Một hacker có đạo đức trung bình có thể tìm thấy một lỗ hổng cho phép vi phạm phạm vi mạng và sau đó khai thác môi trường trong vòng chưa đầy 10 giờ, với những người kiểm tra thâm nhập tập trung vào bảo mật đám mây để có được quyền truy cập nhanh nhất vào các tài sản được nhắm mục tiêu. Và hơn nữa, khi phát hiện ra lỗ hổng hoặc điểm yếu, khoảng 58% tin tặc có đạo đức có thể đột nhập vào môi trường trong vòng chưa đầy năm giờ.
Đó là kết quả khảo sát với 300 chuyên gia của Viện SANS và được tài trợ bởi công ty dịch vụ an ninh mạng Bishop Fox, cũng cho thấy những điểm yếu phổ biến nhất bị tin tặc khai thác bao gồm cấu hình dễ bị tấn công, lỗi phần mềm và các dịch vụ Web bị lộ, những người tham gia khảo sát cho biết.
Tom Eston, phó chủ tịch tư vấn của Bishop Fox cho biết, các kết quả này phản ánh số liệu về các cuộc tấn công độc hại trong thế giới thực và nêu bật khoảng thời gian giới hạn mà các công ty có để phát hiện và ứng phó với các mối đe dọa.
Ông nói: “Năm hoặc sáu giờ để đột nhập, với tư cách là một hacker có đạo đức, đó không phải là một điều ngạc nhiên lớn”. “Nó phù hợp với những gì chúng ta đang thấy các tin tặc thực sự đang làm, đặc biệt là với kỹ thuật xã hội và lừa đảo cũng như các phương thức tấn công thực tế khác.”
Sản phẩm Khảo sát là điểm dữ liệu mới nhất từ nỗ lực của các công ty an ninh mạng nhằm ước tính thời gian trung bình mà các tổ chức phải ngăn chặn những kẻ tấn công và làm gián đoạn hoạt động của chúng trước khi gây ra thiệt hại đáng kể.
Ví dụ, công ty dịch vụ an ninh mạng CrowdStrike đã phát hiện ra rằng kẻ tấn công trung bình “đột phá” khỏi thỏa hiệp ban đầu của họ để lây nhiễm vào các hệ thống khác. trong vòng chưa đầy 90 phút. Trong khi đó, khoảng thời gian mà những kẻ tấn công có thể hoạt động trên mạng của nạn nhân trước khi bị phát hiện là 21 ngày vào năm 2021, tốt hơn một chút so với 24 ngày của năm trước, theo công ty dịch vụ an ninh mạng Mandiant.
Các tổ chức không theo kịp
Nhìn chung, gần 3/4 tin tặc có đạo đức cho rằng hầu hết các tổ chức đều thiếu khả năng phát hiện và phản ứng cần thiết để ngăn chặn các cuộc tấn công, theo khảo sát của Bishop Fox-SANS. Eston của Bishop Fox cho biết dữ liệu sẽ thuyết phục các tổ chức không chỉ tập trung vào việc ngăn chặn các cuộc tấn công mà còn nhằm mục đích nhanh chóng phát hiện và ứng phó với các cuộc tấn công như một cách để hạn chế thiệt hại.
Ông nói: “Cuối cùng thì mọi người đều sẽ bị tấn công, vì vậy điều quan trọng là phải ứng phó với sự cố và cách bạn ứng phó với một cuộc tấn công, trái ngược với việc bảo vệ khỏi mọi phương hướng tấn công”. “Gần như không thể ngăn cản một người nhấp vào một liên kết.”
Ngoài ra, các công ty đang đấu tranh để bảo vệ nhiều phần trên bề mặt tấn công của họ, báo cáo cho biết. Những người thử nghiệm thâm nhập cho biết, các bên thứ ba, làm việc từ xa, áp dụng cơ sở hạ tầng đám mây và tốc độ phát triển ứng dụng ngày càng tăng đều góp phần đáng kể vào việc mở rộng bề mặt tấn công của các tổ chức.
Tuy nhiên, cho đến nay, yếu tố con người vẫn tiếp tục là điểm dễ bị tổn thương nghiêm trọng nhất. Theo những người được hỏi, các cuộc tấn công kỹ thuật xã hội và lừa đảo chiếm khoảng một nửa (49%) trong số các vectơ mang lại lợi tức đầu tư hack tốt nhất. Các cuộc tấn công ứng dụng web, tấn công dựa trên mật khẩu và ransomware chiếm một phần tư các cuộc tấn công ưa thích khác.
“[Tôi] không có gì ngạc nhiên khi các cuộc tấn công kỹ thuật xã hội và lừa đảo lần lượt là hai vectơ hàng đầu,” báo cáo nêu rõ. “Chúng tôi đã thấy điều này hết lần này đến lần khác, năm này qua năm khác — các báo cáo lừa đảo liên tục gia tăng và những kẻ thù tiếp tục tìm thấy thành công trong các vectơ đó.”
Chỉ là hacker bình thường của bạn
Cuộc khảo sát cũng phát triển hồ sơ của một hacker có đạo đức trung bình, với gần 10/30 số người được hỏi có từ một năm đến sáu năm kinh nghiệm. Chỉ 20 trong XNUMX hacker có đạo đức có chưa đầy một năm trong nghề, trong khi khoảng XNUMX% có từ XNUMX đến XNUMX năm kinh nghiệm.
Theo khảo sát, hầu hết các tin tặc có đạo đức đều có kinh nghiệm về bảo mật mạng (71%), thử nghiệm thâm nhập nội bộ (67%) và bảo mật ứng dụng (58%), trong đó nhóm đỏ, bảo mật đám mây và bảo mật cấp mã là những lĩnh vực tiếp theo. các loại hack đạo đức phổ biến.
Eston cho biết cuộc khảo sát sẽ nhắc nhở các công ty rằng chỉ riêng công nghệ không thể giải quyết được các vấn đề an ninh mạng - các giải pháp đòi hỏi phải đào tạo nhân viên nhận thức được các cuộc tấn công.
Ông nói: “Không có một công nghệ hộp chớp mắt nào có thể đẩy lùi tất cả các cuộc tấn công và giữ cho tổ chức của bạn được an toàn”. “Đó là sự kết hợp giữa quy trình con người và công nghệ, và điều đó không thay đổi. Các tổ chức hướng tới công nghệ mới nhất và tốt nhất… nhưng sau đó họ bỏ qua nhận thức về bảo mật và đào tạo nhân viên của mình để nhận biết kỹ thuật xã hội.”
Ông cho rằng, với những kẻ tấn công tập trung vào chính xác những điểm yếu đó, các tổ chức cần thay đổi cách họ phát triển hệ thống phòng thủ của mình.
