Большинству злоумышленников требуется менее 10 часов, чтобы найти слабые места

Среднестатистический этический хакер может найти уязвимость, позволяющую проникнуть в периметр сети, а затем использовать среду менее чем за 10 часов, при этом тестеры на проникновение сосредоточены на облачной безопасности и максимально быстро получают доступ к целевым активам. Более того, после обнаружения уязвимости или слабости около 58% этических хакеров могут проникнуть в среду менее чем за пять часов.

Таковы данные опроса 300 экспертов, проведенного Институтом SANS и спонсируемого фирмой по обеспечению кибербезопасности Bishop Fox, который также обнаружил, что наиболее распространенные уязвимости, которыми пользуются хакеры, включают уязвимые конфигурации, недостатки программного обеспечения и открытые веб-сервисы, заявили респонденты опроса.

Результаты отражают показатели реальных вредоносных атак и подчеркивают ограниченность времени, которое компании имеют для обнаружения угроз и реагирования на них, говорит Том Эстон, заместитель вице-президента по консалтингу Bishop Fox.

«Пять или шесть часов на взлом, как этического хакера, не является большим сюрпризом», — говорит он. «Это соответствует тому, что, как мы видим, делают настоящие хакеры, особенно в области социальной инженерии, фишинга и других реалистичных векторов атак».

Ассоциация , Это последние данные, полученные в результате попыток компаний, занимающихся кибербезопасностью, оценить среднее время, которое организациям требуется, чтобы остановить злоумышленников и прервать их деятельность, прежде чем будет нанесен значительный ущерб.

Например, компания CrowdStrike, предоставляющая услуги кибербезопасности, обнаружила, что среднестатистический злоумышленник «вырывается» из первоначального взлома и заражает другие системы. менее чем за 90 минут. Между тем, продолжительность времени, в течение которого злоумышленники могут работать в сетях жертвы до того, как их обнаружат, составила 21 день в 2021 году, что немного лучше, чем 24 дня в предыдущем году. По данным компании Mandiant, предоставляющей услуги кибербезопасности.

Организации, которые не идут в ногу со временем

В целом, согласно опросу Bishop Fox-SANS, почти три четверти этических хакеров считают, что большинству организаций не хватает необходимых возможностей обнаружения и реагирования для предотвращения атак. Данные должны убедить организации не просто сосредоточиться на предотвращении атак, но и стремиться быстро обнаруживать атаки и реагировать на них, чтобы ограничить ущерб, говорит Эстон из Bishop Fox.

«В конечном итоге каждый будет взломан, поэтому все сводится к реагированию на инциденты и тому, как вы реагируете на атаку, а не к защите от любого вектора атаки», — говорит он. «Почти невозможно помешать одному человеку нажать на ссылку».

Кроме того, в отчете говорится, что компании изо всех сил пытаются защитить многие части своей поверхности атаки. По словам тестеров на проникновение, третьи стороны, удаленная работа, внедрение облачной инфраструктуры и увеличение темпов разработки приложений внесли значительный вклад в расширение поверхностей атак организаций.

Тем не менее, человеческий фактор по-прежнему остается самой серьезной уязвимостью. По мнению респондентов, социальная инженерия и фишинговые атаки вместе составляют около половины (49%) векторов с наилучшей окупаемостью инвестиций в хакерство. Атаки через веб-приложения, атаки с использованием паролей и программы-вымогатели составляют еще четверть предпочтительных атак.

«Неудивительно, что социальная инженерия и фишинговые атаки являются двумя основными векторами соответственно», — говорится в отчете. «Мы наблюдаем это снова и снова, год за годом — количество сообщений о фишинге постоянно увеличивается, а злоумышленники продолжают добиваться успеха в этих векторах».

Просто обычный хакер

В ходе опроса также был составлен профиль среднестатистического этического хакера: почти две трети респондентов имеют опыт работы от года до шести лет. Только один из 10 этических хакеров имел стаж работы в профессии менее года, а около 30% имели опыт работы от семи до 20 лет.

По данным опроса, большинство этических хакеров имеют опыт в сетевой безопасности (71%), внутреннем тестировании на проникновение (67%) и безопасности приложений (58%). популярные виды этического взлома.

Опрос должен напомнить компаниям, что технологии сами по себе не могут решить проблемы кибербезопасности — решения требуют обучения сотрудников осведомленности об атаках, говорит Эстон.

«Не существует ни одной технологии блинки-бокса, которая могла бы отразить все атаки и обеспечить безопасность вашей организации», — говорит он. «Это сочетание человеческих процессов и технологий, и оно не изменилось. Организации тяготеют к новейшим и лучшим технологиям… но при этом игнорируют осведомленность о безопасности и обучают своих сотрудников распознавать методы социальной инженерии».

По его словам, поскольку злоумышленники сосредоточены именно на этих слабостях, организациям необходимо изменить методы разработки своей защиты.