Peretas etis rata-rata dapat menemukan kerentanan yang memungkinkan pelanggaran perimeter jaringan dan kemudian mengeksploitasi lingkungan dalam waktu kurang dari 10 jam, dengan penguji penetrasi yang berfokus pada keamanan cloud mendapatkan akses paling cepat ke aset yang ditargetkan. Dan selanjutnya, begitu kerentanan atau kelemahan ditemukan, sekitar 58% peretas etis dapat masuk ke suatu lingkungan dalam waktu kurang dari lima jam.
Itu menurut survei terhadap 300 ahli oleh SANS Institute dan disponsori oleh perusahaan layanan keamanan siber Bishop Fox, yang juga menemukan bahwa kelemahan paling umum yang dieksploitasi oleh peretas termasuk konfigurasi yang rentan, kelemahan perangkat lunak, dan layanan Web yang terbuka, kata responden survei.
Hasilnya mencerminkan metrik untuk serangan berbahaya di dunia nyata dan menyoroti terbatasnya waktu yang dimiliki perusahaan untuk mendeteksi dan merespons ancaman, kata Tom Eston, wakil presiden asosiasi konsultan Bishop Fox.
โLima atau enam jam untuk masuk, sebagai seorang hacker etis, itu bukan kejutan besar,โ katanya. โIni cocok dengan apa yang kami lihat dilakukan oleh peretas sebenarnya, terutama dengan rekayasa sosial dan phishing serta vektor serangan realistis lainnya.โ
Grafik adalah poin data terbaru dari upaya perusahaan keamanan siber untuk memperkirakan waktu rata-rata organisasi harus menghentikan penyerang dan menghentikan aktivitas mereka sebelum kerusakan signifikan terjadi.
Perusahaan layanan keamanan siber CrowdStrike, misalnya, menemukan bahwa rata-rata penyerang โkeluarโ dari kompromi awal mereka untuk menginfeksi sistem lain dalam waktu kurang dari 90 menit. Sementara itu, lamanya penyerang dapat beroperasi di jaringan korban sebelum terdeteksi adalah 21 hari di tahun 2021, sedikit lebih baik dari 24 hari di tahun sebelumnya, menurut perusahaan layanan keamanan siber Mandiant.
Organisasi Tidak Mengikuti
Secara keseluruhan, hampir tiga perempat dari peretas etis menganggap sebagian besar organisasi tidak memiliki kemampuan deteksi dan respons yang diperlukan untuk menghentikan serangan, menurut survei Bishop Fox-SANS. Data harus meyakinkan organisasi untuk tidak hanya fokus pada pencegahan serangan, tetapi bertujuan untuk mendeteksi dan menanggapi serangan dengan cepat sebagai cara untuk membatasi kerusakan, kata Eston dari Uskup Fox.
โSemua orang pada akhirnya akan diretas, jadi tergantung pada respons insiden dan bagaimana Anda merespons serangan, bukan melindungi dari setiap vektor serangan,โ katanya. โHampir tidak mungkin untuk menghentikan satu orang mengklik tautan.โ
Selain itu, perusahaan berjuang untuk mengamankan banyak bagian dari permukaan serangan mereka, kata laporan itu. Pihak ketiga, pekerjaan jarak jauh, adopsi infrastruktur cloud, dan peningkatan kecepatan pengembangan aplikasi semuanya berkontribusi secara signifikan terhadap perluasan permukaan serangan organisasi, kata penguji penetrasi.
Namun sejauh ini, elemen manusia terus menjadi kerentanan paling kritis. Rekayasa sosial dan serangan phishing, bersama-sama, menyumbang sekitar setengah (49%) dari vektor dengan laba atas investasi peretasan terbaik, menurut responden. Serangan aplikasi web, serangan berbasis kata sandi, dan ransomware menyumbang seperempat dari serangan yang disukai.
โ[Saya] seharusnya tidak terkejut bahwa rekayasa sosial dan serangan phishing masing-masing adalah dua vektor teratas,โ kata laporan tersebut. โKami telah melihat ini berkali-kali, tahun demi tahun โ laporan phishing terus meningkat, dan musuh terus menemukan kesuksesan dalam vektor tersebut.โ
Hanya Peretas Biasa Anda
Survei tersebut juga mengembangkan profil peretas etis rata-rata, dengan hampir dua pertiga responden memiliki pengalaman antara satu tahun dan enam tahun. Hanya satu dari 10 peretas etis yang memiliki profesi kurang dari satu tahun, sementara sekitar 30% memiliki pengalaman antara tujuh dan 20 tahun.
Sebagian besar peretas etis memiliki pengalaman dalam keamanan jaringan (71%), pengujian penetrasi internal (67%), dan keamanan aplikasi (58%), menurut survei, dengan tim merah, keamanan cloud, dan keamanan tingkat kode sebagai yang terbanyak berikutnya. jenis peretasan etis yang populer.
Survei tersebut harus mengingatkan perusahaan bahwa teknologi saja tidak dapat memecahkan masalah keamanan dunia maya โ solusi memerlukan pelatihan karyawan untuk waspada terhadap serangan, kata Eston.
โTidak ada satu pun teknologi blinky-box yang akan menghalau semua serangan dan menjaga keamanan organisasi Anda,โ katanya. โIni adalah kombinasi dari proses manusia dan teknologi, dan itu tidak berubah. Organisasi tertarik pada teknologi terbaru dan terhebatโฆ tetapi kemudian mereka mengabaikan kesadaran keamanan dan melatih karyawan mereka untuk mengenali rekayasa sosial.โ
Dengan penyerang yang berfokus pada kelemahan tersebut, katanya, organisasi perlu mengubah cara mereka mengembangkan pertahanan.
