Den gennemsnitlige etiske hacker kan finde en sårbarhed, der tillader brud på netværkets perimeter og derefter udnytte miljøet på mindre end 10 timer, hvor penetrationstestere fokuseret på cloud-sikkerhed får hurtigst adgang til målrettede aktiver. Og yderligere, når en sårbarhed eller svaghed er fundet, kan omkring 58 % af etiske hackere bryde ind i et miljø på mindre end fem timer.
Det viser en undersøgelse blandt 300 eksperter foretaget af SANS Institute og sponsoreret af cybersikkerhedstjenestefirmaet Bishop Fox, som også fandt ud af, at de mest almindelige svagheder, som hackerne udnytter, omfatter sårbare konfigurationer, softwarefejl og udsatte webtjenester, udtalte undersøgelsesrespondenter.
Resultaterne afspejler målinger for ondsindede angreb i den virkelige verden og fremhæver den begrænsede tid, som virksomheder har til at opdage og reagere på trusler, siger Tom Eston, associeret vicepræsident for rådgivning hos Bishop Fox.
"Fem eller seks timer at bryde ind, som en etisk hacker selv, er det ikke en kæmpe overraskelse," siger han. "Det matcher det, vi ser de rigtige hackere gøre, især med social engineering og phishing og andre realistiske angrebsvektorer."
undersøgelse er det seneste datapunkt fra cybersikkerhedsvirksomheders forsøg på at estimere den gennemsnitlige tid, organisationer har til at stoppe angribere og afbryde deres aktiviteter, før der sker væsentlig skade.
Cybersikkerhedstjenestefirmaet CrowdStrike fandt for eksempel ud af, at den gennemsnitlige angriber "bryder ud" fra deres indledende kompromis for at inficere andre systemer på mindre end 90 minutter. I mellemtiden var den tid, hvor angriberne er i stand til at operere på ofrets netværk, før de blev opdaget, 21 dage i 2021, lidt bedre end de 24 dage i det foregående år, ifølge cybersikkerhedstjenestefirmaet Mandiant.
Organisationer følger ikke med
Samlet set mener næsten tre fjerdedele af etiske hackere, at de fleste organisationer mangler de nødvendige detektions- og reaktionsmuligheder for at stoppe angreb, ifølge Bishop Fox-SANS-undersøgelsen. Dataene skal overbevise organisationer om ikke kun at fokusere på at forhindre angreb, men sigte mod hurtigt at opdage og reagere på angreb som en måde at begrænse skader på, siger Bishop Fox's Eston.
"Alle vil i sidste ende blive hacket, så det kommer ned til hændelsesrespons, og hvordan du reagerer på et angreb, i modsætning til at beskytte mod enhver angrebsvektor," siger han. "Det er næsten umuligt at forhindre en person i at klikke på et link."
Derudover kæmper virksomheder med at sikre mange dele af deres angrebsflade, hedder det i rapporten. Tredjeparter, fjernarbejde, indførelse af cloud-infrastruktur og det øgede tempo i applikationsudviklingen bidrog alle væsentligt til at udvide organisationers angrebsflader, sagde penetrationstestere.
Alligevel er det menneskelige element fortsat langt den mest kritiske sårbarhed. Social engineering og phishing-angreb udgjorde tilsammen omkring halvdelen (49 %) af vektorerne med det bedste afkast på hackinginvesteringer, ifølge respondenterne. Webapplikationsangreb, adgangskodebaserede angreb og ransomware står for endnu en fjerdedel af foretrukne angreb.
"[Jeg] bør ikke komme som nogen overraskelse, at henholdsvis social engineering og phishing-angreb er de to øverste vektorer," hedder det i rapporten. "Vi har set dette gang på gang, år efter år - phishing-rapporter stiger konstant, og modstandere fortsætter med at finde succes inden for disse vektorer."
Bare din gennemsnitlige hacker
Undersøgelsen udviklede også en profil af den gennemsnitlige etiske hacker, hvor næsten to tredjedele af respondenterne havde mellem et års og seks års erfaring. Kun én ud af 10 etiske hackere havde mindre end et år i faget, mens omkring 30 % havde mellem syv og 20 års erfaring.
De fleste etiske hackere har erfaring med netværkssikkerhed (71 %), intern penetrationstest (67 %) og applikationssikkerhed (58 %), ifølge undersøgelsen, med red teaming, cloud-sikkerhed og sikkerhed på kodeniveau som den næstmest populære former for etisk hacking.
Undersøgelsen skal minde virksomhederne om, at teknologi alene ikke kan løse cybersikkerhedsproblemer - løsninger kræver træning af medarbejdere til at være opmærksomme på angreb, siger Eston.
"Der er ikke en eneste blinky-box-teknologi, der vil afvise alle angrebene og holde din organisation sikker," siger han. ”Det er en kombination af menneskers proces og teknologi, og det har ikke ændret sig. Organisationer graviterer mod den nyeste og bedste teknologi … men så ignorerer de sikkerhedsbevidsthed og træner deres medarbejdere til at genkende social engineering.”
Med angribere fokuseret på netop disse svagheder, siger han, er organisationer nødt til at ændre, hvordan de udvikler deres forsvar.
