O hacker ético médio pode encontrar uma vulnerabilidade que permita a violação do perímetro da rede e depois explorar o ambiente em menos de 10 horas, com testadores de penetração focados na segurança da nuvem obtendo acesso mais rapidamente aos ativos visados. Além disso, uma vez encontrada uma vulnerabilidade ou fraqueza, cerca de 58% dos hackers éticos podem invadir um ambiente em menos de cinco horas.
Isso está de acordo com uma pesquisa com 300 especialistas realizada pelo SANS Institute e patrocinada pela empresa de serviços de segurança cibernética Bishop Fox, que também descobriu que as fraquezas mais comuns exploradas pelos hackers incluem configurações vulneráveis, falhas de software e serviços Web expostos, afirmaram os entrevistados.
Os resultados refletem métricas de ataques maliciosos do mundo real e destacam o tempo limitado que as empresas têm para detectar e responder às ameaças, afirma Tom Eston, vice-presidente associado de consultoria da Bishop Fox.
“Cinco ou seis horas para invadir, como hacker ético, isso não é uma grande surpresa”, diz ele. “Isso corresponde ao que vemos os verdadeiros hackers fazendo, especialmente com engenharia social, phishing e outros vetores de ataque realistas.”
A vistoria é o dado mais recente das tentativas das empresas de segurança cibernética de estimar o tempo médio que as organizações têm para deter os invasores e interromper suas atividades antes que danos significativos sejam causados.
A empresa de serviços de segurança cibernética CrowdStrike, por exemplo, descobriu que o invasor médio “rompe” seu compromisso inicial para infectar outros sistemas em menos de 90 minutos. Enquanto isso, o período de tempo que os invasores conseguem operar nas redes das vítimas antes de serem detectados foi de 21 dias em 2021, um pouco melhor do que os 24 dias do ano anterior. de acordo com a empresa de serviços de segurança cibernética Mandiant.
Organizações que não acompanham
No geral, quase três quartos dos hackers éticos acham que a maioria das organizações não possui as capacidades de detecção e resposta necessárias para impedir ataques, de acordo com a pesquisa Bishop Fox-SANS. Os dados devem convencer as organizações a não se concentrarem apenas na prevenção de ataques, mas também a detectar e responder rapidamente aos ataques como forma de limitar os danos, afirma Eston, do Bispo Fox.
“Todo mundo acabará sendo hackeado, então tudo se resume à resposta a incidentes e como você responde a um ataque, em vez de se proteger contra todos os vetores de ataque”, diz ele. “É quase impossível impedir uma pessoa de clicar em um link.”
Além disso, as empresas estão a lutar para proteger muitas partes da sua superfície de ataque, afirma o relatório. Terceiros, trabalho remoto, a adoção de infraestrutura em nuvem e o ritmo acelerado de desenvolvimento de aplicativos contribuíram significativamente para expandir as superfícies de ataque das organizações, disseram os testadores de penetração.
No entanto, o elemento humano continua a ser, de longe, a vulnerabilidade mais crítica. Os ataques de engenharia social e de phishing, juntos, representaram cerca de metade (49%) dos vetores com melhor retorno sobre o investimento em hackers, de acordo com os entrevistados. Ataques a aplicações web, ataques baseados em senhas e ransomware são responsáveis por outro quarto dos ataques preferenciais.
“Não deveria ser surpresa que a engenharia social e os ataques de phishing sejam os dois principais vetores, respectivamente”, afirmou o relatório. “Já vimos isso repetidas vezes, ano após ano: os relatórios de phishing aumentam continuamente e os adversários continuam a obter sucesso nesses vetores.”
Apenas o seu hacker comum
A pesquisa também desenvolveu um perfil do hacker ético médio, com quase dois terços dos entrevistados tendo entre um e seis anos de experiência. Apenas um em cada dez hackers éticos tinha menos de um ano na profissão, enquanto cerca de 10% tinham entre sete e 30 anos de experiência.
A maioria dos hackers éticos tem experiência em segurança de rede (71%), testes de penetração internos (67%) e segurança de aplicativos (58%), de acordo com a pesquisa, com red teaming, segurança na nuvem e segurança em nível de código como os próximos. tipos populares de hacking ético.
A pesquisa deve lembrar às empresas que a tecnologia por si só não pode resolver problemas de segurança cibernética – as soluções exigem treinamento dos funcionários para estarem cientes dos ataques, diz Eston.
“Não existe uma única tecnologia de caixa piscante capaz de repelir todos os ataques e manter sua organização segura”, diz ele. “É uma combinação de processos humanos e tecnologia, e isso não mudou. As organizações gravitam em torno da melhor e mais recente tecnologia… mas depois ignoram a sensibilização para a segurança e a formação dos seus funcionários para reconhecerem a engenharia social.”
Com os invasores focados exatamente nesses pontos fracos, diz ele, as organizações precisam mudar a forma como desenvolvem suas defesas.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
