Mga Karaniwang Vulnerability ng Website

Nasaksihan ng 2018 ang ilan sa mga pinakamalaking cyberattacks na nakita: ang mga hack sa Marriott Group, Equifax, Yahoo, at Facebook ang lahat ay nagresulta sa mga pangunahing paglabag sa data. Idagdag sa ito ang pagtaas ng antas ng pagkagambala sa mga proseso ng halalan sa buong mundo, at malinaw na nahaharap tayo sa isang krisis.


Ito ay naging malinaw sa loob ng ilang oras, ngunit hindi mo malalaman na mula sa mga istatistika.

Sa halip, sa 2020 mga website ay tila hindi makakakuha ng mas ligtas.

Natagpuan ng Ptsecurity na, sa pagtatapos ng 2018, ang kahinaan ng mga aplikasyon sa web ay tumaas muli, pagkatapos ng maraming taon ng pagbaba: nahanap nila na Ang 67% porsyento ng mga web app ay may kahinaan sa high-security sa pagtatapos ng 2018, na kung saan ang pinaka-karaniwang pagiging Hindi sapat na Awtorisasyon, Arbitrary File Upload, Path Traversal, at SQL Injection.

Noong 2020, iyon tila patuloy ang takbo. Habang maaari kang matukso na i-lock ang iyong sarili sa loob, i-unplug mula sa internet, at hindi na muling makikipag-ugnay sa tao … papayuhan namin laban sa.

Sa halip, maiiwasan mo ang karamihan sa mga kahinaan na nakalista sa ibaba sa pamamagitan ng pag-install ng isang firewall at pag-surf lamang sa web kapag konektado sa pamamagitan ng isang virtual pribadong network (VPN). Suriin ang aming gabay sa pinakamahusay na mga serbisyo ng VPN sa Canada upang pumili ng isa na gumagana para sa iyo.

Iyon ay sinabi, tingnan ang pinakabagong data.

Ang Cybercrime Economy

Una, tingnan natin ang sukat ng ekonomiya ng cybercrime at cybersecurity.

  1. Ang kabuuang halaga ng pera ng cybercrime ay mahirap masuri, lalo na kung maraming mga kumpanya ang nagpapanatiling lihim ng matagumpay na mga hack. Ngunit natuklasan ng pananaliksik sa pamamagitan ng Accenture na ang direktang at hindi direktang pag-atake ay naglalagay ng $ 5.2 trilyon sa panganib sa susunod na limang taon.
  2. Ang pagtingin sa kabilang panig ng barya, ang pananaliksik na isinasagawa ng Global Market Insights ay naglalagay ng laki ng merkado ng cybersecurity sa $ 300 bilyon sa isang taon sa pamamagitan ng 2024.
  3. Sa US, ang cybersecurity ay isang pangunahing lababo para sa mga pondo ng gobyerno. Ayon sa badyet ng 2020 na inilabas ng White House, plano ng gobyerno na gumastos ng $ 15 bilyon para maprotektahan ang mga mamimili, negosyo, at kritikal na imprastruktura noong 2020. Ito ay isang 4.1% na pagtaas sa 2018.
  4. Ito ay napakaraming mga numero, at ang mga maliliit na negosyo ay nahihirapan na mapanatili. Natagpuan ng Juniper Research na sa 2018, ang maliit na negosyo ng averag ay gumastos ng mas kaunti sa $ 500 bawat taon sa cybersecurity.
  5. Ang mababang antas ng pamumuhunan ng mga SME sa cybercrime ay nag-aalala din, dahil natagpuan ng SCORE na ang mga SME ay ang target ng 43% ng lahat ng cyberattacks.
  6. Pagdating sa pag-detect at pag-uulat ng mga hack, gumagawa kami ng ilang pag-unlad, ngunit hindi gaanong. Ang average na oras upang mag-ulat ng mga paglabag sa data sa 2020 ay 49.6 araw, ayon sa Security Based Security. Ito ay isang maliit na mas mahusay kaysa sa 50+ araw sa 2018, ay tungkol pa rin.
  7. Sa pinakamalawak na sukat, ang cybercrime ay tumataas pa rin. Natagpuan ng Ang Ikasiyam na Taunang Gastos ng survey ng Cybercrime ni Accenture na ang mga paglabag sa seguridad ay nadagdagan ng 11% sa 2018, at na ito ay malamang na magpatuloy sa 2020.
  8. Ang parehong survey ay tumagal din ng mas matagal na pagtingin sa pagtaas ng cyberattacks, at natagpuan na tumaas sila ng 67% sa nakaraang limang taon.

Ang Mga Gastos ng Hacks

Ang manipis na laki ng cybercrime, at ang napakaraming bilang na kasangkot, kung minsan ay nangangahulugang ang mga biktima ng mga hack – mga indibidwal, kumpanya, at kahit na mga gobyerno – ay maaaring kalimutan. Kaya tingnan natin ang totoong buhay na nakakaapekto sa cybercrime.

  1. Ang Cybersecurity Ventures Taunang Krimen Report para sa 2020 ay naglalagay ng ilang mga bilang sa mga kahihinatnan ng mga hack para sa mga negosyo. Napag-alaman nila na ang mga pinsala sa cybercrime ay inaasahan na gastos sa mga negosyo ng $ 6 trilyon taun-taon sa pamamagitan ng 2021, isang bilang na itinuturo nila na “kumakatawan sa pinakamalaking paglilipat ng kayamanan sa kasaysayan ng tao”.
  2. Sa $ 6 trilyon na ito, ang mga pinsala sa ransomware ay ang pinakamabilis na paglaki. Sinasabi ng Cybersecurity Ventures na umaabot sa $ 20 bilyon ang gastos ng ransomware sa 2021.
  3. Ayon sa pandaigdigang pag-aaral ng Accenture, ang average na gastos ng cybercrime para sa mga organisasyon ay tinatayang $ 13 milyon sa isang taon.

Ang mga biktima

Ang Cybercrime ay isang malaking problema pagdating sa kakayahang kumita at pagpapanatili ng mga kumpanya. Ngunit ang matagumpay na hack ay maaari ring magkaroon ng malubhang kahihinatnan para sa napakaraming bilang ng mga mamimili.

  1. Alisin natin ang isang bagay: ang USA ang bilang isang target ng cyberattacks, ayon sa pananaliksik ni Norton. Iyon ay maaaring isang istatistika kung saan ang mga mamamayan ng Estados Unidos ay mas mababa sa ipinagmamalaki na maging # 1.
  2. Sa US, higit sa 60% ng mga mamamayan ang nalantad sa online na pandaraya, ayon sa isang ulat ng American Institute of CPAs.
  3. Ang taunang survey ng krimen sa Gallup ay mukhang mas malalim, at natagpuan na nakakagulat ang laki ng cybercrime sa USA. 23% ng mga Amerikano ang nag-ulat na sila, o isang taong kilala nila, ay naging direktang biktima ng cybercrime.
  4. Ang karamihan sa mga taong ito ay nabiktima lamang sa isang maliit na bilang ng mga malaking paglabag sa data. Sa 2018, ayon sa isang ulat ng RBS, 12 mga paglabag sa data lamang ang nakalantad ng higit sa tatlong quarter ng lahat ng mga rekord na nakompromiso sa taong iyon. Ang bilang ng mga talaan? Mahigit sa 100 milyon.
  5. Sa pagtingin sa hinaharap, inaangkin ng Juniper Research na ang 33 bilyong talaan sa isang taon ay ninakaw ng 2021.

Cybercrime Ayon sa Industriya

Ang ilang mga industriya ay mas malamang na maging target ng cybercrime kaysa sa iba. Sa partikular, ang mga kumpanya na nagtatrabaho sa kritikal na imprastraktura, o sensitibong personal na impormasyon, ang pinaka-panganib.

  1. Sa ngayon, ang mga tagagawa at mga kumpanya ng pagmimina ay pinapaboran ng mga target. Nalaman ng isang ulat ng Make UK at AIG na ang 48% ng mga tagagawa sa UK ay na-target ng mga cybercriminals, at ayon sa Symantec’s Security Security Report, 38.4% ng mga kumpanya sa industriya ng pagmimina ang nakakita ng magkatulad na pag-atake.
  2. Sa hinaharap, ang mga kumpanya ng pangangalagang pangkalusugan ay lalong magiging target. Sinabi ng Cybersecurity Ventures na inaasahan nilang ang mga pag-atake laban sa mga kumpanya ng pangangalagang pangkalusugan ay tataas ng limang beses (oo, limang beses) sa pamamagitan ng 2021.
  3. Ayon sa Ulat sa Panganib sa Seguridad sa Internet ng Symantec, ang sektor ng publiko ay lalong ina-target. Isa sa bawat 302 email na natanggap ng mga pampublikong empleyado noong 2020 ay naging isang scam.
  4. Ang Malware ay nasa pagtaas din, lalo na sa mga industriya ng pagbabangko at pananalapi. Ang Kaspersky Labs ay kamakailan-lamang na na-update ang kanilang listahan ng mga pamilya ng malware upang maisama ang higit sa 20 mga uri ng malisyosong ATM software.

Ang Nangungunang Hacks

Ngayon para sa gallery ng rogue: ang pinakamalaking hacks ng 2018 (at unang bahagi ng 2020), at ang bilang ng mga biktima ng bawat isa.

  1. Tunay na ang pinakamalaking hack ng 2018 ay nasa labas ng US. Ang isang hindi kapani-paniwala na 1.5 bilyong mamamayan ng India ang nagkaroon ng kanilang personal na impormasyon na naitagas sa isang hack sa pambansang database ng ID ng bansa. Iyon ay halos lahat sa bansa.
  2. Sa US, ang pinakamalaking hack ng 2020 ay din ang pinakamalaking paglabag sa data sa kasaysayan. Noong Marso, natagpuan ng isang security researcher ang isang database na tinatawag na “Koleksyon 1”, na naglalaman ng mga email address at password ng 1.16 bilyong tao.
  3. Ang Facebook ay tila mayroong isang pangunahing paglabag sa data bawat taon, at ang 2020 ay walang pagbubukod. 540 milyong mga talaan ay inilantad sa publiko, ayon sa isang ulat ni Upguard.
  4. Nagpapatuloy ang listahan. Inihayag ng Marriott Group ang personal na impormasyon ng 500 milyong mga gumagamit sa huling bahagi ng 2018, at 340 milyong tala sa customer ang pinakawalan sa isang paglabag mula sa Exactis, ayon sa CNET.

Ang Pinaka Karaniwang Mga Uri ng Vulnerability ng Website

Ngayon mayroon kaming ilang ideya tungkol sa cybercrime, tingnan natin ang pinakakaraniwang mapagkukunan ng mga kahinaan para sa mga negosyo at iba pang mga organisasyon: ang kanilang mga website.

Ang pagtingin sa mga pinaka-karaniwang website na kahinaan sa 2020 ay isang bahagyang nalulumbay na gawain. Iyon ay dahil ang pinaka-pangkaraniwan (at ang pinaka-mapanganib) na mga kahinaan ay yaong nasa parehong listahan sa 2018, sa 2008, at noong 1988.

Ito ang: Mga pag-atake ng DDoS, impeksyon sa malware, Lalaki sa Gitnang Pag-atake, at hindi maayos na mai-secure ang Web Apps.

Tingnan ang bawat isa nang hiwalay.

Mga Pag-atake ng DDoS

Ang ipinamamahaging pagtanggi ng Serbisyo (DDoS) ay mas karaniwan kaysa dati, at ito pa rin ang pinakapopular na anyo ng pag-atake sa website.

  1. Dahil dito, hindi nakakagulat na nakita ng 2018 ang pinakamalaking pinakamalaking DDoS na pag-atake. Ang isang “US-based provider”, ayon sa NETSCOUT, ay ang target ng isang pagsasalamin / pag-atake ng pag-atake na tumama sa kanilang website na may 1.7 terabytes ng mga nakakahamak na kahilingan sa bawat segundo. Para sa ilang pananaw, iyon ang katumbas na bandwidth ng streaming 200,000 HD TV na sabay-sabay.
  2. Nag-account din ang DDoS para sa isang malaking bahagi ng gastos ng cybercrime. Ang taunang Ulat ng Cyber ​​Security ng Bulletproof mula 2020 ay natagpuan na ang pag-atake ng DDoS ay karaniwang nagkakahalaga ng malalaking kumpanya ng $ 2 milyon, at ang mga maliliit na kumpanya na $ 120,000.
  3. Hindi nakakagulat, dahil ang mga ‘atake kit’ ng DDoS, na magagamit upang bilhin sa Madilim na Web, nagkakahalaga ng halos $ 20, ayon sa isang artikulo ng Ars Technica.
  4. Ang average na haba ng oras na kinakailangan para sa isang aparato, na bagong konektado sa internet, upang ma-atake sa pamamagitan ng isang kahilingan sa DDoS ay 5 minuto, ayon sa NETSCOUT.
  5. Ang lahat ng mga istatistika na ito ay pamilyar, ngunit ang mga pag-atake ng DDoS ay nagpapakita rin ng ilang mga bagong tampok. Ayon kay Kaspersky, halimbawa, ang China ay nagkakahalaga ng higit sa 50% ng mga pag-atake ng DDoS sa pagtatapos ng 2018.
  6. Ang isa pang pag-aalala ay, na may higit pang mga aparato ng IoT kaysa kailanman nakakonekta sa web, ang kapangyarihan ng mga pag-atake ng DDoS ay malamang na madagdagan. Tinantya ng Gartner na ang bilang ng mga IoT aparato ay aabot sa 20.4 bilyon sa pamamagitan ng 2020, at na gagawin nitong mas mapanganib ang pag-atake ng DDoS kaysa dati.

Malware

Malware pa rin ang malware. Sa katunayan, ang malware ay mas karaniwan kaysa dati.

  1. Ang email ay pa rin ang pinaka-karaniwang paraan para kumalat ang malware. Iniulat ng CSO Online na ang email ay may pananagutan sa pagkalat ng hanggang sa 92% ng mga pagkakataon sa malware. Ngunit hindi ito nangangahulugan na ang mga website ay hindi mahina laban sa malware.
  2. Karamihan sa mga malware ay ipinamamahagi ngayon bilang mga nakakahamong script. Ang mga script ng PowerShell ay matagal nang napakaraming mapagkukunan ng kahinaan, ngunit natagpuan ng Symantec na ang paggamit ng mga nakakahamak na script ng Powershell ay tumalon sa 1000% noong 2018. Natagpuan ng parehong ulat na ang mga script ay bumubuo ng 47.5% ng mga nakakahamak na mga kalakip sa email..
  3. Naaapektuhan ng malware ang lahat ng mga uri ng aparato, at maaaring maging banta sa mga website mula sa mga laptop, tablet, at mga smartphone. Sa katunayan, ang mga smartphone ay maaaring maging pinakadakilang mapagkukunan ng malware sa susunod na dekada: nadagdagan ng 33% lat year ang mobile ransomware, ayon kay Symantec.
  4. Malware din ngayon ang malaking banta para sa mga negosyo. Ang Malware na partikular na naka-target sa mga negosyo ay nadagdagan ng 12% noong 2020, tulad ng natagpuan ni Symantec.

Lalaki Sa Gitnang Pag-atake

Ang isang pangunahing mapagkukunan ng kahinaan ng website ay ang tao sa mga pag-atake sa gitna. Para sa hindi maganda na secure na mga website, medyo madali para sa mga hacker na ipasok ang kanilang sarili sa pagitan ng mga customer at mga may-ari ng website, at maagap ang lahat ng impormasyong ipinadala sa pagitan nila.

Ang pag-atake ng MITM, tulad ng kilala, ay din sa pagtaas.

  1. Halimbawa, ang mga pamamaraan ng MITM ay kasangkot sa 35% ng pagsasamantala sa website sa 2018, ayon sa X-Force Threat Intelligence Index 2020 ng IBM..
  2. Hindi ito nakakagulat, na ibinigay kung gaano kahanda ang maraming mga negosyo para sa pag-atake ng MITM. Natagpuan ng Netcraft, na ang 95% ng mga server ng HTTPs ay mahina laban sa MiTM noong 2016, at ang maliit ay nagawa mula noon upang ayusin ang mga kahinaan na.
  3. Ang higit na nakakabahala pa rin ang katotohanan na 10% lamang ng mga kumpanya ang nagpatupad ng HSTS para sa kanilang mga website, na nagbubukas sa kanila upang buksan. Isinasagawa ng W3Techs ang pananaliksik na ito, at inirerekumenda din na ipatupad ng lahat ng mga website ang protocol sa lalong madaling panahon.

Mga Pag-atake sa Web Application

Ang mga apps sa web ngayon ay isang mahalagang bahagi ng halos bawat website, at ang pagtaas ng kanilang paggamit ay sinamahan ng isang katulad na pagtaas sa kanilang pagsasamantala. Ayon sa pananaliksik ni Imperva, halimbawa, higit sa kalahati ng mga web apps ay may isang pagsasamantala sa publiko na magagamit para sa mga hacker, at higit sa isang third ng mga pagsasamantala na ito ay walang solusyon.

  1. Ang pinakakaraniwang anyo ng mga pag-atake sa application ng web, ayon sa isang ulat ng TrustWave, ay ang mga nagsasamantala sa cross-site na script (XSS), na bumubuo ng tungkol sa 40% ng naturang mga pag-atake, at SQL injections, na accounted para sa 24%.
  2. Ang mga kahinaan sa aplikasyon ng web ay napaka-pangkaraniwan. Natagpuan ng Acunetix na ang 46% ng mga website ay may ganitong uri ng kahinaan.
  3. Ang ganitong uri ng kahinaan sa website ay nasa pagtaas din. Ang pag-atake ng SQL injection at cross-site ay nadagdagan ng 38% noong 2018, ayon sa pananaliksik ni Akamai. Ang WordPress, ang pinakasikat na CMS sa malayo, ay isang pangkaraniwang target ng mga SQL injection dahil ang pinakatanyag na mga host ng WordPress ay gumagamit ng SQL sa pamamagitan ng default.
  4. Nakita din ng formjacking ang isang malaking pagtaas sa 2018. Ang average na bilang ng mga website na nakompromiso ng mga pagsasamantala ng form-jacking bawat buwan sa 2018 ay 4818, ayon kay Symantec.
  5. Ayon sa Acunetix, ang 2% ng mga aplikasyon sa web ay madaling kapitan sa pagpapatupad ng remote code, na nagpapahintulot sa isang nakakahamak na gumagamit na magsagawa ng kanilang sariling (nakakasama) na code sa loob ng mga script ng iyong website. At habang ang 2% ay maaaring hindi tunog na mataas, dahil sa mas maraming bilang ng mga website sa labas, ito ay kumakatawan sa isang malaking bilang ng mga mahina na website.
  6. Sa katunayan, ang karamihan ng pagtagos ng Lokal na Area Network (LAN) noong 2020 ay sanhi ng mga kahinaan sa web application, ayon sa pananaliksik ng Positive Technologies.

Ang Bottom Line

At doon namin ito: ang laki ng kahinaan ng website sa 2020, at ang pinaka-karaniwang mga form ng pagsasamantala.

Ang mga bilang na ito ay maaaring nakakagulat, ngunit kinumpirma nila ang isang katotohanan na alam nating lahat sa loob ng ilang taon. Ang sukat ng cybercrime ay isang malaking problema, at ang isa na wala tayong nalalapit na paglutas.

Ang pagkuha ng ilang mga pangunahing hakbang upang ma-secure ang iyong website ay makakatulong upang limitahan ang iyong pagkamaramdamin sa mga pag-atake sa cyber na ito, at potensyal na mai-save ang iyong negosyo mula sa kanila. At dapat mo ring tandaan na hindi ka nag-iisa – kung gumagamit ka ng isa sa pinakamahusay na mga kumpanya sa web hosting sa Canada, makakatulong sila sa pamamagitan ng pagbibigay ng mga tool sa seguridad na maaaring mapanatili ang iyong website.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Adblock
detector