Alle websteder på internettet er i nogen grad sårbare over for sikkerhedsangreb. Truslerne spænder fra menneskelige fejl til sofistikerede angreb udført af koordinerede cyberkriminelle.
I henhold til Data Breach Investigations Report fra Verizon er den primære motivation for cyberangribere økonomisk. Uanset om du driver et e-handelsprojekt eller et simpelt websted for en lille virksomhed, er risikoen for et potentielt angreb til stede.
Det er vigtigere end nogensinde før at vide, hvad du er oppe imod. Hvert ondsindet angreb på dit websted har sine særlige kendetegn, og med en række forskellige typer angreb, der går rundt, kan det synes umuligt at forsvare sig mod dem alle. Alligevel kan du gøre meget for at sikre dit websted mod disse angreb og mindske risikoen for, at ondsindede hackere angriber dit websted.
Lad os se nærmere på 10 af de mest hyppige cyberangreb, der finder sted på internettet, og hvordan du kan beskytte dit websted mod dem.
- De 10 mest almindelige sikkerhedsangreb på websites
- Cross-Site Scripting (XSS)
- Injektionsangreb
- Fuzzing (eller Fuzz Testing)
- Zero-Day Attack
- Path (or Directory) Traversal
- Distributed Denial-of-Service (DDoS)
- Man-in-the-middle-angreb
- Brute Force-angreb
- Brug af ukendt kode eller kode fra tredjepart
- Phishing
- I konklusion
De 10 mest almindelige sikkerhedsangreb på websites
Cross-Site Scripting (XSS)
En nylig undersøgelse foretaget af Precise Security viste, at XSS-angreb er det mest almindelige cyberangreb, der udgør ca. 40 % af alle angreb. Selv om det er det hyppigste, er de fleste af disse angreb ikke særlig sofistikerede og udføres af amatørcyberkriminelle, der bruger scripts, som andre har oprettet.
Cross-site scripting er rettet mod brugerne af et websted i stedet for mod selve webapplikationen. Den ondsindede hacker indsætter et stykke kode på et sårbart websted, som derefter afvikles af webstedets besøgende. Koden kan kompromittere brugerens konti, aktivere trojanske heste eller ændre webstedets indhold for at narre brugeren til at udlevere private oplysninger.
Du kan beskytte dit websted mod XSS-angreb ved at opsætte en webapplikationsfirewall (WAF). WAF fungerer som et filter, der identificerer og blokerer alle skadelige forespørgsler til dit websted. Normalt har webhostingfirmaer allerede WAF på plads, når du køber deres service, men du kan også selv oprette den.
Injektionsangreb
Open Web Application Security Project (OWASP) har i deres seneste Top Ten-undersøgelse nævnt injektionsfejl som den højeste risikofaktor for websteder. SQL-injektionsmetoden er den mest populære praksis, der anvendes af cyberkriminelle i denne kategori.
Injektionsangrebsmetoderne er direkte rettet mod webstedet og serverens database. Når de udføres, indsætter angriberen et stykke kode, der afslører skjulte data og brugerinput, muliggør datamodifikation og generelt kompromitterer applikationen.
Beskyttelse af dit websted mod injektionsbaserede angreb afhænger hovedsageligt af, hvor godt du har opbygget din kodebase. For eksempel er den bedste måde at mindske en SQL-injektionsrisiko på, at du blandt andet altid bruger parameteriserede statements, hvor det er muligt. Desuden kan du overveje at bruge en tredjeparts-autentifikationsworkflow til at udlicitere din databeskyttelse.
Fuzzing (eller Fuzz Testing)
Udviklere bruger fuzz testing til at finde kodningsfejl og sikkerhedshuller i software, operativsystemer eller netværk. Angribere kan dog bruge den samme teknik til at finde sårbarheder i dit websted eller din server.
Det fungerer ved indledningsvis at indtaste en stor mængde tilfældige data (fuzz) i et program for at få det til at gå ned. Det næste skridt er at bruge et fuzzer-softwareværktøj til at identificere de svage punkter. Hvis der er smuthuller i målets sikkerhed, kan angriberen udnytte det yderligere.
Den bedste måde at bekæmpe et fuzzing-angreb på er ved at holde din sikkerhed og andre programmer opdateret. Dette gælder især for eventuelle sikkerhedsrettelser, der udkommer med en opdatering, som gerningsmændene kan udnytte, hvis du ikke har foretaget opdateringen endnu.
Zero-Day Attack
Et zero-day-angreb er en udvidelse af et fuzzing-angreb, men det kræver ikke, at man identificerer svage punkter i sig selv. Det seneste tilfælde af denne type angreb blev identificeret af Googles undersøgelse, hvor de identificerede potentielle zero-day exploits i Windows- og Chrome-software.
Der er to scenarier for, hvordan ondsindede hackere kan drage fordel af zero-day-angrebet. Det første tilfælde er, at hvis angriberne kan få oplysninger om en kommende sikkerhedsopdatering, kan de lære, hvor smuthullerne er, inden opdateringen går i luften. I det andet scenarie får de cyberkriminelle oplysningerne om patchen og retter sig mod brugere, der endnu ikke har opdateret deres systemer. I begge tilfælde bliver din sikkerhed kompromitteret, og den efterfølgende skade afhænger af gerningsmændenes færdigheder.
Den nemmeste måde at beskytte dig selv og dit websted mod zero-day-angreb på er at opdatere din software straks efter, at udgiverne opfordrer til en ny version.
Path (or Directory) Traversal
Et path traversal-angreb er ikke så almindeligt som de tidligere hackermetoder, men er stadig en betydelig trussel mod enhver webapplikation.
Path traversal-angreb er rettet mod webstammappen for at få adgang til uautoriserede filer eller mapper uden for den målrettede mappe. Angriberen forsøger at injicere bevægelsesmønstre inden for servermappen for at bevæge sig opad i hierarkiet. En vellykket path traversal kan kompromittere webstedets adgang, konfigurationsfiler, databaser og andre websteder og filer på den samme fysiske server.
Beskyttelse af dit websted mod et path traversal-angreb afhænger af din input sanitization. Det betyder, at du skal holde brugerens input sikkert og uigenkaldeligt fra din server. Det mest ligetil forslag her er at opbygge din kodebase, så alle oplysninger fra en bruger ikke videregives til filsystemets API’er. Men hvis det ikke er muligt, er der andre tekniske løsninger.
Distributed Denial-of-Service (DDoS)
D DDoS-angrebet alene gør det ikke muligt for den ondsindede hacker at bryde sikkerheden, men det vil midlertidigt eller permanent gøre webstedet offline. Kaspersky Labs undersøgelse af it-sikkerhedsrisici fra 2017 konkluderede, at et enkelt DDoS-angreb i gennemsnit koster små virksomheder 123.000 dollars og store virksomheder 2,3 mio. dollars.
D DDoS-angrebet har til formål at oversvømme målets webserver med forespørgsler, hvilket gør webstedet utilgængeligt for andre besøgende. Et botnet skaber normalt et stort antal forespørgsler, som fordeles blandt tidligere inficerede computere. Desuden anvendes DDoS-angreb ofte sammen med andre metoder; førstnævntes mål er at distrahere sikkerhedssystemerne, mens der udnyttes en sårbarhed.
Beskyttelse af dit websted mod et DDoS-angreb er generelt flerfacetteret. For det første skal du afbøde den spidsbelastede trafik ved at bruge et Content Delivery Network (CDN), en load balancer og skalerbare ressourcer. For det andet skal du også implementere en webapplikationsfirewall, hvis DDoS-angrebet skjuler en anden cyberangrebsmåde, f.eks. en injektion eller XSS.
Man-in-the-middle-angreb
Man-in-the-middle-angreb er almindelige blandt websteder, der ikke har krypteret deres data, når de transporteres fra brugeren til serverne. Som bruger kan du identificere en potentiel risiko ved at undersøge, om webstedets URL-adresse begynder med et HTTPS, hvor “S” antyder, at dataene bliver krypteret.
Angrebsmænd bruger man-in-the-middle-angrebstypen til at indsamle (ofte følsomme) oplysninger. Gerningsmanden opsnapper dataene, mens de bliver overført mellem to parter. Hvis dataene ikke er krypteret, kan angriberen let læse personlige oplysninger, loginoplysninger eller andre følsomme oplysninger, der sendes mellem to steder på internettet.
En enkel måde at afbøde man-in-the-middle-angrebet på er ved at installere et SSL-certifikat (Secure Sockets Layer) på dit websted. Dette certifikat krypterer alle de oplysninger, der sendes mellem parterne, så det ikke er let for en angriber at finde ud af det. Typisk har de fleste moderne hostingudbydere allerede et SSL-certifikat med i deres hostingpakke.
Brute Force-angreb
Et brute force-angreb er en meget enkel metode til at få adgang til loginoplysningerne i et webprogram. Det er også en af de letteste at afbøde, især fra brugerens side.
Angrebsmanden forsøger at gætte kombinationen af brugernavn og adgangskode for at få adgang til brugerens konto. Selv med flere computere kan dette naturligvis tage år, medmindre adgangskoden er meget enkel og indlysende.
Den bedste måde at beskytte dine loginoplysninger på er ved at oprette en stærk adgangskode eller bruge to-faktor-autentifikation (2FA). Som ejer af et websted kan du kræve, at dine brugere indstiller begge dele for at mindske risikoen for, at en cyberkriminel gætter adgangskoden.
Brug af ukendt kode eller kode fra tredjepart
Selv om det ikke er et direkte angreb på dit websted, kan brugen af ubekræftet kode, der er oprettet af en tredjeperson, føre til et alvorligt sikkerhedsbrud.
Den oprindelige skaber af et stykke kode eller et program har skjult en ondsindet streng i koden eller har ubevidst efterladt en bagdør. Du indarbejder derefter den “inficerede” kode på dit websted, og så bliver den udført eller bagdøren udnyttet. Virkningerne kan være alt fra simpel dataoverførsel til at få administrativ adgang til dit websted.
For at undgå risici omkring et potentielt brud skal du altid få dine udviklere til at undersøge og revidere kodens validitet. Sørg også for, at de plugins, du bruger (især til WordPress), er opdaterede og regelmæssigt modtager sikkerhedsrettelser – undersøgelser viser, at over 17.000 WordPress-plugins (eller ca. 47 % af WordPress-plugins på tidspunktet for undersøgelsen) ikke var blevet opdateret i to år.
Phishing
Phishing er en anden angrebsmetode, der ikke er direkte rettet mod websites, men vi kunne heller ikke udelade den fra listen, da den stadig kan kompromittere dit systems integritet. Årsagen er, at phishing ifølge FBI’s Internet Crime Report er den mest almindelige social engineering cyberkriminalitet.
Det standardværktøj, der anvendes i phishingforsøg, er e-mail. Angriberne maskerer sig som regel som nogen, de ikke er, og forsøger at få deres ofre til at dele følsomme oplysninger eller foretage en bankoverførsel. Disse typer af angreb kan være så udspekulerede som 419-svindelnummeret (en del af kategorien “Advance Fee Fraud”) eller mere sofistikerede, der involverer forfalskede e-mailadresser, tilsyneladende autentiske websteder og overbevisende sprogbrug. Sidstnævnte er mere kendt som Spear phishing.
Den mest effektive måde at mindske risikoen for phishing-svindel på er ved at uddanne dit personale og dig selv i at identificere sådanne forsøg. Kontroller altid, om afsenderens e-mail-adresse er lovlig, om beskeden ikke er mærkelig, og om anmodningen ikke er bizar. Og hvis det er for godt til at være sandt, er det sandsynligvis også tilfældet.
I konklusion
Angrebene på dit websted kan antage mange former, og angriberne bag dem kan være amatører eller koordinerede professionelle.
Det vigtigste at tage med er ikke at springe over sikkerhedsfunktioner, når du opretter eller driver dit websted, fordi det kan få alvorlige konsekvenser.
Selv om det ikke er muligt helt at eliminere risikoen for et webstedangreb, kan du i det mindste mindske muligheden og alvoren af resultatet.
Om forfatteren: Gert Svaiko er en professionel tekstforfatter, der arbejder med cybersikkerhedsvirksomheder i USA og EU. Du kan kontakte ham på LinkedIn.
Redaktørens note: De udtalelser, der kommer til udtryk i denne gæsteforfatterartikel, er udelukkende bidragyderens egne og afspejler ikke nødvendigvis Tripwire, Inc.