De gemiddelde ethische hacker kan een kwetsbaarheid vinden die het doorbreken van de netwerkperimeter mogelijk maakt en vervolgens de omgeving in minder dan 10 uur exploiteren, waarbij penetratietesters die zich richten op cloudbeveiliging het snelst toegang krijgen tot gerichte activa. En bovendien kan, zodra een kwetsbaarheid of zwakte wordt gevonden, ongeveer 58% van de ethische hackers binnen vijf uur in een omgeving inbreken.
Dat blijkt uit een onderzoek onder 300 experts door het SANS Institute en gesponsord door cyberbeveiligingsdienstenbedrijf Bishop Fox, waaruit ook bleek dat de meest voorkomende zwakheden die door hackers worden uitgebuit, kwetsbare configuraties, softwarefouten en blootgestelde webservices zijn, aldus respondenten uit de enquรชte.
De resultaten weerspiegelen statistieken voor kwaadaardige aanvallen in de echte wereld en benadrukken de beperkte hoeveelheid tijd die bedrijven hebben om bedreigingen te detecteren en erop te reageren, zegt Tom Eston, associate vice president of consulting van Bishop Fox.
โVijf of zes uur om in te breken, als ethische hacker is dat geen grote verrassingโ, zegt hij. โHet komt overeen met wat we de echte hackers zien doen, vooral met social engineering, phishing en andere realistische aanvalsvectoren.โ
De klanttevredenheid is het nieuwste datapunt van de pogingen van cyberbeveiligingsbedrijven om een โโschatting te maken van de gemiddelde tijd die organisaties nodig hebben om aanvallers tegen te houden en hun activiteiten te onderbreken voordat er aanzienlijke schade wordt aangericht.
Cybersecurity-dienstenbedrijf CrowdStrike ontdekte bijvoorbeeld dat de gemiddelde aanvaller โuitbreektโ uit zijn aanvankelijke compromis om andere systemen te infecteren. in minder dan 90 minuten. Ondertussen bedroeg de tijdsduur waarin aanvallers op de netwerken van slachtoffers kunnen opereren voordat ze worden gedetecteerd 21 dagen in 2021, iets beter dan de 24 dagen in het voorgaande jaar. Dat meldt cyberbeveiligingsbedrijf Mandiant.
Organisaties houden het niet bij
Volgens het onderzoek van Bishop Fox-SANS denkt bijna driekwart van de ethische hackers dat de meeste organisaties niet over de noodzakelijke detectie- en responsmogelijkheden beschikken om aanvallen te stoppen. De gegevens moeten organisaties ervan overtuigen zich niet alleen te concentreren op het voorkomen van aanvallen, maar ook op het snel detecteren en reageren op aanvallen als een manier om de schade te beperken, zegt Eston van bisschop Fox.
โIedereen zal uiteindelijk worden gehackt, dus het komt neer op de respons op incidenten en hoe je op een aanval reageert, in tegenstelling tot bescherming tegen elke aanvalsvectorโ, zegt hij. โHet is bijna onmogelijk om te voorkomen dat รฉรฉn persoon op een link klikt.โ
Bovendien hebben bedrijven moeite met het beveiligen van veel delen van hun aanvalsoppervlak, aldus het rapport. Derden, werken op afstand, de acceptatie van cloudinfrastructuur en het hogere tempo van applicatieontwikkeling hebben allemaal aanzienlijk bijgedragen aan het vergroten van de aanvalsoppervlakken van organisaties, aldus penetratietesters.
Toch blijft het menselijke element veruit de meest kritische kwetsbaarheid. Volgens de respondenten waren social engineering- en phishing-aanvallen samen goed voor ongeveer de helft (49%) van de vectoren met het beste rendement op hackinvesteringen. Aanvallen op webapplicaties, op wachtwoorden gebaseerde aanvallen en ransomware zijn verantwoordelijk voor nog een kwart van de voorkeursaanvallen.
โHet mag geen verrassing zijn dat social engineering- en phishing-aanvallen respectievelijk de twee belangrijkste vectoren zijnโ, aldus het rapport. โWe hebben dit jaar na jaar keer op keer gezien: het aantal phishing-rapporten neemt voortdurend toe en tegenstanders blijven succes boeken binnen deze vectoren.โ
Gewoon een gemiddelde hacker
Het onderzoek ontwikkelde ook een profiel van de gemiddelde ethische hacker, waarbij bijna tweederde van de respondenten tussen een jaar en zes jaar ervaring had. Slechts รฉรฉn op de tien ethische hackers had minder dan een jaar ervaring in het vak, terwijl ongeveer 10% tussen de zeven en twintig jaar ervaring had.
De meeste ethische hackers hebben volgens het onderzoek ervaring met netwerkbeveiliging (71%), interne penetratietesten (67%) en applicatiebeveiliging (58%), waarbij red teaming, cloudbeveiliging en beveiliging op codeniveau de volgende zijn. populaire vormen van ethisch hacken.
Het onderzoek moet bedrijven eraan herinneren dat technologie alleen de cyberveiligheidsproblemen niet kan oplossen. Voor oplossingen is het nodig dat medewerkers worden opgeleid om zich bewust te zijn van aanvallen, zegt Eston.
โEr is geen enkele blinky-box-technologie die alle aanvallen kan afweren en uw organisatie veilig kan houdenโ, zegt hij. โHet is een combinatie van mensenproces en technologie, en dat is niet veranderd. Organisaties neigen naar de nieuwste en beste technologie โฆ maar dan negeren ze het veiligheidsbewustzijn en trainen ze hun werknemers om social engineering te herkennen.โ
Nu aanvallers zich precies op deze zwakke punten richten, moeten organisaties volgens hem de manier veranderen waarop zij hun verdediging ontwikkelen.