En genomsnittlig etisk hacker kan hitta en sårbarhet som tillåter intrång i nätverksperimetern och sedan utnyttja miljön på mindre än 10 timmar, med penetrationstestare fokuserade på molnsäkerhet som snabbast får tillgång till riktade tillgångar. Och dessutom, när en sårbarhet eller svaghet väl hittats kan cirka 58 % av etiska hackare ta sig in i en miljö på mindre än fem timmar.
Det är enligt en undersökning av 300 experter av SANS Institute och sponsrad av cybersäkerhetstjänsteföretaget Bishop Fox, som också fann att de vanligaste svagheterna som utnyttjas av hackarna inkluderar sårbara konfigurationer, mjukvarubrister och exponerade webbtjänster, uppgav undersökningsrespondenterna.
Resultaten speglar mätvärden för skadliga attacker i verkligheten och framhäver den begränsade tid som företag har på sig att upptäcka och reagera på hot, säger Tom Eston, biträdande vicepresident för konsulttjänster för Bishop Fox.
"Fem eller sex timmar att bryta sig in, som en etisk hacker själv, det är ingen stor överraskning", säger han. "Det matchar vad vi ser de riktiga hackarna göra, särskilt med social ingenjörskonst och nätfiske och andra realistiska attackvektorer."
Smakämnen undersökning är den senaste datapunkten från cybersäkerhetsföretags försök att uppskatta den genomsnittliga tid som organisationer har på sig att stoppa angripare och avbryta deras aktiviteter innan betydande skada sker.
Cybersäkerhetstjänstföretaget CrowdStrike fann till exempel att den genomsnittliga angriparen "bryter ut" från sin första kompromiss för att infektera andra system på mindre än 90 minuter. Samtidigt var den tid som angripare kan operera på offrets nätverk innan de upptäcktes 21 dagar 2021, något bättre än de 24 dagarna föregående år, enligt cybersäkerhetsföretaget Mandiant.
Organisationer som inte hänger med
Sammantaget tror nästan tre fjärdedelar av etiska hackare att de flesta organisationer saknar den nödvändiga upptäckts- och svarskapaciteten för att stoppa attacker, enligt Bishop Fox-SANS-undersökningen. Data bör övertyga organisationer att inte bara fokusera på att förebygga attacker, utan syfta till att snabbt upptäcka och svara på attacker som ett sätt att begränsa skadan, säger Bishop Foxs Eston.
"Alla kommer så småningom att bli hackade, så det handlar om incidentrespons och hur du svarar på en attack, i motsats till att skydda mot varje attackvektor", säger han. "Det är nästan omöjligt att hindra en person från att klicka på en länk."
Dessutom kämpar företag med att säkra många delar av sin attackyta, stod det i rapporten. Tredje parter, distansarbete, antagandet av molninfrastruktur och den ökade takten i applikationsutvecklingen bidrog avsevärt till att utöka organisationers attackytor, sa penetrationstestare.
Ändå fortsätter det mänskliga elementet att vara den absolut mest kritiska sårbarheten. Social ingenjörskonst och nätfiskeattacker stod tillsammans för ungefär hälften (49%) av vektorerna med bäst avkastning på hackningsinvesteringar, enligt respondenterna. Webbapplikationsattacker, lösenordsbaserade attacker och ransomware står för ytterligare en fjärdedel av de föredragna attackerna.
"[Jag] borde inte komma som någon överraskning att social ingenjörskonst och nätfiskeattacker är de två främsta vektorerna", heter det i rapporten. "Vi har sett detta gång på gång, år efter år - rapporter om nätfiske ökar kontinuerligt, och motståndare fortsätter att finna framgång inom dessa vektorer."
Bara din genomsnittliga hacker
Undersökningen utvecklade också en profil av den genomsnittliga etiska hackaren, med nästan två tredjedelar av de tillfrågade som har mellan ett år och sex års erfarenhet. Endast en av 10 etiska hackare hade mindre än ett år i yrket, medan cirka 30% hade mellan sju och 20 års erfarenhet.
De flesta etiska hackare har erfarenhet av nätverkssäkerhet (71 %), intern penetrationstestning (67 %) och applikationssäkerhet (58 %), enligt undersökningen, med red teaming, molnsäkerhet och säkerhet på kodnivå som näst mest populära typer av etisk hacking.
Undersökningen bör påminna företag om att teknik ensam inte kan lösa cybersäkerhetsproblem – lösningar kräver utbildning av anställda att vara medvetna om attacker, säger Eston.
"Det finns inte en enda blinky-box-teknik som kommer att slå tillbaka alla attacker och hålla din organisation säker", säger han. "Det är en kombination av människors process och teknik, och det har inte förändrats. Organisationer dras mot den senaste och bästa tekniken … men sedan ignorerar de säkerhetsmedvetenhet och utbildar sina anställda att känna igen social ingenjörskonst.”
Med angripare fokuserade på just dessa svagheter, säger han, måste organisationer ändra hur de utvecklar sina försvar.
