Vulnerabilitats comuns del lloc web

El 2018 van ser testimonis d’alguns dels ciberataques més grans que s’han vist mai: els hacks del grup Marriott, Equifax, Yahoo i Facebook van donar com a resultat incompliments importants de les dades. A això s’afegeix la interferència de nivell més gran en els processos electorals a tot el món i està clar que estem davant d’una crisi.


Ha estat clar des de fa temps, però no ho sabríeu des de les estadístiques.

En canvi, al 2020 els llocs web semblen estar menys segurs.

Ptsecurity va trobar que, a finals del 2018, la vulnerabilitat de les aplicacions web tornava a augmentar, després de molts anys de disminució: van trobar que El 67% per cent de les aplicacions web presentaven vulnerabilitats d’alta seguretat a finals de 2018, que és l’autorització més freqüent, la càrrega arbitrària d’arxius, la traversal de camins i la injecció SQL..

El 2020, això La tendència sembla que continua. Tot i que potser tingueu la temptació de bloquejar-vos dins, desconnecteu-vos d’Internet i no torneu a fer mai més contacte humà … us aconsellarem.

En lloc d’això, podeu evitar la majoria de les vulnerabilitats que es mostren a continuació, instal·lant un tallafoc i navegar només per la xarxa quan es connecti a través d’una xarxa privada virtual (VPN). Consulteu la nostra guia sobre els millors serveis VPN al Canadà per triar-ne un que us serveixi.

Dit això, mirem les darreres dades.

L’economia de cibercriminació

Primer, mirem la dimensió de l’economia de ciberdelinqüència i ciberseguretat.

  1. És difícil de valorar el valor monetari total de la ciberdelinqüència, sobretot si es té en compte que moltes empreses mantenen secret els seus resultats amb èxit. Però la investigació realitzada per Accenture ha trobat que els atacs directes i indirectes posen en risc els 5,2 bilions de dòlars en els propers cinc anys.
  2. Mirant a l’altra banda de la moneda, la investigació realitzada a Global Market Insights situa la mida del mercat de ciberseguretat en 300.000 milions de dòlars anuals el 2024.
  3. Als EUA, la ciberseguretat és un important lavabo per als fons governamentals. Segons el pressupost del 2020 publicat per la Casa Blanca, el govern preveu gastar 15.000 milions de dòlars en protegir els consumidors, les empreses i les infraestructures crítiques el 2020. Es tracta d’un augment del 4,1% el 2018..
  4. Són nombrosos, i les petites empreses tenen problemes per mantenir-se al dia. Juniper Research va comprovar que el 2018, la petita empresa mitjana va gastar menys de 500 dòlars anuals en ciberseguretat.
  5. El baix nivell d’inversió de les pimes en cibercriminalitat també és preocupant, perquè SCORE ha constatat que les pimes són l’objectiu del 43% de tots els ciberataques.
  6. A l’hora de detectar i informar de hacks, estem avançant, però no gaire. El temps mitjà per denunciar incompliments de dades el 2020 va ser de 49,6 dies, segons la seguretat basada en el risc. Això és una mica millor que més de 50 dies el 2018.
  7. A escala més àmplia, la ciberdelinqüència continua augmentant. La novena enquesta anual de costos de ciberdelinqüència realitzada per Accenture va determinar que els incompliments de seguretat van augmentar un 11% el 2018 i que és probable que continuï el 2020.
  8. La mateixa enquesta també va analitzar a llarg termini l’augment dels ciberataques i va trobar que havien augmentat un 67% en els últims cinc anys..

Els costos dels accessoris

La magnífica escala de ciberdelinqüència i el gran nombre que comporta poden significar, de vegades, que les víctimes dels hacks (individus, empreses i fins i tot governs) poden ser oblidades. Analitzem doncs els efectes reals de la ciberdelinqüència.

  1. L’informe anual sobre la delinqüència de ciberseguretat Ventures per al 2020 posa alguns números sobre les conseqüències de les incidències sobre les empreses. Han trobat que es preveu que els danys de cibercriminalitat costin als negocis 6 trilions de dòlars anuals per a l’any 2021, un número que han assenyalat que “representa la transferència més gran de riquesa de la història humana”.
  2. D’aquests 6 trilions de dòlars, els danys de ransomware són els que més creixen. Les empreses de ciberseguretat asseguren que el cost del ransomware arribarà a 20.000 milions de dòlars el 2021.
  3. Segons l’estudi global d’Accenture, el cost mitjà de ciberdelinqüència per a les organitzacions s’estima en 13 milions de dòlars l’any.

Les Víctimes

El ciberdelinqüència és un problema enorme pel que fa a la rendibilitat i la sostenibilitat de les empreses. Però els mals resultats amb èxit també poden tenir greus conseqüències per a un gran nombre de consumidors.

  1. Anem a sortir d’una cosa: els EUA són l’objectiu número 1 dels ciberataques, segons la investigació de Norton. Pot ser una estadística on els ciutadans nord-americans estiguin menys orgullosos de ser el número 1.
  2. A EUA, més del 60% dels ciutadans han estat exposats a fraus en línia, segons un informe de l’Institut Americà de CPAs.
  3. L’enquesta anual sobre la criminalitat de Gallup sembla una mica més profunda i ha constatat que l’escala de la ciberdicriminació als Estats Units és sorprenent. El 23% dels nord-americans declaren que ells, o algú que coneixen, han estat víctima directa de cibercriminalitat.
  4. La majoria d’aquestes persones van resultar víctimes només d’un nombre reduït de grans dades. El 2018, segons un informe de RBS, només 12 incompliments de dades van exposar més de les tres quartes parts de tots els registres compromesos aquell any. El nombre de registres? Més de 100 milions.
  5. De cara al futur, Juniper Research afirma que el 2021 seran robats 33.000 milions de registres a l’any.

Cibercrimina per indústria

Algunes indústries són més propenses a l’objectiu de la ciberdelinqüència que d’altres. En particular, les empreses que treballen amb infraestructures crítiques o informació personal sensible són les que corren més risc.

  1. Actualment, els fabricants i les empreses mineres són objectius afavorits. Un informe de Make UK i AIG va trobar que el 48% dels fabricants del Regne Unit han estat objectius de ciberdelinqüents i, segons l’informe de risc de seguretat de Symantec a Internet, el 38,4% de les empreses de la indústria minera han tingut atacs similars..
  2. En el futur, les empreses sanitàries seran cada cop més específiques. Les empreses de ciberseguretat han dit que esperen que els atacs contra les empreses sanitàries augmentin cinc vegades (sí, cinc vegades) el 2021.
  3. Segons l’informe de risc de seguretat de Internet de Symantec, el sector públic també està cada cop més objectiu. Un de cada 302 correus electrònics rebuts pels empleats públics el 2020 ha estat una estafa.
  4. El programari maliciós també està en augment, especialment en les indústries bancàries i financeres. Kaspersky Labs ha actualitzat recentment la seva llista de famílies de programari maliciós per incloure més de 20 tipus de programari ATM maliciós.

The Top Hacks

Ara per a la galeria de la canalla: els majors atracços del 2018 (i principis del 2020) i el nombre de víctimes de cadascuna.

  1. En realitat, el hack més gran del 2018 va ser fora dels Estats Units. Uns increïbles 1.500 milions de ciutadans indis van filtrar la seva informació personal durant un pirateig a la base de dades nacional d’identificació del país. És gairebé tot el món del país.
  2. Als Estats Units, la pirateria més gran del 2020 també va ser el major incompliment de dades de la història. Al març, un investigador de seguretat It va trobar una base de dades anomenada “Col·lecció 1”, que contenia adreces de correu electrònic i contrasenyes d’1,16 mil milions de persones..
  3. Facebook sembla tenir un incompliment important de dades cada any, i el 2020 no ha estat una excepció. 540 milions de registres van estar exposats públicament, segons un informe de Upguard.
  4. La llista continua. El grup Marriott va revelar la informació personal de 500 milions d’usuaris a finals del 2018, i es van publicar 340 milions de registres de clients en un incompliment d’Exactis, segons CNET.

Els tipus més habituals de vulnerabilitat de llocs web

Ara tenim una idea de l’escala de ciberdelinqüència, anem a veure la font més comuna de vulnerabilitats per a empreses i altres organitzacions: els seus llocs web.

El fet de mirar les vulnerabilitats més habituals del lloc web al 2020 és una tasca lleugerament depriment. Això és perquè les vulnerabilitats més freqüents (i les més perilloses) són les que es trobaven a la mateixa llista el 2018, el 2008 i el 1988.

Aquests són: atacs DDoS, infecció de programari maliciós, atacs a l’home a la via mitjana i aplicacions web mal protegides.

Analitzem-les per separat.

Atacs DDoS

Els atacs de denegació de serveis distribuïts (DDoS) distribuïts són més comuns que mai, i continuen sent la forma més popular d’atac de llocs web..

  1. Tenint en compte això, no és estrany que el 2018 hagi vist l’atac més gran de DDoS mai. Segons NETSCOUT, un “proveïdor basat en Estats Units” era l’objectiu d’un atac de reflexió / amplificació que va assolir el seu lloc web amb 1,7 terabytes de sol·licituds malicioses per segon. Per a algunes perspectives, aquest és l’ample de banda equivalent de streaming de 200.000 programes de televisió HD simultàniament.
  2. DDoS també suposa una gran part del cost de la ciberdelinqüència. L’informe anual sobre seguretat cibernètica de Bulletproof del 2020 va trobar que un atac de DDoS normalment costa a grans empreses 2 milions de dòlars, i a les empreses més petites 120.000 dòlars..
  3. No és sorprenent, ja que els “kits d’atac” de DDoS, disponibles per comprar a Dark Web, costen uns 20 dòlars, segons un article d’Ars Technica.
  4. Segons el NETSCOUT, el temps mitjà que triga un dispositiu, recentment connectat a Internet, a ser atacat per una sol·licitud DDoS és de 5 minuts..
  5. Totes aquestes estadístiques són conegudes, però els atacs DDoS també mostren algunes novetats. Segons Kaspersky, per exemple, la Xina va representar més del 50% dels atacs de DDoS a finals del 2018.
  6. Una altra preocupació és que, amb més dispositius IoT que mai connectats a la xarxa, el poder dels atacs DDoS només augmentarà. Gartner ha estimat que el nombre de dispositius IoT arribarà als 20.400 milions fins al 2020 i que això farà que els atacs DDoS siguin més perillosos que mai.

Programari maliciós

El programari maliciós continua sent un problema enorme. De fet, el malware és més comú que mai.

  1. El correu electrònic continua sent la forma més habitual de difondre programari maliciós. CSO Online ha informat que el correu electrònic és responsable de difondre fins a un 92% de les instàncies de programari maliciós. Però això no significa que els llocs web no siguin vulnerables al programari maliciós.
  2. La majoria de programari maliciós es distribueix ara com a scripts maliciosos. Els scripts de PowerShell han estat durant molt de temps una enorme font de vulnerabilitat, però Symantec ha trobat que l’ús de scripts Powershell maliciosos va saltar el 1000% el 2018. El mateix informe va trobar que els scripts formen el 47,5% dels fitxers adjunts de correu electrònic maliciosos..
  3. El programari maliciós afecta tot tipus de dispositius i pot ser una amenaça per als llocs web des d’ordinadors portàtils, tauletes i telèfons intel·ligents. De fet, els telèfons intel·ligents es podrien convertir en la principal font de programari maliciós en la propera dècada: el ransomware mòbil va augmentar un 33% el darrer any, segons Symantec.
  4. El programari maliciós també és ara una gran amenaça per a les empreses. El programari maliciós dirigit específicament a les empreses va augmentar un 12% el 2020, tal com va trobar Symantec.

Home en atac mig

Una font important de vulnerabilitat del lloc web és l’home en atac central. En els llocs web amb seguretat no garantits, és relativament fàcil que els pirates informàtics s’insereixin entre clients i propietaris de llocs web i interceptin tota la informació que s’envia entre ells..

Els atacs MITM, com se sap, també van augmentant.

  1. Per exemple, les tècniques MITM van participar en el 35% de l’explotació del lloc web el 2018, segons l’Index Intelligence Threat Intelligence 2020 de l’IBM.
  2. Això no sorprèn, tenint en compte la quantitat de empreses que no estan preparades per als atacs del MITM. Netcraft ha trobat, per exemple, que el 95% dels servidors HTTPs eren vulnerables a MiTM el 2016, i que des de llavors s’ha fet poc per solucionar aquestes vulnerabilitats..
  3. Més preocupant encara és el fet que només un 10% de les empreses han implementat HSTS per als seus llocs web, cosa que els deixa oberts a atacs. W3Techs va realitzar aquesta investigació i també va recomanar que tots els llocs web implementessin el protocol tan aviat com sigui possible.

Atacs d’aplicacions web

Les aplicacions web són ara una part integral de gairebé tots els llocs web, i l’augment del seu ús ha anat acompanyat d’un augment similar en la seva explotació. Segons la investigació d’Imperva, per exemple, més de la meitat de les aplicacions web tenen una explotació pública disponible per als pirates informàtics i més d’un terç d’aquestes explotacions no tenen solució..

  1. Les formes més habituals d’atacs d’aplicacions web, segons un informe de TrustWave, són les que exploten scripts de llocs web (XSS), que constituïen al voltant del 40% d’aquests atacs i les injeccions SQL, que representaven el 24%..
  2. Les vulnerabilitats d’aplicacions web també són extremadament freqüents. Acunetix ha trobat que el 46% dels llocs web presenten aquest tipus de vulnerabilitat.
  3. Aquest tipus de vulnerabilitat del lloc web també està en augment. Els atacs d’injecció SQL i scripts de llocs creuats van augmentar un 38% el 2018, segons la investigació d’Akamai. WordPress, el CMS més popular de lluny, és un objectiu comú d’injeccions SQL perquè els amfitrions de WordPress més populars utilitzen SQL de manera predeterminada.
  4. El formatge també va experimentar un gran augment el 2018. El nombre mitjà de llocs web compromesos per les explotacions de format de jacking al mes el 2018 va ser de 4818, segons Symantec.
  5. Segons Acunetix, el 2% de les aplicacions web també eren susceptibles d’execució remota de codi, cosa que permet a un usuari maliciós executar el seu propi codi (maliciós) dins dels guions del vostre lloc web. I si bé el 2% pot no semblar tan alt, atès el gran nombre de llocs web que hi ha, això representa un gran nombre de llocs web vulnerables.
  6. De fet, la gran majoria de la penetració de la xarxa d’àrea local (LAN) el 2020 ha estat per debilitats de l’aplicació web, segons la investigació de Positive Technologies.

La línia de fons

I ho tenim: l’escala de vulnerabilitat del lloc web el 2020 i les formes d’explotacions més comunes.

Aquests números podrien ser impactants, però confirmen una veritat que ja coneixem des de fa uns quants anys. L’escala de ciberdelinqüència és un problema enorme i que ara no estem a prop de resoldre.

Fer alguns passos bàsics per protegir el vostre lloc web us pot ajudar a limitar la vostra susceptibilitat a aquests atacs cibernètics i, possiblement, salvar el vostre negoci. I també heu de recordar que no esteu sols, si feu servir una de les millors empreses d’allotjament web al Canadà, us ajudaran proporcionant eines de seguretat que puguin mantenir el vostre lloc segur.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map