Ortalama bir etik korsan, ağ çevresinin ihlaline izin veren bir güvenlik açığı bulabilir ve ardından 10 saatten daha kısa bir sürede ortamdan yararlanabilir; bulut güvenliğine odaklanan penetrasyon test uzmanları, hedeflenen varlıklara en hızlı şekilde erişim sağlar. Ayrıca, bir güvenlik açığı veya zayıflık bulunduğunda, etik korsanların yaklaşık %58'i bir ortama beş saatten daha kısa sürede girebiliyor.
Ankete katılanlar, SANS Enstitüsü tarafından siber güvenlik hizmetleri şirketi Bishop Fox'un sponsorluğunda 300 uzmanın katıldığı ve bilgisayar korsanlarının kullandığı en yaygın zayıflıkların savunmasız yapılandırmalar, yazılım kusurları ve açığa çıkan Web hizmetleri olduğunu ortaya koyan XNUMX uzmandan oluşan bir ankete göre bu böyle.
Bishop Fox'un danışmanlıktan sorumlu başkan yardımcısı Tom Eston, sonuçların gerçek dünyadaki kötü amaçlı saldırılara yönelik ölçümleri yansıttığını ve şirketlerin tehditleri algılamak ve bunlara yanıt vermek için sahip olduğu sınırlı süreyi vurguladığını söylüyor.
"Ben de etik bir hacker olarak içeri girmek için beş ya da altı saat geçmesi çok büyük bir sürpriz değil" diyor. "Bu, gerçek bilgisayar korsanlarının özellikle sosyal mühendislik, kimlik avı ve diğer gerçekçi saldırı vektörleriyle yaptıklarını gördüğümüz şeylerle örtüşüyor."
The anket Siber güvenlik şirketlerinin, kuruluşların saldırganları durdurmak ve önemli bir hasar meydana gelmeden önce faaliyetlerini durdurmak zorunda kaldıkları ortalama süreyi tahmin etmeye yönelik girişimlerinden elde edilen en son veri noktasıdır.
Örneğin siber güvenlik hizmetleri şirketi CrowdStrike, ortalama bir saldırganın diğer sistemlere bulaşmak için ilk güvenlik açığından "kaçtığını" tespit etti 90 dakikadan daha kısa sürede. Bu arada, saldırganların tespit edilmeden önce kurbanın ağlarında çalışabildiği süre 21'de 2021 gündü; bu, önceki yılın 24 gününe göre biraz daha iyiydi. siber güvenlik hizmetleri firması Mandiant'a göre.
Ayak uyduramayan kuruluşlar
Bishop Fox-SANS anketine göre, genel olarak etik bilgisayar korsanlarının neredeyse dörtte üçü, çoğu kuruluşun saldırıları durdurmak için gerekli tespit ve yanıt yeteneklerine sahip olmadığını düşünüyor. Bishop Fox'tan Eston, verilerin kuruluşları yalnızca saldırıları önlemeye odaklanmaya değil, aynı zamanda hasarı sınırlamanın bir yolu olarak saldırıları hızlı bir şekilde tespit edip yanıt vermeyi hedeflemeye ikna etmesi gerektiğini söylüyor.
"Eninde sonunda herkes saldırıya uğrayacak, bu nedenle her saldırı vektörüne karşı koruma sağlamak yerine olaya müdahale ve saldırıya nasıl tepki verdiğiniz önemli" diyor. "Bir kişinin bir bağlantıya tıklamasını engellemek neredeyse imkansızdır."
Raporda ayrıca şirketlerin saldırı yüzeylerinin birçok bölümünü güvence altına almakta zorlandıkları belirtildi. Penetrasyon test uzmanları, üçüncü tarafların, uzaktan çalışmanın, bulut altyapısının benimsenmesinin ve artan uygulama geliştirme hızının, kuruluşların saldırı yüzeylerinin genişlemesine önemli ölçüde katkıda bulunduğunu söyledi.
Yine de insan unsuru açık ara en kritik güvenlik açığı olmaya devam ediyor. Ankete katılanlara göre, sosyal mühendislik ve kimlik avı saldırıları birlikte, bilgisayar korsanlığı yatırımından en iyi getiriyi sağlayan vektörlerin yaklaşık yarısını (%49) oluşturuyor. Web uygulaması saldırıları, parola tabanlı saldırılar ve fidye yazılımı, tercih edilen saldırıların diğer dörtte birini oluşturur.
Raporda "Sosyal mühendislik ve kimlik avı saldırılarının sırasıyla en önemli iki vektör olması sürpriz olmamalı" ifadesine yer verildi. "Bunu her yıl tekrar tekrar görüyoruz; kimlik avı raporları sürekli artıyor ve saldırganlar bu vektörler içerisinde başarıya ulaşmaya devam ediyor."
Sadece Ortalama Bir Hackerınız
Anket aynı zamanda ortalama bir etik korsanın profilini geliştirdi ve yanıt verenlerin yaklaşık üçte ikisi bir ila altı yıl arasında deneyime sahipti. Her 10 etik bilgisayar korsanından yalnızca biri meslekte bir yıldan az, yaklaşık %30'u ise yedi ila 20 yıl arasında deneyime sahip.
Ankete göre etik hackerların çoğu ağ güvenliği (%71), dahili sızma testi (%67) ve uygulama güvenliği (%58) konularında deneyime sahiptir ve kırmızı ekip oluşturma, bulut güvenliği ve kod düzeyinde güvenlik ikinci sırada yer almaktadır. popüler etik bilgisayar korsanlığı türleri.
Eston, anketin şirketlere teknolojinin tek başına siber güvenlik sorunlarını çözemeyeceğini hatırlatması gerektiğini söylüyor - çözümler, çalışanların saldırılardan haberdar olmaları için eğitim gerektiriyor.
"Tüm saldırıları püskürtecek ve kuruluşunuzu güvende tutacak tek bir göz kırpma teknolojisi yok" diyor. “Bu, insan süreçlerinin ve teknolojinin bir birleşimidir ve bu değişmedi. Kuruluşlar en son ve en iyi teknolojiye yöneliyor… ancak daha sonra güvenlik farkındalığını ve çalışanlarının sosyal mühendisliği tanıma konusunda eğitilmesini göz ardı ediyorlar.”
Saldırganların tam olarak bu zayıflıklara odaklanmasıyla, kuruluşların savunmalarını geliştirme yöntemlerini değiştirmeleri gerektiğini söylüyor.
