Walang pag-aalinlangan na ang internet ay naging isang kailangang-kailangan na bahagi ng modernong buhay. Bawat minuto, nagpapadala kami ng 197.6 milyong email, gumagastos ng 1.6 milyong dolyar online, at nagda-download ng mahigit 415,000 application bilang populasyon.
Gayunpaman, kahit na ang aming patuloy na pagtaas ng paggamit ng internet ay nagbibigay sa amin ng walang limitasyong mga opsyon sa komunikasyon, pag-aaral, at teknolohiya, inilalantad din kami nito sa napakaraming mga panganib na nakabatay sa web.
Binuo namin ang pinakabagong online na data ng seguridad mula sa buong mundo upang matulungan kang maunawaan ang saklaw at kalubhaan ng mga panganib na kinakaharap ng iyong kumpanya. Ang mga bilang na ito ay batay sa mga third-party na survey at publikasyon. Kaya, magsimula tayo.
Ano ang dalas ng mga web-based na pag-atake?
Ayon sa Ang kamakailang pagsusuri ni Verizon, ang mga pag-atake sa web application ay nagkakahalaga ng 26% ng lahat ng mga paglabag, na ginagawa silang pangalawang pinakamadalas na pattern ng pag-atake.
Gayunpaman, ang mga programa ay hindi ang tanging pinagmumulan ng panganib sa internet. Kapansin-pansing lumaki ang trapiko sa paghahanap sa buong mundo noong 2020, na madalas na dumarami sa panahon ng mga pandemyang pag-lock ng COVID-19.
Ngayon, habang tinatanggap ng mundo ang mga virtual na hangout at mga platform ng streaming ng pelikula para sa paglilibang, pati na rin ang mga teknolohiya ng video conferencing upang makipag-ugnayan sa mga katrabaho nang malayuan, ang mataas na antas ng pandaigdigang paggamit ng internet na ito ay hindi nagpapakita ng mga palatandaan ng paghina.
Bagama't nakatulong ang internet sa maraming negosyo na mapanatili ang pagiging produktibo habang lumilipat sila sa remote at, kamakailan lamang, hybrid na trabaho, ang aming pagtitiwala dito ay ginawa itong isang mahalagang target para sa mga umaatake, na nakatuon sa kanilang mga pagsisikap sa pagsasamantala sa mga kahinaan sa web.
Ayon sa SiteLock, batay sa isang pagsusuri ng 7 milyong mga website, ang mga website ay napapailalim na ngayon sa average na 94 na pag-atake bawat araw at ina-access ng mga bot nang humigit-kumulang 2,608 beses bawat linggo. Ginagamit ng mga cybercriminal ang mga bot na ito upang maghanap sa mga website para sa mga kahinaan at magsagawa ng mga simpleng pattern ng pag-atake tulad ng distributed denial of service (DDoS) at mga pag-atake sa paglalagay ng kredensyal.
Sa napakaraming bot na sinisingil sa paghahanap ng mga kahinaan, hindi nakakagulat—bagama't hindi kasiya-siya—na tinatayang 12.8 milyong website sa buong mundo ang nahawaan ng malware.
Mga URL na nakabatay sa Web Application
Ang nangungunang sampung bansa na nagho-host ng karamihan ng mga URL na may mataas na peligro, ayon sa a kamakailan-lamang na pag-aaral, ay:
- Estados Unidos
- Russia
- Alemanya
- Singgapur
- Timog Korea
- Denmark
- Tsina
- Hapon
- Canada
- The Netherlands
Ang mga botnet, keylogger, at pagsubaybay, malware site, phishing, pag-iwas sa proxy at mga anonymizer, spam, spyware, at adware ay kabilang sa mga URL na may mataas na panganib na nakategorya sa pananaliksik na ito.
Ang mga sumusunod ay ang nangungunang mga kategorya ng site na nagho-host ng mga nakakahamak na URL:
- Pang-adulto (9.43% nagho-host ng nakakahamak na URL)
- Libangan (8.63%)
- Medisina (7.66%)
- Paggawa (19.87%)
- Shareware/torrents (11.84%)
- Social networking (8.71%)
- URL link modifier (5.81%)
- Iba pa (28.06%)
Pinansyal na Institusyon na naka-target sa Mga Pag-atake sa Web
Noong 2020, mahigit 736 milyong web assault ang nairehistro laban sa mga institusyong pampinansyal, mula sa kabuuang 6.3 bilyong pag-atake sa web sa taong iyon. Ang pagsasama ng lokal na file ay ang pinakakaraniwang uri ng pag-atake sa web, na nagkakahalaga ng 52 porsiyento ng lahat ng mga pag-atake, na sinusundan ng mga pag-atake ng SQL injection, na umabot ng 33 porsiyento. 9 porsiyento ng mga pag-atake ay cross-site scripting.
Web-based na malware
Ang malware ay kasangkot sa higit sa 70% ng lahat ng mga paglabag sa system intrusion, at 32% ng lahat ng malware ay kumakalat sa internet.
Ang mga sumusunod ay ang mga pangunahing panganib na natuklasan sa mga website na nahawaan ng malware:
- Phishing (7%)
- Pagkasira ng mukha (6%)
- SEO spam (5%)
- Backdoor (65%)
- Hacker ng file (48%)
- Nakakahamak na kahilingan sa eval (22%)
- Shell script (22%)
- Injector (21%)
- Cryptominer (<1%)
Web-based na phishing
Bilang karagdagan sa pagtanggi sa mga katanungang nauugnay sa malware, napigilan din ng teknolohiya ng web security ng Akamai ang 6,258,597 kahilingang nauugnay sa phishing at nagbigay ng impormasyon tungkol sa kanilang sariling mga karanasan sa phishing.
Ang platform, pananalapi, mga pandaigdigang serbisyo, tanggapan ng CIO, mga online na benta at dibisyon ng marketing, pati na rin ang kanilang suporta, media, at mga carrier team, ay ang pinaka-phished na mga unit ng negosyo, ayon sa pananaliksik. Sa kabila ng katotohanan na ang figure na ito ay mas maliit kaysa sa dami ng mga tanong na nauugnay sa malware na tinanggihan, Mga istatistika ng Google Safe Browsing ibunyag na may humigit-kumulang 75 beses na mas maraming phishing site sa internet kaysa sa mga malware site.
Binibigyang-diin nito ang laki ng banta na dulot ng social engineering: Ang mga social na pag-atake, tulad ng phishing, ay bumubuo ng 25% ng lahat ng mga paglabag. Ang mga user ng Webmail at Software-as-a-Service (SaaS) ay ang mga target ng pinakamaraming pagsusumikap sa phishing, ayon sa isang kamakailang survey, na nagkakahalaga ng 34.7% ng lahat ng mga pagtatangka sa phishing.
Ang dalas ng pag-atake ng business email compromise (BEC) na inilunsad sa pamamagitan ng mga libreng webmail provider ay tumaas ng 11% noong nakaraang taon, mula 61% hanggang 72%, ayon sa parehong ulat. Ang Gmail ay ginamit ng higit sa kalahati ng mga naglunsad ng mga pag-atake.
Mga Paglabag sa Data mula sa Mga Pag-atake sa Phishing
90 porsyento ng mga paglabag sa data ay na-trigger ng mga pag-atake ng phishing, ayon sa 2021 Cybersecurity ng Cisco Pananaliksik sa Threat Trends. Ang mga user ang pinakamahina na link sa security chain, kaya maraming mga pag-atake ang nakatutok sa kanila. Mas madalas na tinatarget ng mga hacker ang mga emosyon ng tao o kawalan ng kakayahan kaysa sa mga bahid ng system, na pinatunayan ng katanyagan ng mga diskarte sa social engineering.
A mga gastos sa paglabag sa data isang average na $4.24 milyong dolyar. Ang numerong ito ay naglalarawan ng patuloy na lumalawak na pagkakaiba sa gastos sa pagitan ng mga kumpanyang gumagamit ng mas modernong paraan ng seguridad at sa mga hindi. Ipinahihiwatig nito na ang halaga ng isang paglabag sa data ay mas mababa nang husto para sa mga kumpanyang mayroong pormal na arkitektura ng seguridad, ngunit maaaring nakapipinsala ito para sa mga hindi.
Ayon sa parehong survey, ang mga masasamang pag-atake ay nagkakahalaga ng 52 porsiyento ng mga paglabag, at ang mga paglabag na ito ay nagkakahalaga ng average na $4.27 milyon, na higit pa sa karaniwang paglabag sa data. Dahil sa paraan ng pagsira ng data ng ransomware at mapanirang pag-atake ng malware, mas mahal ang mga ito kaysa sa karaniwang nakakapinsalang pag-atake. Ang mga nakakahamak na pag-atake na nagbubura o sumisira ng data ay nagkakahalaga ng isang average na $4.52 milyon, habang ang mga pag-atake sa ransomware ay nagkakahalaga ng average na $4.44 milyon.
Konklusyon
Isang stack ng mga attack surface at defensive mitigation mechanism ang bumubuo web application seguridad. Ang pagprotekta sa mga web application gamit ang isang diskarte o sa isang antas ng stack ay hindi sapat. Ang mga kahinaan sa platform o mga protocol tulad ng TCP o HTTP ay maaaring makapinsala sa seguridad at availability ng isang application bilang mga pag-atake sa mismong programa.
Upang makamit ang isang kanais-nais web application postura ng seguridad, isang buong stack ng mga hakbang sa pagpapagaan ay kinakailangan. Kapansin-pansin na ang isang holistic na diskarte ay nangangailangan ng koordinasyon sa buong network, seguridad, operasyon, at development team dahil ang bawat isa ay may responsibilidad na gampanan sa pagprotekta sa mga application at sa kanilang mahalagang data.
Mag-iwan ng Sagot