97% datalekken veroorzaakt door SQL Injection
SQL Injection is verantwoordelijk voor 97% van alle datalekken op het internet en is daardoor veel gevaarlijker dan geavanceerde malware, aldus één van de grootste banken ter wereld. Hoewel het probleem van SQL Injection al meer dan tien jaar bekend is, komt het nog altijd voor, aldus Neira Jones, hoofd betalingen van de Britse Barclays bank. "Datalekken zijn een statische zekerheid geworden", aldus Jones tijdens de Infosecurity persconferentie in Londen. "Als je kijkt waar individuen zich zorgen om maken, dan zit het beschermen van persoonsgegevens op hetzelfde niveau als sociale problemen zoals het voorkomen van misdrijven."
Engel
Bij SQL Injection wordt de invoer van gebruikers op een website niet goed gefilterd, waardoor die direct met de database kunnen communiceren en zo toegang tot allerlei vertrouwelijke gegevens krijgen. Ondanks de problematiek van SQL Injection en het grote aantal kwetsbare webapplicaties en websites, krijgt het onderwerp weinig aandacht, aldus Jones.
Ze stelt dat zaken als Advanced Persistent Threat (APT) ten onrechte veel meer aandacht krijgen. APT is de term die wordt gebruikt voor zeer geavanceerde aanvallen en malware, vaak ingezet voor cyberspionage. "Als iemand APT in de kamer zegt, sterft er een engel in de hemel, omdat APTs niet het probleem zijn", merkt Jones op. "Ik ze niet dat ze niet bestaan, maar laten we eerst de basis op orde krijgen. Weten bedrijven zeker dat ze niet kwetsbaar voor SQL Injection zijn? En hebben ze hun webapplicaties veilig geprogrammeerd."
Impact
Ook volgens Frank van Vliet, CTO van Certified Secure, verdient SQL Injection veel meer aandacht. "APT betreft een veel kleinere groep aanvallers, terwijl SQL Injection werkelijk door iedereen gedaan kan worden. Aangezien het net zo'n grote impact kan hebben, is het daardoor voor veel meer bedrijven een risico. Daarom is het belangrijk eerst de meest voorkomende dreigingen op te lossen, voordat er naar geavanceerde problemen wordt gekeken."
Verder moeten bedrijven volgens Jones beter hun logs in de gaten houden. Het duurt ongeveer zes a acht maanden voordat bedrijven door hebben dat ze gehackt zijn. Door meer inzicht in het eigen risicoprofiel te krijgen en eenvoudige proactieve maatregelen te nemen, zoals het in kaart brengen van dreigingen, zouden bedrijven 87% van de aanvallen kunnen voorkomen.
SQL Injection is verantwoordelijk voor 97% van alle --> datalekken op het internet <--
Op papier - is niet een datalek op internet
USB-stick - is niet een datalek op internet
gestolen laptop - is niet een datalek op internet
Maar na wat zoekwerk via Google kwam ik op deze pagina.
http://www.infosecurity-magazine.com/view/20348/interview-barclaycards-neira-jones
En daar staat in het engels vrijwel hetzelfde verhaal, maar wordt er gesproken over 90% en
dus niet 97%. :)
Slightly more controversial is Jones’ take on advanced persistent threats. “It’s APT this, and APT that”, she says, bemused. “Ten years ago we started seeing the first SQL injections. We now know exactly how to prevent the SQL injection.” According to the [Verizon] DBIR report, explains Jones, default prevention, in combination with a lapse of credential and password management and bad log management, was responsible for approximately 90% of attacks.
Ugh. Nee dus, er wordt niet *ge-escaped* of er worden geen parametrized queries gebruikt. Je kunt wel proberen data te 'filteren' tegen SQLi, maar dat gaat niet lang goed.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.