Le pirate informatique éthique moyen peut trouver une vulnérabilité qui permet de violer le périmètre du réseau, puis exploiter l'environnement en moins de 10 heures, les testeurs d'intrusion axés sur la sécurité du cloud accédant le plus rapidement aux actifs ciblés. De plus, une fois qu’une vulnérabilité ou une faiblesse est découverte, environ 58 % des pirates informatiques éthiques peuvent s’introduire dans un environnement en moins de cinq heures.
C'est ce que révèle une enquête menée auprès de 300 experts par l'Institut SANS et parrainée par la société de services de cybersécurité Bishop Fox, qui a également révélé que les faiblesses les plus courantes exploitées par les pirates incluent les configurations vulnérables, les failles logicielles et les services Web exposés, ont déclaré les personnes interrogées.
Les résultats reflètent les mesures d'attaques malveillantes réelles et mettent en évidence le temps limité dont disposent les entreprises pour détecter et répondre aux menaces, explique Tom Eston, vice-président associé du conseil chez Bishop Fox.
"Cinq ou six heures pour s'introduire, en tant que hacker éthique moi-même, ce n'est pas une énorme surprise", dit-il. "Cela correspond à ce que font les vrais pirates informatiques, en particulier avec l'ingénierie sociale, le phishing et d'autres vecteurs d'attaque réalistes."
Les enquête C'est la dernière donnée issue des tentatives des entreprises de cybersécurité visant à estimer le temps moyen dont disposent les organisations pour arrêter les attaquants et interrompre leurs activités avant que des dommages importants ne soient causés.
La société de services de cybersécurité CrowdStrike, par exemple, a découvert que l'attaquant moyen « sort » de sa compromission initiale pour infecter d'autres systèmes. en moins de minutes 90. Pendant ce temps, la durée pendant laquelle les attaquants sont capables d’opérer sur les réseaux des victimes avant d’être détectés était de 21 jours en 2021, soit légèrement mieux que les 24 jours de l’année précédente. selon la société de services de cybersécurité Mandiant.
Les organisations ne suivent pas le rythme
Dans l’ensemble, près des trois quarts des hackers éthiques pensent que la plupart des organisations ne disposent pas des capacités de détection et de réponse nécessaires pour stopper les attaques, selon l’enquête Bishop Fox-SANS. Les données devraient convaincre les organisations de ne pas se concentrer uniquement sur la prévention des attaques, mais de chercher à détecter et à répondre rapidement aux attaques afin de limiter les dégâts, explique Eston de Bishop Fox.
« Tout le monde finira par être piraté, donc tout dépend de la réponse aux incidents et de la manière dont vous réagissez à une attaque, plutôt que de vous protéger contre tous les vecteurs d'attaque », dit-il. "Il est presque impossible d'empêcher une personne de cliquer sur un lien."
En outre, les entreprises ont du mal à sécuriser de nombreuses parties de leur surface d’attaque, indique le rapport. Selon les testeurs d’intrusion, les tiers, le travail à distance, l’adoption de l’infrastructure cloud et le rythme accéléré de développement des applications ont tous contribué de manière significative à élargir les surfaces d’attaque des organisations.
Pourtant, l’élément humain reste de loin la vulnérabilité la plus critique. Les attaques d’ingénierie sociale et de phishing représentent ensemble environ la moitié (49 %) des vecteurs offrant le meilleur retour sur investissement en matière de piratage, selon les personnes interrogées. Les attaques d'applications Web, les attaques basées sur des mots de passe et les ransomwares représentent un autre quart des attaques préférées.
« Il n’est pas surprenant que les attaques d’ingénierie sociale et de phishing soient respectivement les deux principaux vecteurs », indique le rapport. "Nous avons constaté cela à maintes reprises, année après année : les rapports de phishing augmentent continuellement et les adversaires continuent de réussir dans ces vecteurs."
Juste votre hacker moyen
L'enquête a également permis d'établir un profil du hacker éthique moyen, avec près des deux tiers des personnes interrogées ayant entre un et six ans d'expérience. Seul un hacker éthique sur dix avait moins d’un an d’expérience dans la profession, tandis qu’environ 10 % avaient entre sept et 30 ans d’expérience.
Selon l'enquête, la plupart des pirates informatiques éthiques ont de l'expérience en matière de sécurité des réseaux (71 %), de tests d'intrusion internes (67 %) et de sécurité des applications (58 %), suivis par l'équipe rouge, la sécurité du cloud et la sécurité au niveau du code. types populaires de piratage éthique.
L'enquête devrait rappeler aux entreprises que la technologie à elle seule ne peut pas résoudre les problèmes de cybersécurité : les solutions nécessitent de former les employés à être conscients des attaques, explique Eston.
« Il n’existe pas une seule technologie capable de repousser toutes les attaques et d’assurer la sécurité de votre organisation », dit-il. « Il s’agit d’une combinaison de processus humains et de technologie, et cela n’a pas changé. Les organisations se tournent vers les technologies les plus récentes et les plus performantes… mais elles ignorent ensuite la sensibilisation à la sécurité et la formation de leurs employés à reconnaître l’ingénierie sociale.
Les attaquants se concentrant précisément sur ces faiblesses, affirme-t-il, les organisations doivent changer la façon dont elles développent leurs défenses.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
