El hacker ético promedio puede encontrar una vulnerabilidad que permita violar el perímetro de la red y luego explotar el entorno en menos de 10 horas, mientras que los evaluadores de penetración centrados en la seguridad de la nube obtienen el acceso más rápido a los activos específicos. Y además, una vez que se encuentra una vulnerabilidad o debilidad, alrededor del 58% de los piratas informáticos éticos pueden ingresar a un entorno en menos de cinco horas.
Esto es según una encuesta de 300 expertos realizada por el Instituto SANS y patrocinada por la firma de servicios de ciberseguridad Bishop Fox, que también encontró que las debilidades más comunes explotadas por los piratas informáticos incluyen configuraciones vulnerables, fallas de software y servicios web expuestos, afirmaron los encuestados.
Los resultados reflejan métricas de ataques maliciosos del mundo real y resaltan la cantidad limitada de tiempo que tienen las empresas para detectar y responder a las amenazas, dice Tom Eston, vicepresidente asociado de consultoría de Bishop Fox.
"Cinco o seis horas para entrar, como hacker ético, no es una gran sorpresa", dice. "Coincide con lo que vemos que hacen los verdaderos piratas informáticos, especialmente con la ingeniería social y el phishing y otros vectores de ataque realistas".
El encuesta es el último dato de los intentos de las empresas de ciberseguridad de estimar el tiempo promedio que tienen las organizaciones para detener a los atacantes e interrumpir sus actividades antes de que se produzca un daño significativo.
La empresa de servicios de ciberseguridad CrowdStrike, por ejemplo, descubrió que el atacante promedio "escapa" de su compromiso inicial para infectar otros sistemas. en menos de 90 minutos. Mientras tanto, el tiempo que los atacantes pueden operar en las redes de las víctimas antes de ser detectados fue de 21 días en 2021, ligeramente mejor que los 24 días del año anterior. según la firma de servicios de ciberseguridad Mandiant.
Organizaciones que no se mantienen al día
En general, casi tres cuartas partes de los hackers éticos piensan que la mayoría de las organizaciones carecen de las capacidades necesarias de detección y respuesta para detener los ataques, según la encuesta de Bishop Fox-SANS. Los datos deberían convencer a las organizaciones de no sólo centrarse en prevenir ataques, sino también de detectar y responder rápidamente a los ataques como una forma de limitar el daño, dice Eston de Bishop Fox.
"Todo el mundo acabará siendo hackeado, por lo que todo se reduce a la respuesta a incidentes y a cómo responder a un ataque, en lugar de protegerse contra todos los vectores de ataque", afirma. "Es casi imposible impedir que una persona haga clic en un enlace".
Además, las empresas están luchando por proteger muchas partes de su superficie de ataque, según el informe. Los terceros, el trabajo remoto, la adopción de infraestructura en la nube y el mayor ritmo de desarrollo de aplicaciones contribuyeron significativamente a ampliar las superficies de ataque de las organizaciones, dijeron los evaluadores de penetración.
Sin embargo, el elemento humano sigue siendo, con diferencia, la vulnerabilidad más crítica. Según los encuestados, los ataques de ingeniería social y phishing, juntos, representaron aproximadamente la mitad (49%) de los vectores con el mejor retorno de la inversión en piratería. Los ataques a aplicaciones web, los ataques basados en contraseñas y el ransomware representan otra cuarta parte de los ataques preferidos.
"No debería sorprender que la ingeniería social y los ataques de phishing sean los dos vectores principales, respectivamente", afirma el informe. "Hemos visto esto una y otra vez, año tras año: los informes de phishing aumentan continuamente y los adversarios continúan teniendo éxito dentro de esos vectores".
Solo tu hacker promedio
La encuesta también desarrolló un perfil del hacker ético promedio: casi dos tercios de los encuestados tenían entre un año y seis años de experiencia. Sólo uno de cada 10 hackers éticos tenía menos de un año en la profesión, mientras que alrededor del 30% tenía entre siete y 20 años de experiencia.
La mayoría de los hackers éticos tienen experiencia en seguridad de redes (71%), pruebas de penetración interna (67%) y seguridad de aplicaciones (58%), según la encuesta, seguidos por el equipo rojo, la seguridad en la nube y la seguridad a nivel de código. Tipos populares de hacking ético.
La encuesta debería recordar a las empresas que la tecnología por sí sola no puede resolver los problemas de ciberseguridad: las soluciones requieren capacitar a los empleados para que estén conscientes de los ataques, dice Eston.
"No existe una sola tecnología de caja parpadeante que pueda repeler todos los ataques y mantener segura a su organización", afirma. “Es una combinación de proceso humano y tecnología, y eso no ha cambiado. Las organizaciones gravitan hacia la última y mejor tecnología... pero luego ignoran la concienciación sobre la seguridad y la capacitación de sus empleados para reconocer la ingeniería social”.
Dado que los atacantes se centran exactamente en esas debilidades, afirma, las organizaciones necesitan cambiar la forma en que desarrollan sus defensas.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
