Care site web de pe internet este oarecum vulnerabil la atacurile de securitate. Amenințările variază de la erori umane până la atacuri sofisticate ale unor infractori cibernetici coordonați.
Potrivit raportului Data Breach Investigations Report by Verizon, motivația principală a atacatorilor cibernetici este financiară. Indiferent dacă gestionați un proiect de comerț electronic sau un simplu site web pentru afaceri mici, riscul unui potențial atac există.
Este mai important ca niciodată să știți cu ce vă confruntați. Fiecare atac malițios asupra site-ului dvs. web are specificul său și, cu o serie de tipuri diferite de atacuri care circulă, ar putea părea imposibil să vă apărați împotriva tuturor acestora. Cu toate acestea, puteți face multe pentru a vă securiza site-ul web împotriva acestor atacuri și pentru a reduce riscul ca hackerii rău intenționați să vă vizeze site-ul web.
Să aruncăm o privire mai atentă la 10 dintre cele mai frecvente atacuri cibernetice care au loc pe internet și la modul în care vă puteți proteja site-ul web împotriva lor.
- Cele mai frecvente 10 atacuri de securitate a site-urilor web
- Cross-Site Scripting (XSS)
- Atacurile de injecție
- Fuzzing (sau Fuzz Testing)
- Zero-Day Attack
- Path (or Directory) Traversal
- Denegarea distribuită a serviciului (DDoS)
- Atacurile de tip man-in-the-middle
- Atac prin forță brută
- Utilizarea de cod necunoscut sau de la terți
- Phishing
- În concluzie
Cele mai frecvente 10 atacuri de securitate a site-urilor web
Cross-Site Scripting (XSS)
Un studiu recent realizat de Precise Security a constatat că atacul XSS este cel mai frecvent atac cibernetic constituind aproximativ 40% din toate atacurile. Chiar dacă este cel mai frecvent, cele mai multe dintre aceste atacuri nu sunt foarte sofisticate și sunt executate de infractori cibernetici amatori care folosesc scripturi create de alții.
Cross-site scripting vizează utilizatorii unui site în loc de aplicația web în sine. Hackerul rău intenționat inserează o bucată de cod într-un site web vulnerabil, care este apoi executată de vizitatorul site-ului. Codul poate compromite conturile utilizatorului, poate activa cai troieni sau poate modifica conținutul site-ului web pentru a păcăli utilizatorul să ofere informații private.
Vă puteți proteja site-ul web împotriva atacurilor XSS prin configurarea unui firewall pentru aplicații web (WAF). WAF acționează ca un filtru care identifică și blochează orice solicitări malițioase către site-ul dvs. web. De obicei, companiile de găzduire web dispun deja de WAF atunci când le achiziționați serviciul, dar îl puteți configura și singur.
Atacurile de injecție
Proiectul Open Web Application Security Project (OWASP), în ultima sa cercetare Top Ten, a numit defectele de injecție ca fiind cel mai mare factor de risc pentru site-urile web. Metoda de injecție SQL este cea mai populară practică folosită de infractorii cibernetici în această categorie.
Metodele de atac prin injecție vizează direct site-ul web și baza de date a serverului. Atunci când sunt executate, atacatorul inserează o bucată de cod care dezvăluie datele ascunse și intrările utilizatorului, permite modificarea datelor și, în general, compromite aplicația.
Protejarea site-ului dvs. web împotriva atacurilor bazate pe injecție se reduce în principal la cât de bine v-ați construit baza de cod. De exemplu, modalitatea numărul unu de a reduce riscul unei injecții SQL este de a utiliza întotdeauna declarații parametrizate atunci când sunt disponibile, printre alte metode. În plus, puteți lua în considerare utilizarea unui flux de lucru de autentificare terță parte pentru a externaliza protecția bazei de date.
Fuzzing (sau Fuzz Testing)
Dezvoltatorii folosesc fuzz testing pentru a găsi erori de codare și lacune de securitate în software, sisteme de operare sau rețele. Cu toate acestea, atacatorii pot folosi aceeași tehnică pentru a găsi vulnerabilități în site-ul sau serverul dumneavoastră.
Funcționează prin introducerea inițială a unei cantități mari de date aleatorii (fuzz) într-o aplicație pentru a o face să se blocheze. Următorul pas este utilizarea unui instrument software fuzzer pentru a identifica punctele slabe. Dacă există lacune în securitatea țintei, atacatorul le poate exploata în continuare.
Cel mai bun mod de a combate un atac fuzzing este să vă mențineți securitatea și alte aplicații actualizate. Acest lucru este valabil în special pentru orice patch-uri de securitate care apar cu o actualizare pe care infractorii o pot exploata dacă nu ați făcut încă actualizarea.
Zero-Day Attack
Un atac zero-day este o extensie a unui atac fuzzing, dar nu necesită identificarea punctelor slabe în sine. Cel mai recent caz de acest tip de atac a fost identificat de studiul Google, care a identificat potențiale exploatări de tip zero-day în software-ul Windows și Chrome.
Există două scenarii privind modul în care hackerii rău intenționați pot beneficia de atacul zero-day. Primul caz este dacă atacatorii pot obține informații despre o viitoare actualizare de securitate, ei pot afla unde sunt lacunele înainte ca actualizarea să fie lansată. În cel de-al doilea scenariu, infractorii cibernetici obțin informațiile despre patch-uri și vizează utilizatorii care nu și-au actualizat încă sistemele. În ambele cazuri, securitatea dvs. este compromisă, iar pagubele ulterioare depind de abilitățile infractorilor.
Cel mai simplu mod de a vă proteja pe dvs. și site-ul dvs. împotriva atacurilor de tip „zero-day” este să vă actualizați software-ul imediat după ce editorii vă îndeamnă la o nouă versiune.
Path (or Directory) Traversal
Un atac de traversare a căilor de acces nu este la fel de comun ca metodele de hacking anterioare, dar este în continuare o amenințare considerabilă pentru orice aplicație web.
Atacurile de traversare a căilor de acces vizează folderul rădăcină web pentru a accesa fișiere sau directoare neautorizate din afara folderului vizat. Atacatorul încearcă să injecteze modele de deplasare în cadrul directorului serverului pentru a urca în ierarhie. O traversare reușită a căii de acces poate compromite accesul la site, fișierele de configurare, bazele de date și alte site-uri web și fișiere de pe același server fizic.
Protejarea site-ului dvs. împotriva unui atac de traversare a căii de acces se reduce la sanitizarea intrărilor. Aceasta înseamnă să păstrați intrările utilizatorului în siguranță și irecuperabile de pe serverul dvs. Cea mai simplă sugestie aici este să vă construiți baza de cod astfel încât orice informație de la un utilizator să nu fie transmisă către API-urile sistemului de fișiere. Cu toate acestea, dacă acest lucru nu este posibil, există și alte soluții tehnice.
Denegarea distribuită a serviciului (DDoS)
Atacul DDoS singur nu îi permite hackerului rău intenționat să încalce securitatea, dar va face ca site-ul să fie temporar sau permanent offline. Studiul Kaspersky Lab’s IT Security Risks Survey din 2017 a concluzionat că un singur atac DDoS costă în medie 123.000 de dolari pentru întreprinderile mici și 2,3 milioane de dolari pentru întreprinderile mari.
Atacul DDoS urmărește să copleșească serverul web al țintei cu cereri, făcând site-ul indisponibil pentru alți vizitatori. Un botnet creează, de obicei, un număr mare de cereri, care este distribuit între calculatoarele infectate anterior. De asemenea, atacurile DDoS sunt adesea folosite împreună cu alte metode; scopul primului este de a distrage atenția sistemelor de securitate în timp ce exploatează o vulnerabilitate.
Protejarea site-ului dvs. împotriva unui atac DDoS are, în general, mai multe fațete. În primul rând, trebuie să atenuați traficul de vârf prin utilizarea unei rețele de distribuire a conținutului (CDN), a unui balanțator de sarcină și a unor resurse scalabile. În al doilea rând, trebuie, de asemenea, să implementați un Web Application Firewall în cazul în care atacul DDoS ascunde o altă metodă de atac cibernetic, cum ar fi o injecție sau XSS.
Atacurile de tip man-in-the-middle
Atacurile de tip man-in-the-middle sunt frecvente în rândul site-urilor care nu și-au criptat datele în timp ce acestea călătoresc de la utilizator la servere. În calitate de utilizator, puteți identifica un risc potențial examinând dacă URL-ul site-ului începe cu HTTPS, unde „S”-ul implică faptul că datele sunt criptate.
Atactorii folosesc tipul de atac man-in-the-middle pentru a colecta informații (adesea sensibile). Infractorul interceptează datele în timp ce acestea sunt transferate între două părți. Dacă datele nu sunt criptate, atacatorul poate citi cu ușurință datele personale, datele de conectare sau alte detalii sensibile care călătoresc între două locații pe internet.
O modalitate simplă de a atenua atacul de tip man-in-the-middle este de a instala un certificat Secure Sockets Layer (SSL) pe site-ul dumneavoastră. Acest certificat criptează toate informațiile care călătoresc între părți, astfel încât atacatorul nu le va putea desluși cu ușurință. De obicei, majoritatea furnizorilor de găzduire moderni includ deja un certificat SSL în pachetul lor de găzduire.
Atac prin forță brută
Un atac prin forță brută este o metodă foarte simplă de accesare a informațiilor de autentificare ale unei aplicații web. Este, de asemenea, una dintre cele mai ușor de atenuat, mai ales din partea utilizatorului.
Atacatorul încearcă să ghicească combinația de nume de utilizator și parolă pentru a accesa contul utilizatorului. Desigur, chiar și cu mai multe calculatoare, acest lucru poate dura ani de zile, cu excepția cazului în care parola este foarte simplă și evidentă.
Cel mai bun mod de a vă proteja informațiile de conectare este crearea unei parole puternice sau utilizarea autentificării cu doi factori (2FA). În calitate de proprietar de site, puteți cere utilizatorilor dvs. să le configureze pe amândouă pentru a reduce riscul ca un infractor cibernetic să ghicească parola.
Utilizarea de cod necunoscut sau de la terți
Chiar dacă nu este un atac direct asupra site-ului dvs., utilizarea unui cod neverificat creat de o terță persoană poate duce la o încălcare gravă a securității.
Creatorul original al unei bucăți de cod sau al unei aplicații a ascuns un șir malițios în interiorul codului sau a lăsat, fără să știe, un backdoor. Încorporați apoi codul „infectat” în site-ul dvs. și apoi acesta este executat sau backdoor-ul este exploatat. Efectele pot varia de la un simplu transfer de date până la obținerea accesului administrativ la site-ul dumneavoastră.
Pentru a evita riscurile din jurul unei potențiale breșe, cereți întotdeauna dezvoltatorilor dumneavoastră să cerceteze și să auditeze validitatea codului. De asemenea, asigurați-vă că plugin-urile pe care le folosiți (în special pentru WordPress) sunt actualizate și primesc în mod regulat patch-uri de securitate – cercetările arată că peste 17.000 de plugin-uri WordPress (sau aproximativ 47% dintre plugin-urile WordPress la momentul studiului) nu fuseseră actualizate în ultimii doi ani.
Phishing
Phishing-ul este o altă metodă de atac care nu vizează în mod direct site-urile web, dar nici nu puteam să o lăsăm în afara listei, deoarece poate compromite în continuare integritatea sistemului dumneavoastră. Motivul este că phishing-ul este, conform Internet Crime Report al FBI, cea mai răspândită infracțiune cibernetică de inginerie socială.
Instrumentul standard folosit în încercările de phishing este e-mailul. Agresorii se maschează, în general, ca fiind cineva care nu este și încearcă să își convingă victimele să împărtășească informații sensibile sau să facă un transfer bancar. Aceste tipuri de atacuri pot fi extravagante, cum ar fi înșelătoria 419 (care face parte dintr-o categorie de fraudă de tip Advance Fee Fraud) sau mai sofisticate, implicând adrese de e-mail falsificate, site-uri web aparent autentice și un limbaj convingător. Acesta din urmă este cunoscut pe scară mai largă sub denumirea de Spear phishing.
Cel mai eficient mod de a reduce riscul unei escrocherii de tip phishing este de a vă instrui personalul și pe dumneavoastră înșivă pentru a identifica astfel de încercări. Verificați întotdeauna dacă adresa de e-mail a expeditorului este legitimă, dacă mesajul nu este ciudat și dacă solicitarea nu este bizară. Și, dacă este prea frumos pentru a fi adevărat, probabil că este.
În concluzie
Atacurile asupra site-ului dvs. web pot lua multe forme, iar atacatorii din spatele lor pot fi amatori sau profesioniști coordonați.
Cel mai important lucru de reținut este să nu săriți peste funcțiile de securitate atunci când vă creați sau vă administrați site-ul, deoarece poate avea consecințe nefaste.
În timp ce nu este posibil să eliminați complet riscul unui atac asupra unui site web, puteți cel puțin să atenuați posibilitatea și gravitatea rezultatului.
Despre autor: Gert Svaiko este un copywriter profesionist care lucrează cu companii de securitate cibernetică din SUA și UE. Puteți lua legătura cu el pe LinkedIn.
Nota editorului: Opiniile exprimate în acest articol al autorului invitat sunt exclusiv cele ale autorului colaborator și nu le reflectă neapărat pe cele ale Tripwire, Inc.
.