یک هکر معمولی اخلاقی میتواند آسیبپذیری را پیدا کند که اجازه نقض محیط شبکه را میدهد و سپس در کمتر از 10 ساعت از محیط بهرهبرداری میکند، با آزمایشکنندگان نفوذ که بر امنیت ابر متمرکز هستند و سریعترین دسترسی را به داراییهای هدف میدهند. و بهعلاوه، وقتی آسیبپذیری یا ضعف پیدا شود، حدود ۵۸ درصد از هکرهای اخلاقی میتوانند در کمتر از ۵ ساعت وارد یک محیط شوند.
به گفته پاسخ دهندگان نظرسنجی، این نظرسنجی از 300 کارشناس توسط موسسه SANS و با حمایت شرکت خدمات امنیت سایبری بیشاپ فاکس، نشان میدهد که همچنین نشان میدهد که رایجترین نقاط ضعف مورد سوء استفاده هکرها شامل پیکربندیهای آسیبپذیر، نقصهای نرمافزار و سرویسهای وب در معرض نمایش است.
تام استون، معاون مشاور اسقف فاکس، میگوید: نتایج نشاندهنده معیارهای حملات مخرب در دنیای واقعی است و زمان محدودی را که شرکتها برای شناسایی و پاسخ به تهدیدات دارند، نشان میدهد.
او میگوید: «پنج یا شش ساعت برای نفوذ، به عنوان یک هکر اخلاقی، تعجب بزرگی نیست. "این با آنچه که هکرهای واقعی انجام می دهند مطابقت دارد، به ویژه با مهندسی اجتماعی و فیشینگ و سایر بردارهای حمله واقع بینانه."
La بررسی آخرین دادهای از تلاشهای شرکتهای امنیت سایبری برای تخمین میانگین زمانی است که سازمانها برای متوقف کردن مهاجمان و قطع فعالیتهای آنها قبل از وارد شدن خسارت قابل توجه دارند.
به عنوان مثال، شرکت خدمات امنیت سایبری CrowdStrike متوجه شد که مهاجمان معمولی از مصالحه اولیه خود برای آلوده کردن سیستمهای دیگر خارج میشوند. در کمتر از 90 دقیقه. در همین حال، مدت زمانی که مهاجمان میتوانند قبل از شناسایی، روی شبکههای قربانی کار کنند، 21 روز در سال 2021 بود که کمی بهتر از 24 روز در سال قبل بود. به گفته شرکت خدمات امنیت سایبری Mandiant.
سازمانها به کار خود ادامه نمیدهند
به طور کلی، طبق نظرسنجی Bishop Fox-SANS، تقریباً سه چهارم هکرهای اخلاقی فکر میکنند که اکثر سازمانها فاقد قابلیتهای تشخیص و واکنش لازم برای توقف حملات هستند. استون، اسقف فاکس میگوید، دادهها باید سازمانها را متقاعد کند که فقط بر پیشگیری از حملات تمرکز نکنند، بلکه هدفشان شناسایی سریع و پاسخ به حملات به عنوان راهی برای محدود کردن آسیب است.
او میگوید: «هر کس در نهایت هک میشود، بنابراین به عکسالعمل حادثه و نحوه واکنش شما به یک حمله بستگی دارد، نه محافظت در برابر هر بردار حمله». تقریباً غیرممکن است که یک نفر را از کلیک کردن روی یک پیوند منع کنید.
علاوه بر این، در این گزارش آمده است که شرکتها در تلاش هستند تا بسیاری از بخشهای سطح حمله خود را ایمن کنند. آزمایشکنندگان نفوذ گفتند که اشخاص ثالث، کار از راه دور، پذیرش زیرساختهای ابری و افزایش سرعت توسعه برنامهها، همگی به طور قابلتوجهی به گسترش سطوح حمله سازمانها کمک کردند.
با این حال، عنصر انسانی همچنان حیاتی ترین آسیب پذیری است. به گفته پاسخ دهندگان، مهندسی اجتماعی و حملات فیشینگ، با هم، حدود نیمی (49٪) از بردارهایی را تشکیل می دهند که بهترین بازده سرمایه گذاری هک را داشتند. حملات برنامه های وب، حملات مبتنی بر رمز عبور و باج افزار یک چهارم دیگر از حملات ترجیحی را تشکیل می دهند.
در این گزارش آمده است: «[من] جای تعجب نیست که حملات مهندسی اجتماعی و فیشینگ به ترتیب دو عامل اصلی هستند. «ما بارها و بارها، سال به سال شاهد این بودهایم - گزارشهای فیشینگ به طور مداوم افزایش مییابد و دشمنان همچنان در این بردارها به موفقیت دست مییابند.»
فقط هکر متوسط شما
این نظرسنجی همچنین نمایه ای از هکرهای اخلاقی متوسط را ایجاد کرد که تقریباً دو سوم پاسخ دهندگان بین یک سال تا شش سال تجربه داشتند. از هر 10 هکر اخلاق مدار، تنها یک نفر کمتر از یک سال در این حرفه فعالیت داشته است، در حالی که حدود 30 درصد آنها بین هفت تا 20 سال تجربه داشته اند.
بر اساس این نظرسنجی، اکثر هکرهای اخلاق مدار در زمینه امنیت شبکه (71 درصد)، تست نفوذ داخلی (67 درصد) و امنیت برنامه (58 درصد) تجربه دارند و تیم قرمز، امنیت ابری و امنیت در سطح کد در رتبه های بعدی قرار دارند. انواع محبوب هک اخلاقی
این نظرسنجی باید به شرکتها یادآوری کند که فناوری به تنهایی نمیتواند مشکلات امنیت سایبری را حل کند - استون میگوید راهحلها مستلزم آموزش کارکنان برای آگاهی از حملات است.
او می گوید: «هیچ یک فناوری جعبه چشمک زن وجود ندارد که بتواند همه حملات را دفع کند و سازمان شما را ایمن نگه دارد. "این ترکیبی از فرآیند افراد و فناوری است، و این تغییر نکرده است. سازمانها به سمت جدیدترین و بهترین فناوریها گرایش پیدا میکنند، اما بعد از آن، آگاهی امنیتی و آموزش کارکنان خود را برای تشخیص مهندسی اجتماعی نادیده میگیرند.»
او میگوید با تمرکز مهاجمان دقیقاً بر روی این نقاط ضعف، سازمانها باید نحوه توسعه دفاع خود را تغییر دهند.