Den gjennomsnittlige etiske hackeren kan finne en sårbarhet som tillater brudd på nettverkets perimeter og deretter utnytte miljøet på mindre enn 10 timer, med penetrasjonstestere som fokuserer på skysikkerhet som raskest får tilgang til målrettede eiendeler. Og videre, når en sårbarhet eller svakhet er funnet, kan omtrent 58 % av etiske hackere bryte seg inn i et miljø på mindre enn fem timer.
Det er ifølge en undersøkelse av 300 eksperter fra SANS Institute og sponset av cybersikkerhetstjenestefirmaet Bishop Fox, som også fant at de vanligste svakhetene som utnyttes av hackerne inkluderer sårbare konfigurasjoner, programvarefeil og eksponerte webtjenester, uttalte undersøkelsens respondenter.
Resultatene gjenspeiler beregninger for ondsinnede angrep fra den virkelige verden og fremhever den begrensede tiden selskaper har på å oppdage og reagere på trusler, sier Tom Eston, assisterende visepresident for rådgivning i Bishop Fox.
"Fem eller seks timer å bryte inn, som en etisk hacker selv, er det ikke en stor overraskelse," sier han. "Det samsvarer med det vi ser de virkelige hackerne gjøre, spesielt med sosial teknikk og phishing og andre realistiske angrepsvektorer."
De Undersøkelsen er det siste datapunktet fra cybersikkerhetsselskapers forsøk på å estimere den gjennomsnittlige tiden organisasjoner har på å stoppe angripere og avbryte deres aktiviteter før betydelig skade er gjort.
Cybersikkerhetstjenestefirmaet CrowdStrike fant for eksempel at den gjennomsnittlige angriperen "bryter ut" fra det første kompromisset for å infisere andre systemer på mindre enn 90 minutter. I mellomtiden var tiden som angripere er i stand til å operere på offerets nettverk før de ble oppdaget 21 dager i 2021, noe bedre enn de 24 dagene året før, ifølge cybersikkerhetstjenestefirmaet Mandiant.
Organisasjoner følger ikke med
Totalt sett tror nesten tre fjerdedeler av etiske hackere at de fleste organisasjoner mangler de nødvendige deteksjons- og responsevnene for å stoppe angrep, ifølge Bishop Fox-SANS-undersøkelsen. Dataene skal overbevise organisasjoner om ikke bare å fokusere på å forhindre angrep, men ta sikte på å raskt oppdage og svare på angrep som en måte å begrense skade, sier Bishop Foxs Eston.
"Alle vil til slutt bli hacket, så det kommer ned til hendelsesrespons og hvordan du reagerer på et angrep, i motsetning til å beskytte mot hver angrepsvektor," sier han. "Det er nesten umulig å stoppe en person fra å klikke på en lenke."
I tillegg sliter selskaper med å sikre mange deler av angrepsflaten, heter det i rapporten. Tredjeparter, eksternt arbeid, bruk av skyinfrastruktur og økt tempo i applikasjonsutvikling bidro alle betydelig til å utvide organisasjoners angrepsflater, sa penetrasjonstestere.
Likevel fortsetter det menneskelige elementet å være den desidert mest kritiske sårbarheten. Sosial engineering og phishing-angrep utgjorde til sammen omtrent halvparten (49 %) av vektorene med best avkastning på hackinginvesteringer, ifølge respondentene. Nettapplikasjonsangrep, passordbaserte angrep og løsepengevare står for ytterligere en fjerdedel av foretrukne angrep.
"[Jeg] bør ikke komme som noen overraskelse at sosial ingeniørkunst og phishing-angrep er de to øverste vektorene, henholdsvis," heter det i rapporten. "Vi har sett dette gang på gang, år etter år - phishing-rapporter øker kontinuerlig, og motstandere fortsetter å finne suksess innenfor disse vektorene."
Bare din gjennomsnittlige hacker
Undersøkelsen utviklet også en profil av den gjennomsnittlige etiske hackeren, med nesten to tredjedeler av respondentene med mellom ett år og seks års erfaring. Kun én av 10 etiske hackere hadde mindre enn ett år i yrket, mens rundt 30 % hadde mellom syv og 20 års erfaring.
De fleste etiske hackere har erfaring innen nettverkssikkerhet (71 %), intern penetrasjonstesting (67 %) og applikasjonssikkerhet (58 %), ifølge undersøkelsen, med red teaming, skysikkerhet og sikkerhet på kodenivå som de nest mest populære typer etisk hacking.
Undersøkelsen bør minne bedrifter på at teknologi alene ikke kan løse cybersikkerhetsproblemer – løsninger krever opplæring av ansatte til å være oppmerksomme på angrep, sier Eston.
"Det er ikke en eneste blinky-box-teknologi som kommer til å avvise alle angrepene og holde organisasjonen din trygg," sier han. «Det er en kombinasjon av menneskelig prosess og teknologi, og det har ikke endret seg. Organisasjoner graviterer mot den nyeste og beste teknologien ... men så ignorerer de sikkerhetsbevissthet og trener sine ansatte til å gjenkjenne sosial ingeniørkunst."
Med angripere fokusert på akkurat disse svakhetene, sier han, må organisasjoner endre hvordan de utvikler forsvaret sitt.
