האקר האתי הממוצע יכול למצוא פגיעות המאפשרת פריצה של היקף הרשת ולאחר מכן לנצל את הסביבה תוך פחות מ-10 שעות, כאשר בודקי חדירה המתמקדים באבטחת ענן מקבלים גישה הכי מהירה לנכסים ממוקדים. ועוד, ברגע שנמצאה פגיעות או חולשה, כ-58% מההאקרים האתיים יכולים לפרוץ לסביבה תוך פחות מחמש שעות.
כך עולה מסקר של 300 מומחים שנערך על ידי מכון SANS ובחסות חברת שירותי אבטחת הסייבר בישופ פוקס, שמצאה גם כי החולשות הנפוצות ביותר שנוצלו על ידי ההאקרים כוללות תצורות פגיעות, פגמי תוכנה ושירותי אינטרנט חשופים, ציינו המשיבים בסקר.
התוצאות משקפות מדדים עבור התקפות זדוניות בעולם האמיתי ומדגישות את כמות הזמן המוגבלת שיש לחברות לזהות ולהגיב לאיומים, אומר טום אסטון, סגן נשיא שותף לייעוץ של בישופ פוקס.
"חמש או שש שעות לפרוץ פנימה, בתור האקר אתי בעצמי, זו לא הפתעה ענקית", הוא אומר. "זה תואם למה שאנחנו רואים שההאקרים האמיתיים עושים, במיוחד עם הנדסה חברתית ופישינג ושאר וקטורי התקפה מציאותיים."
השמיים סקר היא נקודת הנתונים העדכנית ביותר מניסיונות של חברות אבטחת סייבר להעריך את הזמן הממוצע שיש לארגונים לעצור תוקפים ולהפריע לפעילותם לפני שייגרם נזק משמעותי.
חברת שירותי אבטחת הסייבר CrowdStrike, למשל, גילתה שהתוקף הממוצע "פורץ" מהפשרה הראשונית שלו כדי להדביק מערכות אחרות בפחות משתי דקות. בינתיים, משך הזמן שבו התוקפים מסוגלים לפעול ברשתות של הקורבן לפני שהתגלו היה 21 ימים בשנת 2021, מעט טוב יותר מ-24 הימים בשנה הקודמת. לפי חברת שירותי אבטחת הסייבר Mandiant.
ארגונים לא עומדים בקצב
בסך הכל, כמעט שלושה רבעים מההאקרים האתיים חושבים שלרוב הארגונים אין את יכולות הזיהוי והתגובה הנחוצות כדי לעצור התקפות, על פי הסקר של בישופ Fox-SANS. הנתונים צריכים לשכנע ארגונים לא רק להתמקד במניעת התקפות, אלא לכוון במהירות לזהות ולהגיב להתקפות כדרך להגביל נזקים, אומר אסטון של בישופ פוקס.
"כולם בסופו של דבר ייפרצו, אז זה מסתכם בתגובה לאירוע ובאופן שאתה מגיב למתקפה, בניגוד להגנה מפני כל וקטור התקפה", הוא אומר. "זה כמעט בלתי אפשרי למנוע מאדם אחד ללחוץ על קישור."
בנוסף, חברות נאבקות לאבטח חלקים רבים משטח התקיפה שלהן, נכתב בדו"ח. צדדים שלישיים, עבודה מרחוק, אימוץ תשתית ענן, והקצב המוגבר של פיתוח אפליקציות, כולם תרמו באופן משמעותי להרחבת משטחי ההתקפה של ארגונים, אמרו בודקי חדירה.
עם זאת, האלמנט האנושי ממשיך להיות הפגיעות הקריטיות ביותר, ללא ספק. הנדסה חברתית והתקפות פישינג, ביחד, היוו כמחצית (49%) מהווקטורים עם התשואה הטובה ביותר על השקעה בפריצה, לפי המשיבים. התקפות של יישומי אינטרנט, התקפות מבוססות סיסמאות ותוכנות כופר מהוות עוד רבע מההתקפות המועדפות.
"לא צריך להפתיע שהנדסה חברתית והתקפות פישינג הן שני הווקטורים המובילים, בהתאמה", נכתב בדו"ח. "ראינו את זה פעם אחר פעם, שנה אחר שנה - דיווחי התחזות גדלים ללא הרף, והיריבים ממשיכים למצוא הצלחה בתוך אותם וקטורים."
פשוט האקר הממוצע שלך
הסקר גם פיתח פרופיל של האקר אתי ממוצע, כאשר כמעט שני שלישים מהנשאלים בעלי ניסיון של בין שנה לשש שנים. רק לאחד מכל 10 האקרים אתיים היו פחות משנה במקצוע, בעוד שלכ-30% היו בין שבע ל-20 שנות ניסיון.
לרוב ההאקרים האתיים יש ניסיון באבטחת רשת (71%), בדיקות חדירה פנימיות (67%) ואבטחת יישומים (58%), על פי הסקר, כאשר הצוותים האדומים, אבטחת ענן ואבטחה ברמת הקוד הם המקומות הבאים. סוגים פופולריים של פריצה אתית.
הסקר צריך להזכיר לחברות שטכנולוגיה לבדה לא יכולה לפתור בעיות אבטחת סייבר - פתרונות דורשים הכשרת עובדים להיות מודעים להתקפות, אומר אסטון.
"אין טכנולוגיה אחת שעומדת להדוף את כל ההתקפות ולשמור על הארגון שלך בטוח", הוא אומר. "זה שילוב של תהליכי אנשים וטכנולוגיה, וזה לא השתנה. ארגונים נמשכים לעבר הטכנולוגיה העדכנית והטובה ביותר... אבל אז הם מתעלמים ממודעות לאבטחה ומכשירים את העובדים שלהם לזהות הנדסה חברתית."
כשתוקפים מתמקדים בדיוק בחולשות האלה, הוא אומר, ארגונים צריכים לשנות את האופן שבו הם מפתחים את ההגנה שלהם.
