Med Sony som det senaste stora offeret för hacking, upplever stora organisationer än en gång hur dataöverträdelser orsakar allvarliga skador på melodin. Förekomsten av hacking i media frågar frågan: Vad finns i butiken för 2015?

Mot bakgrund av mer frekventa och farliga XSS-attacker, tredjepartskod och plugins som återstår akilleshälsan av webbapplikationer och växande kedjiga attacker, kommer organisationer att leta efter nya sätt att skydda sina online-egenskaper.

Tyvärr är det ganska svårt att göra prognoser för informationssäkerhet, och ännu svårare att verifiera dem efteråt - vi kan bara bedöma effektiviteten av informationssäkerheten med antalet offentliga säkerhetshändelser, eftersom majoriteten av dataöverträdelser förblir oupptäckta.

Men i den här artikeln kommer vi att göra några prognoser för webbsäkerhet baserat på lönsamhet för sunt förnuft (vinst / kostnad) för hackare ...

1. Sårbara webbapplikationer kommer att förbli det enklaste sättet att kompromissa företag

När nästan alla företag har ett eller flera sårbara webbapplikationer, kommer hackare inte stör att starta komplexa och dyra APT-attacker med nolldagars exploiteringar. Företagen fortsätter allvarligt att underskatta riskerna med deras webbapplikationer och hemsida. En liten sårbarhet, som XSS, kan leda till kompromisser i hela det lokala nätverket, e-post och databaser i ett företag.

2. XSS kommer att bli en mer frekvent och farlig vektor av attacker

Det är mycket svårt att upptäcka höga eller kritiska riskproblem i välkända webbprodukter (t.ex. Joomla, WordPress, SharePoint, etc). Sårbarheter med låg och medelhög risk, till exempel XSS, visas fortfarande regelbundet. Sofistikerat utnyttjande av en XSS kan ge samma resultat som en SQL-injektionssårbarhet, därför kommer hackare att förlita sig på XSS-attacker mer och mer för att uppnå sina mål.

3. Tredje partskod och plugins kommer att förbli akilleshälsan för webbapplikationer

Medan kärnkoden för välkända CMS-system och andra webbprodukter är ganska säkra idag, är koden från tredje part, till exempel olika plugins eller tillägg, sårbara även vid högriskrisker. Människor tenderar att glömma att en föråldrad plugin eller tredjeparts röstningsskript äventyrar hela webbapplikationen. Självklart kommer hackare inte att missa sådana möjligheter.

4. Kedjiga attacker och attacker via tredje parts webbplatser kommer att växa

Idag är det ganska svårt att hitta ett kritiskt sårbarhet på en välkänd webbplats. Det är mycket snabbare och därmed billigare för hackare att hitta flera medelriskrisker och använda en kombination av dessa för att få fullständig tillgång till webbplatsen.

En annan trend är att attackera en ansedd webbplats som offret regelbundet besöker. Till exempel, när jag letar efter en C-nivå verkställande, kan hackare äventyra flera högprofilerade finansiella webbplatser eller tidningar och sätta in ett exploiteringspaket som endast kommer att aktiveras för en specifik IP, användaragent och autentiseringskökkombination som hör till offret . Sådana attacker är mycket svåra att upptäcka, eftersom bara offret kan märka attacken.

5. Svaga lösenord och återanvändning av lösenord kommer att förbli ett mycket allvarligt problem

Många använder fortfarande samma eller liknande lösenord för alla sina konton. Hackers kan inte sakna sådana möjligheter och aktivt utnyttja denna mänskliga svaghet. Det första ansträngningssteget är att identifiera alla webbplatser eller bloggar där offret är registrerat eller har ett konto. Det andra steget är att välja den svagaste webbplatsen från listan och för att kompromissa den. Lösenordskrypteringstekniker som vanligtvis används i webbapplikationer idag är långt ifrån resistenta, och ett lösenord i enkeltext kan erhållas ganska snabbt.

Även om offret använder ett mycket starkt lösenord och det är ordentligt krypterat i databasen. hackare kommer bara trojanska webbapplikationen att avlyssna lösenordet i ren text under inloggning. Det sista steget är att prova lösenordet för alla offrets konton och resurser.

6. Applikationslogiska fel kommer att bli frekventare och kritiska

Exempel på AliExpress och Delta Airlines lyfter fram effekterna av programlogiska sårbarheter som nästan inte kan upptäckas av automatiserade lösningar. Webbutvecklare har blivit medvetna om XSS- och SQL-injektionsbrister och kodar mycket bättre än tidigare, men de glömmer programlogiska sårbarheter som kan vara ännu farligare än SQL-injektioner eller RCE.

7. Automatiserade säkerhetsverktyg och lösningar kommer inte längre att vara effektiva

Webbprogram Firewalls, Web Säkerhetsskannrar eller Malware Detection tjänster kommer inte att vara effektiv längre om de används separat eller utan mänsklig kontroll. Både webbproblem och webbattacker blir alltmer sofistikerade och komplexa att upptäcka, och mänskligt ingripande är nästan alltid nödvändigt för att korrekt kunna upptäcka alla sårbarheter.

Det räcker inte längre att patchera 90% eller till och med 99% av sårbarheterna - hackare kommer att upptäcka den senaste sårbarheten och använda den för att kompromissa hela webbplatsen. Som en lösning på ökningen av nya hot, lanserade High-Tech Bridge ImmuniWeb förra året - en unik hybrid som effektivt kombinerar automatisk säkerhetsbedömning med manuell penetrationstestning.

  • Ilia Kolochenko är VD för High Tech Bridge och Chief Architect of ImmuniWeb