平均的な倫理的ハッカーは、ネットワーク境界の侵害を可能にする脆弱性を 10 時間以内に発見し、その環境を悪用することができます。クラウド セキュリティに焦点を当てたペネトレーション テスターは、最も迅速に標的の資産にアクセスできます。 さらに、脆弱性または弱点が見つかると、倫理的ハッカーの約 58% が XNUMX 時間以内に環境に侵入できます。
これは、サイバーセキュリティサービス会社Bishop Foxが後援し、SANS Instituteが300人の専門家を対象に実施した調査によるもので、調査回答者によると、ハッカーによって悪用される最も一般的な弱点には、脆弱な構成、ソフトウェアの欠陥、公開されたWebサービスが含まれることが判明したという。
この結果は、現実世界の悪意のある攻撃の指標を反映しており、企業が脅威を検出して対応するために必要な時間が限られていることを浮き彫りにしていると、ビショップ・フォックスのコンサルティング担当アソシエート・バイスプレジデントのトム・エストンは述べている。
「侵入するのに XNUMX ~ XNUMX 時間かかることは、倫理的なハッカーである私にとって、それほど驚くべきことではありません」と彼は言います。 「これは、特にソーシャル エンジニアリングやフィッシング、その他の現実的な攻撃ベクトルに関して、実際のハッカーが行っていることと一致しています。」
調査 これは、重大な損害が発生する前に組織が攻撃者を阻止し、その活動を中断するのに必要な平均時間を推定するというサイバーセキュリティ企業の試みから得られた最新のデータポイントです。
たとえば、サイバーセキュリティ サービス会社 CrowdStrike は、平均的な攻撃者が最初の侵害から「突破」して他のシステムに感染することを発見しました。 90分以内に。 一方、攻撃者が検出されるまでに被害者のネットワーク上で活動できる期間は、21 年には 2021 日で、前年の 24 日よりわずかに改善されました。 サイバーセキュリティサービス会社マンディアントによると.
組織が追いついていない
Bishop Fox-SANS の調査によると、全体として、倫理的ハッカーのほぼ XNUMX 分の XNUMX が、ほとんどの組織には攻撃を阻止するために必要な検出および対応能力が欠けていると考えています。 Bishop Fox の Eston 氏は、このデータにより、組織は攻撃の防止に重点を置くだけでなく、被害を抑える方法として攻撃を迅速に検出して対応することを目指すようになるはずだと述べています。
「最終的には誰もがハッキングされることになるので、あらゆる攻撃ベクトルから防御するのではなく、インシデント対応と攻撃にどのように対応するかが重要になります」と彼は言います。 「誰かがリンクをクリックするのを止めることはほぼ不可能です。」
さらに、企業は攻撃対象領域の多くの部分を保護するのに苦労していると報告書は述べています。 ペネトレーションテスターらによると、サードパーティ、リモートワーク、クラウドインフラストラクチャの採用、アプリケーション開発のペースの増加はすべて、組織の攻撃対象領域の拡大に大きく貢献したという。
しかし、依然として人間的要素が最も重大な脆弱性であることに変わりはありません。 回答者によると、ソーシャル エンジニアリングとフィッシング攻撃を合わせると、ハッキング投資の収益率が最も高かったベクトルの約半分 (49%) を占めました。 Web アプリケーション攻撃、パスワードベースの攻撃、およびランサムウェアが、好まれる攻撃のさらに XNUMX 分の XNUMX を占めています。
「ソーシャル エンジニアリングとフィッシング攻撃がそれぞれ、上位 XNUMX つのベクトルであることは驚くべきことではない」と報告書は述べています。 「私たちはこのような状況を毎年何度も見てきました。フィッシング報告は増え続けており、攻撃者はそのベクトルの中で成功を収め続けています。」
まさに平均的なハッカー
この調査では、平均的な倫理的ハッカーのプロフィールも作成されており、回答者の 10 分の 30 近くが 20 年から XNUMX 年の経験を持っています。 倫理的ハッカーの XNUMX 人に XNUMX 人だけがその職業に就いて XNUMX 年未満であり、約 XNUMX% は XNUMX ~ XNUMX 年の経験がありました。
調査によると、ほとんどの倫理的ハッカーはネットワーク セキュリティ (71%)、内部侵入テスト (67%)、アプリケーション セキュリティ (58%) の経験があり、次にレッド チーム、クラウド セキュリティ、コード レベルのセキュリティの経験が多いとのことです。一般的なタイプの倫理的ハッキング。
この調査は、テクノロジーだけではサイバーセキュリティの問題を解決できないことを企業に思い出させるはずだ。解決するには、従業員に攻撃を認識させるためのトレーニングが必要だとエストン氏は言う。
「すべての攻撃を撃退し、組織の安全を守る単一のブリンクボックス テクノロジーは存在しません」と彼は言います。 「それは人々のプロセスとテクノロジーの組み合わせであり、それは変わっていません。 組織は最新かつ最高のテクノロジーに引き寄せられますが、セキュリティ意識やソーシャル エンジニアリングを認識するための従業員のトレーニングは無視されます。」
攻撃者はまさにこれらの弱点に焦点を当てているため、組織は防御の開発方法を変える必要があると彼は言います。
