Звичайний етичний хакер може знайти вразливе місце, яке дозволяє зламати периметр мережі, а потім використати середовище менш ніж за 10 годин, а тестери проникнення, зосереджені на безпеці хмари, найшвидше отримують доступ до цільових активів. Крім того, після виявлення вразливості або слабкості близько 58% етичних хакерів можуть зламати середовище менш ніж за п’ять годин.
Це згідно з опитуванням 300 експертів, проведеним Інститутом SANS за підтримки фірми з кібербезпеки Bishop Fox, яке також виявило, що найпоширеніші слабкі місця, якими користуються хакери, включають вразливі конфігурації, недоліки програмного забезпечення та відкриті веб-сервіси, заявили респонденти.
Результати віддзеркалюють показники зловмисних атак у реальному світі та підкреслюють обмежену кількість часу, яку мають компанії для виявлення та реагування на загрози, каже Том Естон, заступник віце-президента з консалтингу Bishop Fox.
«П’ять-шість годин на злам, як етичний хакер, це не велика несподіванка», — каже він. «Це збігається з тим, що ми бачимо, як роблять справжні хакери, особливо з соціальною інженерією, фішингом та іншими реалістичними векторами атак».
Команда огляд це останні дані зі спроб компаній з кібербезпеки оцінити середній час, який організації мають на те, щоб зупинити зловмисників і перервати їхню діяльність, перш ніж буде завдано значної шкоди.
Наприклад, компанія CrowdStrike, що надає послуги з кібербезпеки, виявила, що звичайний зловмисник «виривається» зі свого початкового компромету, щоб заразити інші системи менше ніж за 90 хвилини. У той же час тривалість часу, протягом якого зловмисники можуть діяти в мережах жертви, перш ніж їх виявлять, становила 21 день у 2021 році, що трохи краще, ніж 24 дні в попередньому році, за даними компанії Mandiant, що надає послуги з кібербезпеки.
Організації не встигають
Загалом, згідно з опитуванням Bishop Fox-SANS, майже три чверті етичних хакерів вважають, що більшості організацій бракує необхідних можливостей виявлення та реагування, щоб зупинити атаки. Ці дані повинні переконати організації не просто зосереджуватися на запобіганні атакам, а прагнути швидко виявляти атаки та реагувати на них як спосіб обмежити шкоду, каже Естон з Bishop Fox.
«Кожен зрештою буде зламаний, тому все зводиться до реакції на інцидент і того, як ви реагуєте на атаку, а не до захисту від усіх векторів атак», — говорить він. «Майже неможливо перешкодити одній людині натиснути на посилання».
Крім того, компанії намагаються захистити багато частин своєї поверхні атаки, йдеться у звіті. Треті сторони, віддалена робота, впровадження хмарної інфраструктури та прискорені темпи розробки додатків – усе це значно сприяло розширенню зони атак організацій, кажуть тестувальники проникнення.
І все ж людський елемент, безперечно, залишається найбільш критичною вразливістю. На думку респондентів, соціальна інженерія та фішингові атаки разом становлять близько половини (49%) векторів із найкращою окупністю хакерських інвестицій. Атаки на веб-додатки, атаки на основі паролів і програми-вимагачі складають ще одну чверть переважних атак.
«Не дивно, що соціальна інженерія та фішингові атаки є двома головними векторами, відповідно», — йдеться у звіті. «Ми спостерігаємо це знову і знову, рік за роком — кількість повідомлень про фішинг постійно збільшується, і зловмисники продовжують досягати успіху в цих векторах».
Звичайний хакер
Опитування також розробило профіль середнього етичного хакера: майже дві третини респондентів мають від року до шести років досвіду. Лише один з 10 етичних хакерів мав менше року роботи в професії, тоді як близько 30% мали від 20 до XNUMX років досвіду.
Згідно з опитуванням, більшість етичних хакерів мають досвід мережевої безпеки (71%), внутрішнього тестування на проникнення (67%) і безпеки додатків (58%), а на наступному місці – Red Teaming, хмарна безпека та безпека на рівні коду. популярні види етичного хакерства.
За словами Естона, опитування має нагадати компаніям, що лише технології не можуть вирішити проблеми кібербезпеки — рішення вимагають навчання працівників, щоб вони були в курсі атак.
«Немає жодної технології blinky-box, яка могла б відбити всі атаки та забезпечити безпеку вашої організації», — каже він. «Це поєднання людських процесів і технологій, і це не змінилося. Організації тяжіють до новітніх і найкращих технологій... але потім вони ігнорують знання безпеки та навчання своїх співробітників розпізнаванню соціальної інженерії».
Оскільки зловмисники зосереджені саме на цих слабких місцях, каже він, організаціям потрібно змінити спосіб розвитку свого захисту.
