গড় নৈতিক হ্যাকার এমন একটি দুর্বলতা খুঁজে পেতে পারে যা নেটওয়ার্ক পরিধি লঙ্ঘনের অনুমতি দেয় এবং তারপরে 10 ঘন্টারও কম সময়ে পরিবেশকে শোষণ করে, অনুপ্রবেশ পরীক্ষক ক্লাউড সুরক্ষার উপর দৃষ্টি নিবদ্ধ করে লক্ষ্যযুক্ত সম্পদগুলিতে খুব দ্রুত অ্যাক্সেস লাভ করে। এবং আরও, একবার দুর্বলতা বা দুর্বলতা পাওয়া গেলে, প্রায় 58% নৈতিক হ্যাকাররা পাঁচ ঘন্টারও কম সময়ে পরিবেশে প্রবেশ করতে পারে।
এটি SANS ইনস্টিটিউটের 300 জন বিশেষজ্ঞের একটি জরিপ অনুসারে এবং সাইবার নিরাপত্তা পরিষেবা সংস্থা বিশপ ফক্স দ্বারা স্পনসর করা হয়েছে, যেখানে আরও দেখা গেছে যে হ্যাকারদের দ্বারা শোষিত সবচেয়ে সাধারণ দুর্বলতার মধ্যে রয়েছে দুর্বল কনফিগারেশন, সফ্টওয়্যার ত্রুটি এবং উন্মুক্ত ওয়েব পরিষেবা, জরিপ উত্তরদাতারা বলেছেন।
বিশপ ফক্সের পরামর্শের সহযোগী ভাইস প্রেসিডেন্ট টম এস্টন বলেছেন, ফলাফলগুলি বাস্তব-বিশ্বের দূষিত আক্রমণগুলির জন্য মেট্রিক্সকে প্রতিফলিত করে এবং কোম্পানিগুলিকে হুমকি সনাক্ত করতে এবং প্রতিক্রিয়া জানাতে সীমিত সময়কে হাইলাইট করে৷
"আমি নিজে একজন এথিকাল হ্যাকার হিসাবে পাঁচ বা ছয় ঘন্টা বিরতি দিতে, এটি একটি বিশাল আশ্চর্যের বিষয় নয়," তিনি বলেছেন। "আমরা প্রকৃত হ্যাকারদের যা করতে দেখছি, বিশেষত সোশ্যাল ইঞ্জিনিয়ারিং এবং ফিশিং এবং অন্যান্য বাস্তববাদী আক্রমণ ভেক্টরের সাথে এটি মেলে।"
সার্জারির জরিপ এটি হল সাইবার সিকিউরিটি কোম্পানির প্রচেষ্টা থেকে সাম্প্রতিক ডেটা পয়েন্ট যা সংগঠনগুলিকে আক্রমণকারীদের থামাতে এবং উল্লেখযোগ্য ক্ষয়ক্ষতির আগে তাদের কার্যকলাপে বাধা দেওয়ার গড় সময় অনুমান করে৷
সাইবারসিকিউরিটি পরিষেবা সংস্থা ক্রাউডস্ট্রাইক, উদাহরণস্বরূপ, দেখেছে যে গড় আক্রমণকারী তাদের প্রাথমিক আপস থেকে অন্য সিস্টেমগুলিকে সংক্রামিত করার জন্য "ব্রেক আউট" করে কম 90 মিনিটের মধ্যে. এদিকে, আক্রমণকারীরা শনাক্ত হওয়ার আগে ভিকটিমদের নেটওয়ার্কে কাজ করতে সক্ষম হওয়া সময়ের দৈর্ঘ্য ছিল 21 সালে 2021 দিন, যা আগের বছরের 24 দিনের তুলনায় কিছুটা ভাল, সাইবারসিকিউরিটি পরিষেবা সংস্থা ম্যান্ডিয়েন্ট অনুসারে.
সংস্থাগুলি আপ কিপিং না
সামগ্রিকভাবে, প্রায় তিন-চতুর্থাংশ নৈতিক হ্যাকাররা মনে করে যে বেশিরভাগ সংস্থার আক্রমণ বন্ধ করার জন্য প্রয়োজনীয় সনাক্তকরণ এবং প্রতিক্রিয়া ক্ষমতার অভাব রয়েছে, বিশপ ফক্স-সানস সমীক্ষা অনুসারে। বিশপ ফক্সের এস্টন বলেছেন, তথ্যটি সংস্থাগুলিকে কেবল আক্রমণ প্রতিরোধে ফোকাস না করার জন্য সন্তুষ্ট করা উচিত, তবে ক্ষতি সীমাবদ্ধ করার উপায় হিসাবে আক্রমণগুলিকে দ্রুত সনাক্ত করা এবং প্রতিক্রিয়া জানানোর লক্ষ্য রাখা উচিত।
"প্রত্যেককে অবশেষে হ্যাক করা হতে চলেছে, তাই এটি ঘটনার প্রতিক্রিয়া এবং প্রতিটি আক্রমণ ভেক্টরের বিরুদ্ধে সুরক্ষার বিপরীতে আপনি কীভাবে একটি আক্রমণে প্রতিক্রিয়া জানাচ্ছেন তা আসে," তিনি বলেছেন। "একজন ব্যক্তিকে একটি লিঙ্কে ক্লিক করা থেকে আটকানো প্রায় অসম্ভব।"
এছাড়াও, কোম্পানিগুলি তাদের আক্রমণের পৃষ্ঠের অনেক অংশ সুরক্ষিত করতে লড়াই করছে, রিপোর্টে বলা হয়েছে। তৃতীয় পক্ষ, দূরবর্তী কাজ, ক্লাউড অবকাঠামো গ্রহণ, এবং অ্যাপ্লিকেশন বিকাশের বর্ধিত গতি সবই সংস্থার আক্রমণের পৃষ্ঠকে প্রসারিত করতে উল্লেখযোগ্যভাবে অবদান রেখেছে, অনুপ্রবেশ পরীক্ষকরা বলেছেন।
তবুও মানব উপাদানটি এখনও পর্যন্ত সবচেয়ে জটিল দুর্বলতা হিসাবে রয়ে গেছে। উত্তরদাতাদের মতে, সোশ্যাল ইঞ্জিনিয়ারিং এবং ফিশিং আক্রমণ, একসাথে প্রায় অর্ধেক (49%) ভেক্টর হ্যাকিং বিনিয়োগে সেরা রিটার্নের জন্য দায়ী। ওয়েব অ্যাপ্লিকেশন আক্রমণ, পাসওয়ার্ড-ভিত্তিক আক্রমণ এবং র্যানসমওয়্যার পছন্দের আক্রমণের আরেকটি চতুর্থাংশের জন্য অ্যাকাউন্ট।
"[আমার] অবাক হওয়ার কিছু নেই যে সোশ্যাল ইঞ্জিনিয়ারিং এবং ফিশিং আক্রমণগুলি যথাক্রমে শীর্ষ দুটি ভেক্টর," রিপোর্টে বলা হয়েছে৷ "আমরা বছরের পর বছর এই বার বার দেখেছি - ফিশিং রিপোর্ট ক্রমাগত বৃদ্ধি পায়, এবং প্রতিপক্ষরা সেই ভেক্টরগুলির মধ্যে সাফল্য খুঁজে পেতে থাকে।"
শুধু আপনার গড় হ্যাকার
জরিপটি গড় নৈতিক হ্যাকারের একটি প্রোফাইলও তৈরি করেছে, প্রায় দুই-তৃতীয়াংশ উত্তরদাতাদের এক বছর থেকে ছয় বছরের অভিজ্ঞতা রয়েছে। 10 টির মধ্যে মাত্র একজন নৈতিক হ্যাকারের পেশায় এক বছরেরও কম সময় ছিল, যেখানে প্রায় 30% এর মধ্যে সাত থেকে 20 বছরের অভিজ্ঞতা ছিল।
বেশিরভাগ নৈতিক হ্যাকারদের নেটওয়ার্ক নিরাপত্তা (71%), অভ্যন্তরীণ অনুপ্রবেশ পরীক্ষা (67%), এবং অ্যাপ্লিকেশন নিরাপত্তা (58%), সমীক্ষা অনুসারে, রেড টিমিং, ক্লাউড নিরাপত্তা, এবং কোড-স্তরের নিরাপত্তা পরবর্তী সবচেয়ে বেশি। জনপ্রিয় ধরনের নৈতিক হ্যাকিং।
জরিপটি কোম্পানিগুলিকে স্মরণ করিয়ে দেওয়া উচিত যে প্রযুক্তি একা সাইবার নিরাপত্তা সমস্যার সমাধান করতে পারে না - সমাধানের জন্য কর্মীদের আক্রমণ সম্পর্কে সচেতন হতে প্রশিক্ষণের প্রয়োজন, এস্টন বলেছেন।
"এমন একটি ব্লিঙ্কি-বক্স প্রযুক্তি নেই যা সমস্ত আক্রমণ প্রতিহত করবে এবং আপনার সংস্থাকে সুরক্ষিত রাখবে," তিনি বলেছেন। "এটি মানুষের প্রক্রিয়া এবং প্রযুক্তির সংমিশ্রণ, এবং এটি পরিবর্তিত হয়নি। সংস্থাগুলি সর্বশেষ এবং সর্বশ্রেষ্ঠ প্রযুক্তির দিকে আকৃষ্ট হয় … কিন্তু তারপরে তারা নিরাপত্তা সচেতনতাকে উপেক্ষা করে এবং তাদের কর্মীদের সামাজিক প্রকৌশল চিনতে প্রশিক্ষণ দেয়।"
আক্রমণকারীরা ঠিক সেই দুর্বলতার দিকে দৃষ্টি নিবদ্ধ করে, তিনি বলেছেন, সংগঠনগুলিকে পরিবর্তন করতে হবে কিভাবে তারা তাদের প্রতিরক্ষা বিকাশ করছে।
