Elke website op internet is enigszins kwetsbaar voor beveiligingsaanvallen. De bedreigingen variëren van menselijke fouten tot geavanceerde aanvallen door gecoördineerde cybercriminelen.
Volgens het Data Breach Investigations Report van Verizon, is de belangrijkste motivatie voor cyberaanvallers financieel. Of u nu een eCommerce-project runt of een eenvoudige website voor een klein bedrijf, het risico van een potentiële aanval is aanwezig.
Het is belangrijker dan ooit om te weten waar u mee te maken hebt. Elke kwaadaardige aanval op uw website heeft zijn specifieke kenmerken, en met een scala aan verschillende soorten aanvallen die rondgaan, lijkt het misschien onmogelijk om je tegen alle te verdedigen. Toch kunt u veel doen om uw website tegen deze aanvallen te beveiligen en het risico te verkleinen dat kwaadwillende hackers zich op uw website richten.
Laten we eens nader kijken naar 10 van de meest voorkomende cyberaanvallen die op internet plaatsvinden en hoe u uw website hiertegen kunt beschermen.
- De 10 meest voorkomende websitebeveiligingsaanvallen
- Cross-Site Scripting (XSS)
- Injectie-aanvallen
- Fuzzing (of Fuzz Testing)
- Zero-Day Attack
- Path (of Directory) Traversal
- Distributed Denial-of-Service (DDoS)
- Man-In-The-Middle-aanval
- Brute Force aanval
- Gebruik van onbekende code of code van derden
- Phishing
- In Conclusie
De 10 meest voorkomende websitebeveiligingsaanvallen
Cross-Site Scripting (XSS)
Uit een recente studie van Precise Security blijkt dat de XSS-aanval de meest voorkomende cyberaanval is en ongeveer 40% van alle aanvallen uitmaakt. Hoewel het de meest voorkomende is, zijn de meeste van deze aanvallen niet erg geavanceerd en worden ze uitgevoerd door amateur cybercriminelen met behulp van scripts die anderen hebben gemaakt.
Cross-site scripting richt zich op de gebruikers van een site in plaats van op de webapplicatie zelf. De kwaadwillende hacker voegt een stukje code in op een kwetsbare website, dat vervolgens wordt uitgevoerd door de bezoeker van de website. De code kan de accounts van de gebruiker in gevaar brengen, Trojaanse paarden activeren of de inhoud van de website wijzigen om de gebruiker te verleiden tot het geven van privé-informatie.
U kunt uw website tegen XSS-aanvallen beschermen door een web application firewall (WAF) in te stellen. WAF fungeert als een filter dat alle kwaadaardige verzoeken aan uw website identificeert en blokkeert. Meestal hebben webhostingbedrijven al een WAF wanneer u hun service afneemt, maar u kunt het ook zelf instellen.
Injectie-aanvallen
Het Open Web Application Security Project (OWASP) heeft in hun laatste Top Tien-onderzoek injectiefouten genoemd als de hoogste risicofactor voor websites. De SQL-injectiemethode is de meest populaire praktijk die door cybercriminelen in deze categorie wordt gebruikt.
De injectie-aanvalsmethoden richten zich rechtstreeks op de website en de database van de server. Wanneer ze worden uitgevoerd, voegt de aanvaller een stuk code in dat verborgen gegevens en gebruikersinvoer onthult, gegevenswijziging mogelijk maakt en in het algemeen de toepassing compromitteert.
De bescherming van uw website tegen op injectie gebaseerde aanvallen komt voornamelijk neer op hoe goed u uw codebase hebt gebouwd. De beste manier om het risico van SQL-injectie te beperken, is bijvoorbeeld om altijd gebruik te maken van geparametriseerde verklaringen waar deze beschikbaar zijn, naast andere methoden. Verder kunt u overwegen een authenticatieworkflow van derden te gebruiken om uw databasebeveiliging uit te besteden.
Fuzzing (of Fuzz Testing)
Ontwikkelaars gebruiken fuzz testing om coderingsfouten en veiligheidslekken in software, besturingssystemen of netwerken te vinden. Aanvallers kunnen echter dezelfde techniek gebruiken om kwetsbaarheden in uw site of server te vinden.
Het werkt door in eerste instantie een grote hoeveelheid willekeurige gegevens (fuzz) in een applicatie in te voeren om deze te laten crashen. De volgende stap is het gebruik van een fuzzer software tool om de zwakke plekken te identificeren. Als er mazen in de beveiliging van het doelwit zitten, kan de aanvaller deze verder uitbuiten.
De beste manier om een fuzzing-aanval te bestrijden is door uw beveiliging en andere toepassingen up-to-date te houden. Dit geldt vooral voor alle beveiligingspatches die uitkomen met een update die de daders kunnen uitbuiten als u de update nog niet hebt uitgevoerd.
Zero-Day Attack
Een zero-day-aanval is een uitbreiding van een fuzzing-aanval, maar het vereist niet per se het identificeren van zwakke plekken. Het meest recente geval van dit type aanval werd geïdentificeerd door een onderzoek van Google, waar ze potentiële zero-day-exploits in Windows- en Chrome-software identificeerden.
Er zijn twee scenario’s van hoe kwaadwillende hackers kunnen profiteren van de zero-day-aanval. Het eerste geval is als de aanvallers informatie kunnen krijgen over een komende beveiligingsupdate, kunnen ze leren waar de mazen zitten voordat de update live gaat. In het tweede scenario krijgen de cybercriminelen de informatie over de patch en richten ze zich op gebruikers die hun systemen nog niet hebben bijgewerkt. In beide gevallen wordt uw beveiliging gecompromitteerd, en de daaropvolgende schade hangt af van de vaardigheden van de daders.
De eenvoudigste manier om uzelf en uw site te beschermen tegen zero-day-aanvallen is om uw software bij te werken onmiddellijk nadat de uitgevers een nieuwe versie hebben aangekondigd.
Path (of Directory) Traversal
Een path traversal-aanval komt niet zo vaak voor als de vorige hackmethoden, maar vormt nog steeds een aanzienlijke bedreiging voor elke webapplicatie.
Path traversal-aanvallen richten zich op de hoofdmap van het web om toegang te krijgen tot niet-geautoriseerde bestanden of mappen buiten de doelmap. De aanvaller probeert bewegingspatronen binnen de servermap te injecteren om hogerop te komen in de hiërarchie. Een succesvolle path traversal kan de toegang tot de site, configuratiebestanden, databases en andere websites en bestanden op dezelfde fysieke server in gevaar brengen.
De bescherming van uw site tegen een path traversal aanval komt neer op uw input sanitization. Dit betekent dat de invoer van de gebruiker veilig en onherstelbaar van uw server moet worden gehouden. De meest eenvoudige suggestie hier is om je codebase zo op te bouwen dat alle informatie van een gebruiker niet doorgegeven wordt aan de bestandssysteem API’s. Als dat echter niet mogelijk is, zijn er andere technische oplossingen.
Distributed Denial-of-Service (DDoS)
De DDoS-aanval alleen stelt de kwaadwillende hacker niet in staat om de beveiliging te doorbreken, maar zal de site tijdelijk of permanent offline halen. Kaspersky Lab’s IT Security Risks Survey in 2017 concludeerde dat een enkele DDoS-aanval kleine bedrijven gemiddeld $123K kost en grote ondernemingen $2,3M.
De DDoS-aanval is erop gericht de webserver van het doelwit te overweldigen met verzoeken, waardoor de site niet meer beschikbaar is voor andere bezoekers. Een botnet creëert gewoonlijk een enorm aantal verzoeken, die worden verdeeld over eerder geïnfecteerde computers. Ook worden DDoS-aanvallen vaak samen met andere methoden gebruikt; het doel van de eerste is om de beveiligingssystemen af te leiden terwijl een kwetsbaarheid wordt uitgebuit.
Het beschermen van uw site tegen een DDoS-aanval heeft over het algemeen meerdere facetten. Ten eerste moet u het piekverkeer beperken door gebruik te maken van een Content Delivery Network (CDN), een load balancer en schaalbare bronnen. Ten tweede moet je ook een Web Application Firewall inzetten voor het geval de DDoS-aanval een andere cyberaanvalsmethode verbergt, zoals een injectie of XSS.
Man-In-The-Middle-aanval
De man-in-the-middle-aanvallen komen vaak voor bij sites die hun gegevens niet hebben versleuteld terwijl ze van de gebruiker naar de servers gaan. Als gebruiker kunt u een potentieel risico herkennen door te kijken of de URL van de website begint met HTTPS, waarbij de “S” aangeeft dat de gegevens worden versleuteld.
Aanvallers gebruiken het man-in-the-middle type aanval om (vaak gevoelige) informatie te verzamelen. De dader onderschept de gegevens op het moment dat ze tussen twee partijen worden overgedragen. Als de gegevens niet zijn versleuteld, kan de aanvaller gemakkelijk persoonlijke, inlog- of andere gevoelige gegevens lezen die tussen twee locaties op internet reizen.
Een eenvoudige manier om de man-in-the-middle-aanval te beperken, is door een SSL-certificaat (Secure Sockets Layer) op uw site te installeren. Dit certificaat versleutelt alle informatie die tussen partijen wordt verzonden, zodat de aanvaller er niet gemakkelijk wijs uit kan worden. De meeste moderne hosting providers hebben al een SSL certificaat bij hun hosting pakket.
Brute Force aanval
Een brute force aanval is een zeer eenvoudige methode om toegang te krijgen tot de inloggegevens van een web applicatie. Het is ook een van de eenvoudigste om te onderdrukken, vooral van de kant van de gebruiker.
De aanvaller probeert de combinatie van gebruikersnaam en wachtwoord te raden om toegang te krijgen tot de account van de gebruiker. Natuurlijk, zelfs met meerdere computers, kan dit jaren duren, tenzij het wachtwoord heel eenvoudig en voor de hand liggend is.
De beste manier om uw inloggegevens te beschermen, is door een sterk wachtwoord te maken of door twee-factor authenticatie (2FA) te gebruiken. Als site-eigenaar kunt u uw gebruikers verplichten beide in te stellen om het risico te verkleinen dat een cybercrimineel het wachtwoord raadt.
Gebruik van onbekende code of code van derden
Hoewel het geen regelrechte aanval op uw site is, kan het gebruik van niet-geverifieerde code gemaakt door een derde persoon leiden tot een ernstig beveiligingslek.
De oorspronkelijke maker van een stuk code of een applicatie heeft een kwaadaardige string in de code verborgen of onbewust een achterdeur achtergelaten. Vervolgens neemt u de “besmette” code op in uw site, waarna deze wordt uitgevoerd of de backdoor wordt geëxploiteerd. De gevolgen kunnen variëren van eenvoudige gegevensoverdracht tot het verkrijgen van administratieve toegang tot uw site.
Om risico’s rond een potentiële inbreuk te vermijden, laat uw ontwikkelaars altijd de geldigheid van de code onderzoeken en controleren. Zorg er ook voor dat de plug-ins die u gebruikt (vooral voor WordPress) up-to-date zijn en regelmatig beveiligingspatches ontvangen – uit onderzoek blijkt dat meer dan 17.000 WordPress-plug-ins (of ongeveer 47% van de WordPress-plug-ins ten tijde van het onderzoek) in twee jaar niet waren bijgewerkt.
Phishing
Phishing is een andere aanvalsmethode die niet direct op websites is gericht, maar we konden het ook niet van de lijst laten staan, omdat het nog steeds de integriteit van uw systeem in gevaar kan brengen. De reden hiervoor is dat phishing, volgens het Internet Crime Report van de FBI, de meest voorkomende social engineering cybercrime is.
Het standaard middel dat wordt gebruikt bij phishing-pogingen is e-mail. De aanvallers doen zich meestal voor als iemand anders en proberen hun slachtoffers gevoelige informatie te ontfutselen of een bankoverschrijving te laten doen. Dit soort aanvallen kan bizar zijn, zoals de 419-zwendel (een onderdeel van de categorie Advance Fee Fraud), of meer gesofisticeerd, met gespoofde e-mailadressen, schijnbaar authentieke websites en overtuigende taal. Dit laatste staat meer bekend als Spear phishing.
De meest effectieve manier om het risico van een phishing-zwendel te beperken is door uw personeel en uzelf te trainen in het herkennen van dergelijke pogingen. Controleer altijd of het e-mailadres van de afzender legitiem is, het bericht niet vreemd is en het verzoek niet bizar is. En, als het te mooi is om waar te zijn, is het dat waarschijnlijk ook.
In Conclusie
De aanvallen op uw website kunnen vele vormen aannemen, en de aanvallers erachter kunnen amateurs zijn of gecoördineerde professionals.
De belangrijkste takeaway is het niet overslaan van beveiligingsfuncties bij het maken of runnen van uw site, omdat dit nare gevolgen kan hebben.
Hoewel het niet mogelijk is om het risico van een website-aanval volledig te elimineren, kunt u in ieder geval de mogelijkheid en de ernst van de uitkomst beperken.
Over de auteur: Gert Svaiko is een professionele tekstschrijver die werkt met cyberbeveiligingsbedrijven in de VS en de EU. U kunt hem bereiken op LinkedIn.
Opmerking van de redacteur: De meningen die in dit artikel van de gastauteur worden geuit, zijn uitsluitend die van de inzender en weerspiegelen niet noodzakelijk die van Tripwire, Inc.