일반적인 윤리적 해커는 네트워크 경계를 침해할 수 있는 취약점을 찾아 10시간 이내에 환경을 악용할 수 있으며, 클라우드 보안에 중점을 둔 침투 테스터는 표적 자산에 가장 빠르게 액세스할 수 있습니다. 또한 취약성이나 약점이 발견되면 윤리적 해커의 약 58%가 XNUMX시간 이내에 환경에 침입할 수 있습니다.
이는 SANS 연구소가 사이버 보안 서비스 회사인 Bishop Fox의 후원을 받아 전문가 300명을 대상으로 실시한 조사에 따르면, 해커가 악용하는 가장 일반적인 약점에는 취약한 구성, 소프트웨어 결함, 노출된 웹 서비스가 포함된 것으로 조사 응답자들은 밝혔습니다.
Bishop Fox의 컨설팅 부사장인 Tom Eston은 이번 결과가 실제 악성 공격에 대한 지표를 반영하고 기업이 위협을 탐지하고 대응하는 데 걸리는 시간이 제한되어 있음을 강조한다고 말했습니다.
“윤리적 해커로서 침입하는 데 XNUMX~XNUMX시간이 걸리는 것은 그리 놀랄 일이 아닙니다.”라고 그는 말합니다. "특히 사회 공학, 피싱 및 기타 현실적인 공격 벡터를 사용하여 실제 해커가 수행하는 작업과 일치합니다."
XNUMXD덴탈의 측량 는 심각한 피해가 발생하기 전에 조직이 공격자를 저지하고 활동을 중단해야 하는 평균 시간을 추정하려는 사이버 보안 회사의 시도에서 나온 최신 데이터 포인트입니다.
예를 들어, 사이버 보안 서비스 회사인 CrowdStrike는 일반적인 공격자가 초기 침해에서 "탈출"하여 다른 시스템을 감염시킨다는 사실을 발견했습니다. 90 분 안에. 한편, 공격자가 탐지되기 전까지 피해자의 네트워크에서 활동할 수 있는 기간은 21년 2021일로 전년도 24일보다 약간 늘어났습니다. 사이버 보안 서비스 회사인 Mandiant에 따르면.
따라잡지 못하는 조직
Bishop Fox-SANS 조사에 따르면 전반적으로 윤리적 해커의 거의 XNUMX분의 XNUMX은 대부분의 조직에 공격을 중지하는 데 필요한 탐지 및 대응 능력이 부족하다고 생각합니다. Bishop Fox의 Eston은 데이터를 통해 조직이 공격 예방에만 집중하는 것이 아니라 피해를 제한하는 방법으로 공격을 신속하게 감지하고 대응하는 것을 목표로 삼도록 설득해야 한다고 말했습니다.
“결국 모든 사람은 해킹을 당하게 되기 때문에 모든 공격 벡터로부터 보호하는 것이 아니라 사고 대응과 공격에 대응하는 방법이 중요합니다.”라고 그는 말합니다. “한 사람이 링크를 클릭하는 것을 막는 것은 거의 불가능합니다.”
또한 기업들은 공격 표면의 많은 부분을 보호하기 위해 고군분투하고 있다고 보고서는 밝혔습니다. 침투 테스터들은 제XNUMX자, 원격 작업, 클라우드 인프라 채택, 애플리케이션 개발 속도 증가 등이 모두 조직의 공격 표면 확대에 크게 기여했다고 밝혔습니다.
그러나 인간적 요소는 여전히 가장 심각한 취약점입니다. 응답자들에 따르면 소셜 엔지니어링과 피싱 공격을 합하면 해킹 투자 수익이 가장 높은 벡터의 약 절반(49%)을 차지했습니다. 웹 애플리케이션 공격, 비밀번호 기반 공격, 랜섬웨어는 선호 공격의 XNUMX분의 XNUMX을 차지합니다.
보고서는 “사회 공학 공격과 피싱 공격이 각각 상위 XNUMX개 공격 벡터라는 사실은 놀랄 일이 아닙니다.”라고 밝혔습니다. "우리는 이러한 현상을 해마다 반복적으로 목격했습니다. 피싱 신고가 지속적으로 증가하고 공격자들은 이러한 벡터 내에서 계속해서 성공을 거두고 있습니다."
평범한 해커
또한 이 설문조사는 응답자의 약 10/30가 20년에서 XNUMX년 사이의 경험을 갖고 있는 평균적인 윤리적 해커 프로필을 개발했습니다. 윤리적 해커 XNUMX명 중 XNUMX명만이 경력이 XNUMX년 미만이었고, 약 XNUMX%는 XNUMX~XNUMX년의 경력을 갖고 있었습니다.
조사에 따르면 대부분의 윤리적 해커는 네트워크 보안(71%), 내부 침투 테스트(67%), 애플리케이션 보안(58%) 분야에서 경험을 갖고 있으며 레드팀, 클라우드 보안, 코드 수준 보안이 그 다음으로 많은 것으로 나타났습니다. 인기 있는 유형의 윤리적 해킹.
이번 조사는 기술만으로는 사이버 보안 문제를 해결할 수 없다는 점을 기업에 상기시켜 줄 것입니다. 솔루션을 위해서는 직원들이 공격에 대해 인식할 수 있도록 교육해야 한다고 Eston은 말합니다.
“모든 공격을 격퇴하고 조직을 안전하게 지켜줄 단일한 블링키박스 기술은 없습니다.”라고 그는 말합니다. “이것은 인력 프로세스와 기술의 조합이며 이는 변하지 않았습니다. 조직은 최신의 최고의 기술에 끌리지만 보안에 대한 인식을 무시하고 직원들이 사회 공학을 인식하도록 교육합니다.”
그는 공격자들이 바로 이러한 약점에 집중하고 있기 때문에 조직은 방어 개발 방식을 바꿔야 한다고 말했습니다.
