراق – الأفراد والشركات وحتى الحكومات -. فلنلقِ نظرة على التأثيرات الواقعية للجرائم الإلكترونية.

  1. يضع تقرير الجرائم الإلكترونية السنوي لمشاريع الأمن السيبراني لعام 2020 بعض الأرقام حول عواقب الاختراق على الشركات. لقد وجدوا أن الأضرار الناجمة عن الجرائم الإلكترونية من المتوقع أن تكلف الشركات 6 تريليون دولار سنويًا بحلول عام 2021 ، وهو رقم يشيرون إليه “يمثل أكبر تحويل للثروة في تاريخ البشرية”.
  2. من 6 تريليون دولار ، تعد أضرار برامج الفدية هي الأسرع نموًا. تقول مشاريع الأمن السيبراني أن تكلفة برامج الفدية ستصل إلى 20 مليار دولار بحلول عام 2021.
  3. وفقًا لدراسة Accenture العالمية ، يُقدَّر متوسط ​​تكلفة الجرائم الإلكترونية للمؤسسات بنحو 13 مليون دولار سنويًا.

الضحايا

تعتبر الجرائم الإلكترونية مشكلة كبيرة عندما يتعلق الأمر بربحية واستدامة الشركات. ولكن يمكن أن يكون لعمليات الاختراق الناجحة عواقب وخيمة على أعداد كبيرة من المستهلكين.

  1. لنخرج شيئًا واحدًا من الطريق: الولايات المتحدة هي الهدف الأول للهجمات الإلكترونية ، وفقًا لبحث أجراه Norton. قد تكون هذه إحصائية واحدة حيث يفتخر مواطنو الولايات المتحدة بكونهم رقم 1.
  2. في الولايات المتحدة ، تعرض أكثر من 60٪ من المواطنين للاحتيال عبر الإنترنت ، وفقًا لتقرير صادر عن المعهد الأمريكي للمحاسبين القانونيين المعتمدين.
  3. يبدو مسح غالوب السنوي للجرائم أعمق قليلاً ، ووجد أن حجم الجرائم الإلكترونية في الولايات المتحدة مذهل. أفاد 23٪ من الأمريكيين بأنهم ، أو أي شخص يعرفونه ، كانوا ضحية مباشرة للجرائم الإلكترونية.
  4. سقط معظم هؤلاء الناس ضحية لعدد قليل من خروقات البيانات الضخمة. في عام 2018 ، وفقًا لتقرير صادر عن RBS ، كشف 12 اختراقًا للبيانات فقط عن أكثر من ثلاثة أرباع جميع السجلات التي تم اختراقها في ذلك العام. عدد السجلات؟ أكثر من 100 مليون.
  5. بالتطلع إلى المستقبل ، تدعي Juniper Research أن 33 مليار سجل سنويًا سيتم سرقتها بحلول عام 2021.

الجرائم الإلكترونية حسب الصناعة

من المرجح أن تكون بعض الصناعات هدفًا للجرائم الإلكترونية من غيرها. على وجه الخصوص ، الشركات التي تعمل مع البنية التحتية الحيوية ، أو المعلومات الشخصية الحساسة ، هي الأكثر عرضة للخطر.

  1. في الوقت الحالي ، يفضل المصنعون وشركات التعدين الأهداف. وجد تقرير صادر عن Make UK و AIG أن 48٪ من الشركات المصنعة في المملكة المتحدة قد تم استهدافهم من قبل المجرمين الإلكترونيين ، ووفقًا لتقرير Symantec لأمن الإنترنت ، فإن 38.4٪ من الشركات في صناعة التعدين قد شهدت هجمات مماثلة.
  2. في المستقبل ، سيتم استهداف شركات الرعاية الصحية بشكل متزايد. قالت Cybersecurity Ventures إنها تتوقع أن تزيد الهجمات ضد شركات الرعاية الصحية خمس مرات (نعم ، خمس مرات) بحلول عام 2021.
  3. وفقًا لتقرير مخاطر أمان الإنترنت من Symantec ، يتم استهداف القطاع العام أيضًا بشكل متزايد. كان واحداً من بين كل 302 رسالة بريد إلكتروني يتلقىها الموظفون العموميون في عام 2020 عملية احتيال.
  4. كما تزداد البرمجيات الخبيثة ، لا سيما في قطاعي البنوك والتمويل. قامت Kaspersky Labs مؤخرًا بتحديث قائمة عائلات البرامج الضارة لتشمل أكثر من 20 نوعًا من برامج أجهزة الصراف الآلي الضارة.

كبار المأجورون

الآن لمعرض المارقة: أكبر اختراق 2018 (وأوائل 2020) ، وعدد الضحايا لكل منهم.

  1. في الواقع كان أكبر اختراق عام 2018 خارج الولايات المتحدة. تم تسريب معلومات شخصية لا تصدق 1.5 مليار مواطن هندي خلال اختراق قاعدة بيانات الهوية الوطنية للبلاد. هذا كل شخص تقريبًا في البلد.
  2. في الولايات المتحدة ، كان أكبر اختراق عام 2020 أكبر اختراق للبيانات في التاريخ. في مارس ، وجد باحث أمني It قاعدة بيانات تسمى “المجموعة 1” ، والتي تحتوي على عناوين البريد الإلكتروني وكلمات المرور لـ 1.16 مليار شخص.
  3. يبدو أن Facebook لديه اختراق كبير للبيانات كل عام ، ولم يكن 2020 استثناءً. تم الكشف عن 540 مليون سجل علنا ​​، وفقا لتقرير صادر عن Upguard.
  4. والقائمة تطول. كشفت مجموعة ماريوت عن المعلومات الشخصية لـ 500 مليون مستخدم في أواخر عام 2018 ، وتم نشر 340 مليون سجل للعملاء في خرق من Exactis ، وفقًا لـ CNET.

أكثر أنواع ثغرات مواقع الويب شيوعًا

لدينا الآن فكرة عن حجم الجرائم الإلكترونية ، فلنلقِ نظرة على المصدر الأكثر شيوعًا لنقاط الضعف بالنسبة للشركات والمؤسسات الأخرى: مواقعها على الويب.

يعد النظر إلى أكثر نقاط الضعف على الويب شيوعًا في عام 2020 مهمة كئيبة قليلاً. وذلك لأن نقاط الضعف الأكثر شيوعًا (وأخطر) هي تلك التي كانت مدرجة في القائمة نفسها في 2018 و 2008 و 1988.

وهي: هجمات DDoS ، وإصابة البرامج الضارة ، و Man in the Middle Attacks ، وتطبيقات الويب غير الآمنة.

دعونا نلقي نظرة على كل منها على حدة.

هجمات DDoS

هجمات رفض الخدمة الموزعة (DDoS) أكثر شيوعًا من أي وقت مضى ، ولا تزال الشكل الأكثر شيوعًا لهجمات مواقع الويب.

  1. بالنظر إلى ذلك ، ليس من المستغرب أن يشهد عام 2018 أكبر هجوم DDoS على الإطلاق. ووفقًا لـ NETSCOUT ، كان “مزود مقيم في الولايات المتحدة” هدفًا لهجوم انعكاس / تضخيم ضرب موقعه على الويب باستخدام 1.7 تيرابايت من الطلبات الخبيثة في الثانية. بالنسبة إلى بعض المنظور ، هذا هو النطاق الترددي المكافئ لبث 200000 من البرامج التلفزيونية عالية الدقة في وقت واحد.
  2. يمثل DDoS أيضًا جزءًا كبيرًا من تكلفة الجريمة السيبرانية. وجد تقرير الأمن السيبراني السنوي من Bulletproof لعام 2020 أن هجوم DDoS يكلف عادة الشركات الكبيرة 2 مليون دولار ، والشركات الأصغر 120،000 دولار.
  3. هذا ليس مفاجئًا ، نظرًا لأن “مجموعات هجوم” DDoS ، المتاحة للشراء على الويب المظلم ، تكلف حوالي 20 دولارًا ، وفقًا لمقالة كتبها Ars Technica.
  4. متوسط ​​الوقت الذي يستغرقه الجهاز ، المتصل حديثًا بالإنترنت ، للهجوم عن طريق طلب DDoS هو 5 دقائق ، وفقًا لـ NETSCOUT.
  5. جميع هذه الإحصائيات مألوفة ، لكن هجمات DDoS تُظهر أيضًا بعض الميزات الجديدة. وفقًا لـ Kaspersky ، على سبيل المثال ، شكلت الصين أكثر من 50 ٪ من هجمات DDoS في نهاية عام 2018.
  6. مصدر قلق آخر هو أنه مع وجود المزيد من أجهزة إنترنت الأشياء أكثر من أي وقت مضى متصلة بالويب ، فمن المرجح أن تزداد قوة هجمات DDoS فقط. قدرت جارتنر أن عدد أجهزة إنترنت الأشياء سيصل إلى 20.4 مليار بحلول عام 2020 ، وهذا سيجعل هجمات DDoS أكثر خطورة من أي وقت مضى.

البرامج الضارة

لا تزال البرامج الضارة مشكلة كبيرة. في الواقع ، أصبحت البرامج الضارة أكثر شيوعًا من أي وقت مضى.

  1. لا يزال البريد الإلكتروني هو الطريقة الأكثر شيوعًا لانتشار البرامج الضارة. أفادت CSO Online أن البريد الإلكتروني مسؤول عن نشر ما يصل إلى 92٪ من حالات البرامج الضارة. ولكن هذا لا يعني أن مواقع الويب ليست عرضة للبرامج الضارة.
  2. يتم الآن توزيع معظم البرامج الضارة كنصوص ضارة. لطالما كانت نصوص PowerShell مصدراً هائلاً للثغرات ، لكن سيمانتيك وجدت أن استخدام البرامج النصية Powershell الخبيثة قفز بنسبة 1000٪ في عام 2018. ووجد التقرير نفسه أن البرامج النصية تشكل 47.5٪ من مرفقات البريد الإلكتروني الضارة.
  3. تؤثر البرامج الضارة على جميع أنواع الأجهزة ، ويمكن أن تشكل تهديدًا لمواقع الويب من أجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف الذكية. في الواقع ، قد تصبح الهواتف الذكية أكبر مصدر للبرمجيات الخبيثة في العقد المقبل: زادت برامج الفدية المتنقلة بنسبة 33٪ في العام الماضي ، وفقًا لشركة Symantec.
  4. تشكل البرامج الضارة أيضًا تهديدًا كبيرًا للشركات. زادت البرامج الضارة التي تستهدف الشركات على وجه التحديد بنسبة 12٪ في عام 2020 ، وفقًا لما وجدته سيمانتيك.

رجل في الهجمات الوسطى

المصدر الرئيسي لضعف موقع الويب هو الرجل في الهجمات الوسطى. بالنسبة إلى مواقع الويب غير الآمنة ، من السهل نسبيًا على المتسللين إدخال أنفسهم بين العملاء ومالكي مواقع الويب ، واعتراض جميع المعلومات التي يتم إرسالها بينهم.

كما أن هجمات MITM ، كما هي معروفة ، في ازدياد.

  1. على سبيل المثال ، شاركت تقنيات MITM في 35 ٪ من استغلال موقع الويب في 2018 ، وفقًا لمؤشر X-Force Threat Intelligence Index لعام 2020 من IBM.
  2. هذا ليس مفاجئًا ، نظرًا لعدم استعداد العديد من الشركات لهجمات MITM. لقد وجدت Netcraft ، على سبيل المثال ، أن 95٪ من خوادم HTTP كانت عرضة لـ MiTM في عام 2016 ، ولم يتم فعل الكثير منذ ذلك الحين لإصلاح نقاط الضعف هذه.
  3. والأمر الأكثر إثارة للقلق هو حقيقة أن 10٪ فقط من الشركات قامت بتطبيق HSTS على مواقعها على الويب ، مما يتركها عرضة للهجوم. قامت W3Techs بهذا البحث ، وأوصت أيضًا بأن تقوم جميع مواقع الويب بتنفيذ البروتوكول في أقرب وقت ممكن.

هجمات تطبيق الويب

تعد تطبيقات الويب الآن جزءًا لا يتجزأ من كل موقع ويب تقريبًا ، وقد صاحب ارتفاع استخدامها ارتفاع مماثل في استغلالها. وفقًا لبحث أجرته Imperva ، على سبيل المثال ، فإن أكثر من نصف تطبيقات الويب لديها استغلال عام متاح للمتسللين ، وأكثر من ثلث هذه الاستغلال ليس لديها حل.

  1. أكثر أشكال هجمات تطبيقات الويب شيوعًا ، وفقًا لتقرير صادر عن TrustWave ، هي تلك التي تستغل البرمجة النصية عبر المواقع (XSS) ، والتي شكلت حوالي 40 ٪ من هذه الهجمات ، وحقن SQL ، والتي شكلت 24 ٪.
  2. نقاط الضعف في تطبيق الويب شائعة أيضًا. وجدت Acunetix أن 46٪ من مواقع الويب لديها هذا النوع من الضعف.
  3. هذا النوع من ثغرات مواقع الويب آخذ في الارتفاع أيضًا. زادت عمليات حقن لغة البرمجة النصية (SQL) وهجمات البرمجة النصية عبر المواقع بنسبة 38٪ في عام 2018 ، وفقًا لبحث أجرته Akamai. WordPress ، أشهر CMS حتى الآن ، هو هدف شائع لحقن SQL لأن معظم مضيفي WordPress الأكثر استخدامًا يستخدمون SQL بشكل افتراضي.
  4. وشهدت Formjacking أيضًا زيادة كبيرة في عام 2018. وكان متوسط ​​عدد مواقع الويب التي تم اختراقها من خلال ثغرات اختراق النماذج شهريًا في 2018 هو 4818 ، وفقًا لشركة Symantec.
  5. وفقًا لـ Acunetix ، كانت 2٪ من تطبيقات الويب عرضة أيضًا لتنفيذ التعليمات البرمجية عن بُعد ، مما يسمح للمستخدم الضار بتنفيذ التعليمات البرمجية (الضارة) الخاصة به في البرامج النصية لموقعك على الويب. وعلى الرغم من أن 2٪ قد لا يبدو مرتفعًا جدًا ، نظرًا للعدد الهائل من مواقع الويب الموجودة ، فإن هذا يمثل عددًا كبيرًا من مواقع الويب الضعيفة.
  6. في الواقع ، كانت الغالبية العظمى من اختراق شبكة المنطقة المحلية (LAN) في عام 2020 بسبب ضعف تطبيق الويب ، وفقًا لبحث أجرته تقنيات إيجابية.

الخط السفلي

إليكم الأمر: حجم الثغرات في الموقع في عام 2020 ، وأشكال الاستغلال الأكثر شيوعًا.

قد تكون هذه الأرقام صادمة ، لكنها تؤكد حقيقة عرفناها جميعًا منذ سنوات قليلة. إن حجم الجرائم السيبرانية مشكلة كبيرة ، وهي مشكلة لم نتمكن من حلها.

يمكن أن يساعد اتخاذ بعض الخطوات الأساسية لتأمين موقعك على الويب في الحد من قابليتك للتأثر بهذه الهجمات السيبرانية ، وربما إنقاذ عملك منها. ويجب أن تتذكر أيضًا أنك لست وحدك – إذا كنت تستخدم واحدة من أفضل شركات استضافة الويب في كندا ، فسوف تساعد من خلال توفير أدوات الأمان التي يمكن أن تحافظ على أمان موقع الويب الخاص بك.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector