常见网站漏洞

2018年见证了有史以来最大规模的网络攻击:万豪集团,Equifax,雅虎和Facebook的黑客攻击均导致重大数据泄露。除此之外,全球选举过程中越来越多的干扰,显然我们正面临危机.


这已经有一段时间了,但是从统计数据中您不会知道.

取而代之的是,在2020年,网站似乎变得越来越安全.

Ptsecurity发现,经过多年的减少,Web应用程序的漏洞在2018年底再次上升:他们发现 67%的网络应用程序具有高安全漏洞 在2018年底,最常见的是授权不足,任意文件上传,路径遍历和SQL注入.

在2020年, 趋势似乎正在持续. 虽然您可能想将自己锁定在内部,从互联网上拔下电源,再也不会与人接触……我们建议您不要这样做.

相反,您可以通过安装防火墙并仅在通过虚拟专用网络(VPN)连接时浏览Web来避免下面列出的大多数漏洞。查看我们有关加拿大最佳VPN服务的指南,以选择最适合您的VPN服务.

也就是说,让我们看一下最新数据.

网络犯罪经济

首先,让我们看一下网络犯罪和网络安全经济的规模.

  1. 网络犯罪的总货币价值很难评估,尤其是考虑到许多公司都对成功的黑客活动保密。但埃森哲(Accenture)的研究发现,直接和间接攻击将在未来五年内使5.2万亿美元面临风险.
  2. 从另一方面来看,全球市场洞察力的研究表明,到2024年,网络安全市场的规模将达到每年3,000亿美元.
  3. 在美国,网络安全是政府资金的主要来源。根据白宫发布的2020年预算,政府计划在2020年花费150亿美元用于保护消费者,企业和关键基础设施。这比2018年增加4.1%.
  4. 这些数字很大,而小型企业很难跟上。 Juniper Research发现,2018年,平均每个小型企业每年在网络安全方面的支出不到500美元.
  5. 中小企业对网络犯罪的投资水平也令人担忧,因为SCORE发现中小企业是所有网络攻击的43%的目标.
  6. 在检测和报告黑客方面,我们取得了一些进展,但进展不大。根据基于风险的安全性,到2020年报告数据泄露的平均时间为49.6天。这比2018年的50+天要好一点,仍然令人担忧.
  7. 在最广泛的范围内,网络犯罪仍在上升。埃森哲第九次年度网络犯罪成本调查发现,安全漏洞在2018年增加了11%,并且这种情况可能会持续到2020年.
  8. 同一项调查还对网络攻击的增长进行了较长期的研究,发现在过去五年中,网络攻击的增长了67%.

黑客的代价

庞大的网络犯罪规模和涉及的大量数字有时可能意味着黑客的受害者(个人,公司甚至政府)可能会被遗忘。因此,让我们看一下网络犯罪的现实影响.

  1. 《 Cyber​​security Ventures 2020年年度犯罪报告》提供了一些数字,说明黑客入侵对企业的影响。他们发现,到2021年,网络犯罪破坏预计将使企业每年损失6万亿美元,他们指出,这一数字代表了人类历史上最大的财富转移。.
  2. 在这6万亿美元中,勒索软件的损失增长最快。 Cyber​​security Ventures表示,到2021年勒索软件的成本将达到200亿美元.
  3. 根据埃森哲全球研究报告,企业网络犯罪的平均成本估计为每年1300万美元.

受害者

当涉及公司的盈利能力和可持续性时,网络犯罪是一个巨大的问题。但是成功的骇客攻击也会对大量消费者造成严重后果.

  1. 让我们摆脱一件事:根据Norton的研究,美国是网络攻击的第一大目标。这可能是一种统计数据,其中美国公民不以成为世界第一感到自豪.
  2. 根据美国注册会计师协会的报告,在美国,超过60%的公民遭受过在线欺诈.
  3. 盖洛普(Gallup)的年度犯罪调查看起来更加深入,并且发现美国的网络犯罪规模令人震惊。 23%的美国人报告说他们或他们认识的人是网络犯罪的直接受害者.
  4. 这些人中的大多数是少数少数大规模数据泄露的受害者。根据苏格兰皇家银行的一份报告,在2018年,只有12项数据泄露事件暴露了该年受损的所有记录的四分之三以上。记录数?超过一亿.
  5. 展望未来,瞻博网络研究公司称,到2021年,每年将窃取330亿条记录.

网络犯罪按行业

与其他行业相比,某些行业更有可能成为网络犯罪的目标。特别是,使用关键基础结构或敏感个人信息的公司面临的风险最大.

  1. 目前,制造商和采矿公司是受青睐的目标。 Make UK和AIG的报告发现,英国48%的制造商已成为网络犯罪分子的攻击目标,根据赛门铁克的《互联网安全风险报告》,采矿业中38.4%的公司也遭受过类似攻击.
  2. 将来,医疗保健公司将越来越有针对性。 Cyber​​security Ventures表示,他们预计到2021年对医疗保健公司的攻击将增加五倍(是,五倍).
  3. 根据赛门铁克的《互联网安全风险报告》,公共部门也越来越受到关注。到2020年,公共员工收到的每302封电子邮件中有一个是骗局.
  4. 恶意软件也在增加,特别是在银行和金融行业。卡巴斯基实验室最近更新了其恶意软件家族列表,其中包括20多种类型的恶意ATM软件.

顶级黑客

现在进入流氓画廊:2018年(和2020年初)最大的黑客入侵,以及每个黑客的受害者人数.

  1. 实际上,2018年最大的黑客入侵是在美国以外。在该国国民身份证数据库遭到黑客攻击时,令人难以置信的15亿印度公民的个人信息被泄露。该国几乎所有人.
  2. 在美国,2020年最大的黑客入侵也是历史上最大的数据泄露。 3月,一位IT安全研究人员发现了一个名为“集合1”的数据库,其中包含11.6亿人的电子邮件地址和密码.
  3. Facebook似乎每年都有重大数据泄露事件,并且2020年也不例外。根据Upguard的报告,有5.4亿条记录公开曝光.
  4. 清单继续。据CNET报道,万豪集团在2018年末披露了5亿用户的个人信息,并发布了3.4亿条客户记录,这是Exactis的一项违规行为.

网站漏洞的最常见类型

现在我们对网络犯罪的规模有了一些了解,让我们看一下企业和其他组织的最常见漏洞来源:他们的网站.

查看2020年最常见的网站漏洞是一项令人沮丧的任务。这是因为最常见(也是最危险)的漏洞是在2018年,2008年和1988年位于同一列表中的漏洞.

它们是:DDoS攻击,恶意软件感染,中间人攻击和安全性较差的Web Apps.

让我们分别看一下.

DDoS攻击

分布式拒绝服务(DDoS)攻击比以往任何时候都更为普遍,并且仍然是最受欢迎的网站攻击形式.

  1. 因此,2018年出现了有史以来最大的DDoS攻击也就不足为奇了。 NETSCOUT称,“基于美国的提供商”是反射/放大攻击的目标,该攻击以每秒1.7 TB的恶意请求攻击其网站。从某种角度讲,这相当于同时流式传输200,000高清电视节目的带宽.
  2. DDoS也占了网络犯罪成本的很大一部分。 Bulletproof的2020年《年度网络安全报告》发现,DDoS攻击通常使大型公司损失200万美元,而小型公司则损失12万美元。.
  3. 这并不奇怪,因为根据Ars Technica的一篇文章,可以在Dark Web上购买的DDoS“攻击套件”的价格约为20美元。.
  4. 根据NETSCOUT,新连接到互联网的设备受到DDoS请求攻击所花的平均时间为5分钟.
  5. 所有这些统计信息都很熟悉,但是DDoS攻击也显示了一些新功能。以卡巴斯基为例,例如,截至2018年底,中国占DDoS攻击的50%以上.
  6. 另一个担忧是,随着与网络连接相比更多的物联网设备,DDoS攻击的力量只会增加。 Gartner估计,到2020年,物联网设备的数量将达到204亿,这将使DDoS攻击比以往更加危险.

恶意软件

恶意软件仍然是一个巨大的问题。实际上,恶意软件比以往更普遍.

  1. 电子邮件仍然是恶意软件传播的最常见方式。 CSO Online报告称,电子邮件负责传播多达92%的恶意软件实例。但这并不意味着网站不容易受到恶意软件的攻击.
  2. 现在,大多数恶意软件都以恶意脚本的形式分发。 PowerShell脚本一直是漏洞的巨大来源,但是赛门铁克发现,恶意Powershell脚本的使用在2018年猛增了1000%。同一份报告发现,脚本占恶意电子邮件附件的47.5%。.
  3. 恶意软件会影响所有类型的设备,并且可能对笔记本电脑,平板电脑和智能手机的网站造成威胁。实际上,智能手机很可能在未来十年成为恶意软件的最大来源:根据赛门铁克的数据,移动勒索软件在过去一年中增长了33%。.
  4. 恶意软件现在也对企业构成巨大威胁。赛门铁克发现,专门针对企业的恶意软件在2020年增长了12%.

中间人袭击

网站漏洞的主要来源是中间人攻击。对于安全性较差的网站,黑客相对容易地将自己插入客户和网站所有者之间,并拦截它们之间发送的所有信息。.

众所周知,MITM攻击也在增加.

  1. 例如,根据IBM的X-Force威胁情报指数2020,MITM技术在2018年占35%的网站开发.
  2. 考虑到许多企业对MITM攻击的准备不足,这不足为奇。例如,Netcraft已发现2016年有95%的HTTPs服务器容易受到MiTM的攻击,此后几乎没有做过任何工作来修复这些漏洞.
  3. 更令人担忧的是,只有10%的公司为其网站实施了HSTS,这使他们容易受到攻击。 W3Techs进行了这项研究,并建议所有网站尽快实施该协议.

Web应用程序攻击

现在,Web应用程序已成为几乎每个网站不可或缺的一部分,其使用量的增加也伴随着其使用率的上升。例如,根据Imperva的研究,超过一半的Web应用程序都有可供黑客使用的公共漏洞利用程序,而这些漏洞利用程序中有三分之一以上没有解决方案.

  1. 根据TrustWave的报告,最常见的Web应用程序攻击形式是利用跨站点脚本(XSS)的攻击(约占此类攻击的40%)和SQL注入(占24%的攻击)。.
  2. Web应用程序漏洞也非常普遍。 Acunetix已发现46%的网站具有此类漏洞.
  3. 这种类型的网站漏洞也在增加。根据Akamai的研究,SQL注入和跨站点脚本攻击在2018年增加了38%。 WordPress是迄今为止最流行的CMS,是SQL注入的常见目标,因为大多数流行的WordPress主机默认使用SQL.
  4. 表单劫持在2018年也出现了大幅增长。根据赛门铁克的数据,2018年每月被表单劫持漏洞危害的网站平均数量为4818个.
  5. 据Acunetix称,2%的Web应用程序还易于执行远程代码,这使恶意用户可以在您网站的脚本中执行自己的(恶意)代码。虽然2%的听起来可能并不那么高,但考虑到那里的网站数量之多,这代表了大量易受攻击的网站.
  6. 实际上,根据Positive Technologies的研究,2020年的绝大多数局域网(LAN)渗透归因于Web应用程序的弱点。.

底线

事实是:2020年网站漏洞的规模以及最常见的漏洞利用形式.

这些数字可能令人震惊,但它们证实了我们已经知道很多年的事实了。网络犯罪的规模是一个巨大的问题,而我们还远远没有解决.

采取一些基本步骤来保护您的网站安全可以帮助限制您对这些网络攻击的敏感性,并有可能从中拯救您的业务。您还应该记住自己并不孤单-如果您使用加拿大最好的网络托管公司之一,它们将通过提供可确保您网站安全的安全工具来为您提供帮助.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map