يمكن للمتسلل الأخلاقي العادي العثور على ثغرة أمنية تسمح باختراق محيط الشبكة ثم استغلال البيئة في أقل من 10 ساعات، مع تركيز مختبري الاختراق على الأمان السحابي للوصول بسرعة أكبر إلى الأصول المستهدفة. علاوة على ذلك، بمجرد العثور على ثغرة أمنية أو ضعف، يستطيع حوالي 58% من المتسللين الأخلاقيين اقتحام بيئة ما في أقل من خمس ساعات.
جاء ذلك وفقًا لاستطلاع شمل 300 خبير أجراه معهد SANS وبرعاية شركة خدمات الأمن السيبراني Bishop Fox، والذي وجد أيضًا أن نقاط الضعف الأكثر شيوعًا التي يستغلها المتسللون تشمل التكوينات الضعيفة، وعيوب البرامج، وخدمات الويب المكشوفة، حسبما ذكر المشاركون في الاستطلاع.
يقول توم إستون، نائب الرئيس المساعد للاستشارات في Bishop Fox، إن النتائج تعكس مقاييس الهجمات الضارة في العالم الحقيقي وتسلط الضوء على مقدار الوقت المحدود الذي يتعين على الشركات اكتشاف التهديدات والرد عليها.
يقول: "خمس أو ست ساعات لاقتحام الموقع، باعتباري هاكرًا أخلاقيًا، لا يمثل ذلك مفاجأة كبيرة". "إنه يتوافق مع ما نرى المتسللين الحقيقيين يفعلونه، خاصة مع الهندسة الاجتماعية والتصيد الاحتيالي وغيرها من نواقل الهجوم الواقعية."
• مسح هي أحدث نقطة بيانات من محاولات شركات الأمن السيبراني لتقدير متوسط الوقت الذي يتعين على المؤسسات إيقاف المهاجمين ومقاطعة أنشطتهم قبل حدوث ضرر كبير.
على سبيل المثال، وجدت شركة خدمات الأمن السيبراني CrowdStrike أن المهاجم العادي "يهرب" من اختراقه الأولي لإصابة الأنظمة الأخرى في أقل من 90 دقيقة. وفي الوقت نفسه، بلغ طول الوقت الذي يستطيع فيه المهاجمون العمل على شبكات الضحايا قبل اكتشافهم 21 يومًا في عام 2021، وهو أفضل قليلاً من 24 يومًا في العام السابق. وفقًا لشركة خدمات الأمن السيبراني Mandiant.
المنظمات لا تواكب
بشكل عام، يعتقد ما يقرب من ثلاثة أرباع المتسللين الأخلاقيين أن معظم المؤسسات تفتقر إلى قدرات الكشف والاستجابة اللازمة لوقف الهجمات، وفقًا لاستطلاع Bishop Fox-SANS. يقول إيستون، من بيشوب فوكس، إن البيانات يجب أن تقنع المؤسسات ليس فقط بالتركيز على منع الهجمات، بل تهدف إلى اكتشاف الهجمات والرد عليها بسرعة كوسيلة للحد من الضرر.
ويقول: "سيتم اختراق الجميع في نهاية المطاف، لذلك يتعلق الأمر بالاستجابة للحوادث وكيفية الرد على الهجوم، بدلاً من الحماية ضد كل ناقل للهجوم". "يكاد يكون من المستحيل منع شخص واحد من النقر على الرابط."
بالإضافة إلى ذلك، ذكر التقرير أن الشركات تكافح من أجل تأمين أجزاء كثيرة من سطح الهجوم الخاص بها. وقال مختبرو الاختراق إن الأطراف الثالثة، والعمل عن بعد، واعتماد البنية التحتية السحابية، وزيادة وتيرة تطوير التطبيقات، ساهمت جميعها بشكل كبير في توسيع أسطح الهجوم للمؤسسات.
ومع ذلك، لا يزال العنصر البشري يمثل نقطة الضعف الأكثر أهمية، حتى الآن. وشكلت هجمات الهندسة الاجتماعية والتصيد الاحتيالي معًا حوالي نصف (49٪) من النواقل التي تحقق أفضل عائد على الاستثمار في القرصنة، وفقًا للمشاركين. تمثل هجمات تطبيقات الويب والهجمات المستندة إلى كلمات المرور وبرامج الفدية ربعًا آخر من الهجمات المفضلة.
وجاء في التقرير: "لا ينبغي أن يكون من المفاجئ أن تكون هجمات الهندسة الاجتماعية والتصيد الاحتيالي هي أهم ناقلين، على التوالي". "لقد رأينا هذا مرارًا وتكرارًا، عامًا بعد عام - تتزايد تقارير التصيد الاحتيالي باستمرار، ويستمر الخصوم في تحقيق النجاح ضمن تلك النواقل."
مجرد القراصنة المتوسط الخاص بك
كما طور الاستطلاع أيضًا لمحة عن المتسلل الأخلاقي العادي، حيث يتمتع ما يقرب من ثلثي المشاركين بخبرة تتراوح بين عام وستة أعوام. واحد فقط من كل 10 قراصنة أخلاقيين كان لديه أقل من عام في المهنة، في حين أن حوالي 30% لديهم ما بين سبعة إلى 20 عامًا من الخبرة.
يتمتع معظم المتسللين الأخلاقيين بخبرة في مجال أمن الشبكات (71%)، واختبار الاختراق الداخلي (67%)، وأمن التطبيقات (58%)، وفقًا للاستطلاع، ويأتي في المرتبة الثانية الفريق الأحمر، والأمن السحابي، والأمن على مستوى التعليمات البرمجية. الأنواع الشائعة من القرصنة الأخلاقية.
يقول إيستون إن الاستطلاع يجب أن يذكّر الشركات بأن التكنولوجيا وحدها لا يمكنها حل مشاكل الأمن السيبراني - فالحلول تتطلب تدريب الموظفين ليكونوا على دراية بالهجمات.
ويقول: "لا توجد تقنية واحدة للصندوق الوامض يمكنها صد جميع الهجمات والحفاظ على أمان مؤسستك". "إنه مزيج من العمليات البشرية والتكنولوجيا، وهذا لم يتغير. تنجذب المؤسسات نحو أحدث وأروع التقنيات... لكنها تتجاهل بعد ذلك الوعي الأمني وتدريب موظفيها على التعرف على الهندسة الاجتماعية.
ويقول إنه مع تركيز المهاجمين على نقاط الضعف هذه بالضبط، تحتاج المؤسسات إلى تغيير كيفية تطوير دفاعاتها.
