Quanto spesso i siti Web (ei loro database) vengono violati? Hacked come rubato negli account utente, tabelle scaricate e, tutto sommato, danni fatti al database.
Sto parlando di siti di e-commerce, e inoltre, oltre a importanti istituzioni finanziarie perché sento sempre di questi hack sulle notizie.
Anche se esistesse una statistica di questo tipo, sarebbe priva di significato perché questi attacchi non si verificano a seguito di casualità.
Le tue possibilità di essere "hackerato" aumentano drammaticamente se:
Non proteggi l'applicazione correttamente ( SQL Injection è il più ovvio, e purtroppo ancora banale vulnerabilità, altri includono password di solo testo, XSS / XSRF e non convalida di input di form / query string);
Il sito non è protetto in modo corretto (ad esempio, consenti agli elenchi di directory, consenti accesso anonimo FTP, non chroot FTP, ecc.)
Non si protegge la rete in modo corretto (ad esempio, si eseguono servizi con account privilegiati, non si configurano ACL o regole firewall appropriati, ecc.), il che renderebbe il tutto lontano più facile per un utente malintenzionato scansionare vulnerabilità e trovare alcuni mezzi di elevazione dei privilegi .
Hai un personale grande e / o poco preparato che lavora sul sistema, aumentando le probabilità di un social engineering attacco in corso.
Il tuo sito è ad alto traffico, entrate elevate, alta sensibilità, o rappresenta comunque un valore elevato per gli aggressori, il che implica una maggiore probabilità di un social engineering mirato o di un attacco simile (es. spionaggio).
Se proteggi il tuo ambiente e le tue applicazioni correttamente, hai ben poco di cui preoccuparti se non dipingi un grosso segno di bersaglio sulla schiena. Una volta raggiunta tale dimensione, dovresti assumere un consulente di sicurezza IT a tempo pieno che garantirà che le probabilità di essere "hackerato" siano molto vicine allo zero e / o che le effettive implicazioni aziendali di tale evenienza siano minimal.
How often do websites (and their databases) get hacked?
È generalmente sconosciuto e potenzialmente inconoscibile.
Molti paesi non hanno leggi sulla criminalità informatica [1]. Negli Stati Uniti le leggi variano da stato a stato. 48 stati hanno approvato la legislazione sulla criminalità informatica. [2] Anche in luoghi che hanno leggi sulla criminalità informatica, le vittime spesso non ne fanno rapporto.
Di recente ho chiesto informazioni su Risorse per i dati sugli incidenti di sicurezza a fai qualche ricerca sull'argomento. Alcuni contributori di database inviano i loro dati in condizione di anonimato.
Potrebbe essere possibile trovare statistiche su determinate classi di siti Web che sono obbligate per legge a segnalare l'esposizione di informazioni personali. Tuttavia, anche tra coloro che sono legalmente obbligati a segnalare, alcuni potrebbero non essere a conoscenza della legge e alcuni potrebbero scegliere di non segnalare comunque.
anything besides major financial institutions because I always hear about those hacks on the news.
Beh, ne hai sentito di sensazionali comunque. Sono sicuro che ci sono un sacco di incidenti nelle principali istituzioni finanziarie che non ricevono una copertura mediatica significativa. A parte il Belgio, la Francia e i Paesi Bassi non hanno obblighi di segnalazione legale. [3] Quindi, teoricamente, una grave violazione potrebbe essere accaduta a una grande istituzione finanziaria in quei paesi e potremmo non averne mai sentito parlare.
[1] Fondamenti di sicurezza della rete, Eric Maiwald
[2] Leggi come strumenti per la sicurezza del computer
[3] Sondaggio internazionale sulla notifica di violazione della sicurezza
Questa domanda merita più attenzione di quella che è stata data. L'OP, forse a sua insaputa, ha identificato il tallone d'Achille della sicurezza delle informazioni, cioè la determinazione accurata della probabilità di realizzazione di una minaccia.
Ammesso che sarebbe impossibile rispondere alla domanda senza prima qualificare la parte che chiede, ma questa domanda sta alla base, o almeno dovrebbe essere alla base, di ogni singola decisione di sicurezza presa. La risposta a questa domanda non dovrebbe essere la contrapposizione e il silenzio imbarazzante. Dovremmo essere in grado di rispondere a queste domande di tipi senza esitazione.
Collettivamente, in quanto "industria", abbiamo fallito miseramente nel fornire ai nostri clienti questi dati vitali. Peggio ancora - abbiamo permesso che fosse importante sminuire la paura, l'incertezza, il dubbio e gli ingegnosi stratagemmi di marketing.
Come qualsiasi altra industria matura, dovremmo essere supportati da dati che sono stati analizzati, interpretati, perfezionati, modellati e sistematizzati. Fortunatamente ci sono alcune iniziative che tentano di raccogliere dati, ma la raccolta è solo una parte della soluzione. Il vero problema risiede nell'interpretazione dei dati e nella comprensione delle relazioni tra insiemi di dati.
A meno che non scegliamo di riconoscere che questo è un problema, ci sono poche speranze che l'industria "della sicurezza" raggiunga l'età adulta e invece saremo bloccati in questa terra di bugie e inganni nella terra dei pubertali.
TLDR; Purtroppo non possiamo fornirti una risposta accurata a causa della mancanza di dati di supporto. Tuttavia, ciò che possiamo fare è sventolare la nostra mano in una direzione indefinita, suggerendo che è probabile che si verifichi un attacco dove c'è un frutto che pende in basso. Esistono molti tipi di aggressori con varie motivazioni, capacità e risorse.
Se sei vittima di un attacco mirato, è improbabile che tu abbia una protezione sufficiente, basta affrontarlo. Se tuttavia il tuo aggressore è di tipo più "opportunistico" e hai fallito nel tagliare il tuo frutto basso, è ... probabile che ti troverà, e farà con successo qualunque cosa decida di fare.
Per avere un'idea di questo tipo di cose, ti consigliamo di iscriverti al digest RISKS , che discute ... interessanti incidenti di sicurezza. Noterai, tuttavia, che il filo conduttore tra di loro è che variano in modo selvaggio, il che porta a statistiche significative che sono molto difficili da separare dal rumore. Inoltre, molte persone che scoprono incidenti di sicurezza scelgono di non rivelarlo e, in alcune giurisdizioni, potrebbe persino essere illegale divulgare alcuni tipi di incidenti di sicurezza.
Le probabilità sono abbastanza alte da ridurre attivamente la possibilità di una violazione della sicurezza.
Se può accadere, è necessario pianificarlo come se dovesse accadere. In questo modo, quando lo farà, nessuno ti fisserà chiedendoti perché non ti sei difeso.
Leggi altre domande sui tag attacks disclosure intrusion