Barclays: 97 Prozent der Datenverluste noch durch SQL-injection

2013-12-28  |  Comebuy News

SQL-Injection-Angriffe schon seit mehr als zehn Jahren, und Sicherheitsexperten sind mehr als fähig, gegen sie zu schützen; noch sind 97 Prozent der Datenschutzverletzungen weltweit noch durch eine SQL-Injection irgendwo entlang der Linie nach Neira Jones, Leiter der Zahlungssicherheit für Barclaycard.

Comebuy Verwandte Artikel: Einer von fünf Web-Attacken, die zur sozialen NetworksInternet Vandalen entfallen 25 % der Web hacks90 % der Hack-Angriffe verursacht durch organisierte CrimeWeb 2.0 ist größte Bedrohung der Sicherheit für BusinessesGovernment-Anwendungen noch gespickt mit ernsthaften Sicherheitsproblemen

Auf der Infosecurity Europe-Pressekonferenz in London sagte diese Woche, Jones, dass Hacker Unternehmen unzureichend und oft veraltete Informationen Sicherheitsmethoden nutzen. Unter Berufung auf die neuesten Zahlen aus der Autonomiebehörde betrug, sagte sie, dass Identitätsbetrug die UK mehr als £2,7 Milliarden jährlich kostet, und mehr als 1,8 Millionen Menschen betrifft.

"Datenmissbrauch einer statistischen Sicherheit geworden sind", sagte Jones. "Wenn Sie herauszufinden, was das öffentliche Individuum besorgt ist, ist Schutz personenbezogener Daten tatsächlich auf der gleichen Ebene in der Skala der öffentlichen sozialen Anliegen als Verbrechen zu verhüten."

SQL-Injection ist eine Code-Injektion-Technik, die eine Sicherheitslücke in einem Website-Software nutzt. Beliebige Daten werden in ein String aus Code eingefügt, der schließlich durch eine Datenbank ausgeführt wird. Das Ergebnis ist, dass der Angreifer beliebigen SQL-Abfragen oder Befehle für die Backend-Datenbank-Server über die Web-Anwendung ausgeführt werden kann.

Im Oktober 2011 gepflanzt Angreifer beispielsweise bösartigen JavaScript auf Microsofts ASP-Plattform. Dies führte zu dem Browser des Besuchers zu einen Iframe mit einem der zwei remote-Standorten zu laden. Von dort versuchte der Iframe, Malware auf dem PC des Besuchers über eine Reihe von Browser-Drive-by-Exploits zu Pflanzen.

Microsoft bietet ASP.Net Programmierer Informationen zum Schutz vor SQL-Injection-Angriffe seit mindestens 2005. Jedoch konnte der Angriff rund 180.000 Seiten zu beeinflussen.

Jones sagte, dass mit der Anzahl der miteinander verbundenen Geräte auf dem Planeten, bis 2015 die Zahl der Menschen überschreiten, Internetkriminalität und Datenschutz müssen höheren Priorität auf dem Board Tagesordnung zu nehmen. Damit dies geschehen kann muss jedoch der Chief Information Security Officer (CISO) den Grad des Risikos innerhalb ihrer Organisation zu bewerten und ein Schritt zu einem Zeitpunkt.

"Ich sage es immer wenn jemand APT [Erweiterte anhaltende Bedrohung] im Zimmer sagt, stirbt ein Engel im Himmel, denn APTs sind nicht das Problem.,", sagte Jones. "Ich sage nicht, dass sie nicht real sind, sondern lassen Sie uns zuerst die Grundlagen beheben. Sind Organisationen völlig sicher, dass sie nicht anfällig für SQL-Injections sind? Und haben sie ihre Web-Anwendung sicher kodiert?"

Im allgemeinen hinzugefügt dauert zwischen 6 und 8 Monaten für eine Organisation zu erfahren, dass es verletzt worden ist, Jones. Jedoch können Unternehmen durch das Verständnis ihres Risikoprofils und einfache proaktive Maßnahmen, wie z. B. die Bedrohung Szenario Modellierung, 87 Prozent aller Angriffe verhindern.

Infosecurity Europe 2012 statt in Earl's Court, London, 24-26 April.

« Back