अधिकांश हमलावरों को कमजोरियों का पता लगाने के लिए 10 घंटे से भी कम समय की आवश्यकता होती है

औसत एथिकल हैकर एक भेद्यता ढूंढ सकता है जो नेटवर्क परिधि के उल्लंघन की अनुमति देता है और फिर 10 घंटे से भी कम समय में पर्यावरण का शोषण करता है, जिसमें प्रवेश परीक्षक क्लाउड सुरक्षा पर ध्यान केंद्रित करते हैं और लक्षित संपत्तियों तक सबसे तेज़ी से पहुंच प्राप्त करते हैं। और इसके अलावा, एक बार भेद्यता या कमजोरी का पता चलने पर, लगभग 58% एथिकल हैकर पांच घंटे से भी कम समय में किसी वातावरण में सेंध लगा सकते हैं।

यह SANS संस्थान द्वारा 300 विशेषज्ञों के एक सर्वेक्षण और साइबर सुरक्षा सेवा फर्म बिशप फॉक्स द्वारा प्रायोजित के अनुसार है, जिसमें यह भी पाया गया कि हैकर्स द्वारा शोषण की जाने वाली सबसे आम कमजोरियों में कमजोर कॉन्फ़िगरेशन, सॉफ़्टवेयर खामियां और उजागर वेब सेवाएं शामिल हैं, सर्वेक्षण उत्तरदाताओं ने कहा।

बिशप फॉक्स के परामर्श के एसोसिएट उपाध्यक्ष टॉम एस्टन कहते हैं, परिणाम वास्तविक दुनिया के दुर्भावनापूर्ण हमलों के लिए मैट्रिक्स को दर्शाते हैं और कंपनियों को खतरों का पता लगाने और प्रतिक्रिया देने के लिए सीमित समय को उजागर करते हैं।

वे कहते हैं, ''एक एथिकल हैकर के रूप में इसमें शामिल होने में पांच या छह घंटे लग जाते हैं, यह कोई बड़ा आश्चर्य नहीं है।'' "यह उससे मेल खाता है जो हम वास्तविक हैकर्स को करते हुए देख रहे हैं, विशेष रूप से सोशल इंजीनियरिंग और फ़िशिंग और अन्य यथार्थवादी आक्रमण वैक्टर के साथ।"

RSI सर्वेक्षण साइबर सुरक्षा कंपनियों के प्रयासों का नवीनतम डेटा बिंदु यह अनुमान लगाने के लिए है कि महत्वपूर्ण क्षति होने से पहले संगठनों को हमलावरों को रोकने और उनकी गतिविधियों को बाधित करने में लगने वाले औसत समय का अनुमान लगाना पड़ता है।

उदाहरण के लिए, साइबर सुरक्षा सेवा फर्म क्राउडस्ट्राइक ने पाया कि औसत हमलावर अन्य प्रणालियों को संक्रमित करने के लिए अपने शुरुआती समझौते को तोड़ देता है। कम से कम 90 मिनट में. इस बीच, पहचाने जाने से पहले हमलावरों द्वारा पीड़ित के नेटवर्क पर काम करने की अवधि 21 में 2021 दिन थी, जो पिछले वर्ष के 24 दिनों की तुलना में थोड़ी बेहतर है। साइबर सुरक्षा सेवा फर्म मैंडिएंट के अनुसार.

संगठन साथ नहीं रख रहे हैं

बिशप फॉक्स-एसएएनएस सर्वेक्षण के अनुसार, कुल मिलाकर, लगभग तीन-चौथाई एथिकल हैकर्स सोचते हैं कि अधिकांश संगठनों में हमलों को रोकने के लिए आवश्यक पहचान और प्रतिक्रिया क्षमताओं का अभाव है। बिशप फॉक्स के एस्टन का कहना है कि डेटा को संगठनों को न केवल हमलों को रोकने पर ध्यान केंद्रित करने के लिए राजी करना चाहिए, बल्कि नुकसान को सीमित करने के तरीके के रूप में हमलों का तुरंत पता लगाने और प्रतिक्रिया देने का लक्ष्य रखना चाहिए।

वे कहते हैं, "आख़िरकार हर किसी को हैक किया जाएगा, इसलिए यह घटना की प्रतिक्रिया और आप किसी हमले का जवाब कैसे देते हैं, पर निर्भर करता है, न कि हर हमले के वेक्टर से बचाव करने पर।" "किसी व्यक्ति को किसी लिंक पर क्लिक करने से रोकना लगभग असंभव है।"

रिपोर्ट में कहा गया है कि इसके अलावा, कंपनियां अपनी हमले की सतह के कई हिस्सों को सुरक्षित करने के लिए संघर्ष कर रही हैं। पैठ परीक्षकों ने कहा कि तीसरे पक्ष, दूरस्थ कार्य, क्लाउड बुनियादी ढांचे को अपनाना, और एप्लिकेशन विकास की बढ़ी हुई गति ने संगठनों की हमले की सतहों के विस्तार में महत्वपूर्ण योगदान दिया है।

फिर भी मानवीय तत्व अब तक की सबसे गंभीर भेद्यता बनी हुई है। उत्तरदाताओं के अनुसार, सोशल इंजीनियरिंग और फ़िशिंग हमलों ने कुल मिलाकर, हैकिंग निवेश पर सर्वोत्तम रिटर्न वाले वैक्टर का लगभग आधा (49%) हिस्सा लिया। वेब एप्लिकेशन हमले, पासवर्ड-आधारित हमले और रैंसमवेयर पसंदीदा हमलों की एक और तिमाही के लिए जिम्मेदार हैं।

रिपोर्ट में कहा गया है, "[मुझे] इसमें कोई आश्चर्य नहीं होना चाहिए कि सोशल इंजीनियरिंग और फ़िशिंग हमले क्रमशः शीर्ष दो वैक्टर हैं।" "हमने इसे बार-बार देखा है, साल-दर-साल - फ़िशिंग रिपोर्टें लगातार बढ़ती रहती हैं, और विरोधियों को उन वैक्टरों के भीतर सफलता मिलती रहती है।"

बस आपका औसत हैकर

सर्वेक्षण में औसत एथिकल हैकर की प्रोफ़ाइल भी विकसित की गई, जिसमें लगभग दो-तिहाई उत्तरदाताओं के पास एक वर्ष से छह वर्ष के बीच का अनुभव था। 10 में से केवल एक एथिकल हैकर के पास इस पेशे में एक साल से कम समय था, जबकि लगभग 30% के पास सात से 20 साल के बीच का अनुभव था।

सर्वेक्षण के अनुसार, अधिकांश एथिकल हैकरों के पास नेटवर्क सुरक्षा (71%), आंतरिक प्रवेश परीक्षण (67%), और एप्लिकेशन सुरक्षा (58%) का अनुभव है, जिसमें रेड टीमिंग, क्लाउड सुरक्षा और कोड-स्तरीय सुरक्षा अगले नंबर पर हैं। एथिकल हैकिंग के लोकप्रिय प्रकार.

एस्टन का कहना है कि सर्वेक्षण से कंपनियों को याद दिलाना चाहिए कि अकेले प्रौद्योगिकी साइबर सुरक्षा समस्याओं का समाधान नहीं कर सकती - समाधान के लिए कर्मचारियों को हमलों के प्रति जागरूक रहने के लिए प्रशिक्षण की आवश्यकता होती है।

वे कहते हैं, "ऐसी एक भी ब्लिंकी-बॉक्स तकनीक नहीं है जो सभी हमलों को विफल कर दे और आपके संगठन को सुरक्षित रखे।" “यह लोगों की प्रक्रिया और प्रौद्योगिकी का एक संयोजन है, और यह नहीं बदला है। संगठन नवीनतम और महानतम तकनीक की ओर आकर्षित होते हैं... लेकिन फिर वे सुरक्षा जागरूकता और सोशल इंजीनियरिंग को पहचानने के लिए अपने कर्मचारियों को प्रशिक्षण देने की उपेक्षा करते हैं।

उनका कहना है कि हमलावरों का ध्यान बिल्कुल उन्हीं कमज़ोरियों पर है, संगठनों को यह बदलने की ज़रूरत है कि वे अपनी सुरक्षा कैसे विकसित कर रहे हैं।