一般道德黑客可以在不到 10 小时的时间内找到允许突破网络边界的漏洞,然后利用该环境,而专注于云安全的渗透测试人员可以最快地访问目标资产。此外,一旦发现漏洞或弱点,大约 58% 的道德黑客可以在不到 XNUMX 小时的时间内闯入某个环境。
这是根据网络安全服务公司 Bishop Fox 赞助的 SANS Institute 对 300 名专家进行的一项调查得出的结论,调查受访者表示,黑客最常利用的弱点包括易受攻击的配置、软件缺陷和暴露的 Web 服务。
Bishop Fox 咨询副总裁 Tom Eston 表示,结果反映了现实世界恶意攻击的指标,并突显了公司检测和响应威胁的时间有限。
“作为一名道德黑客,五六个小时的闯入时间并不令人意外,”他说。 “它与我们所看到的真正的黑客所做的事情相符,尤其是社交工程、网络钓鱼和其他现实的攻击媒介。”
网络安全公司试图估算组织在造成重大损害之前阻止攻击者并中断其活动的平均时间,这是最新的数据点。
例如,网络安全服务公司 CrowdStrike 发现,普通攻击者会从最初的攻击中“突破”,感染其他系统 不到90分钟。与此同时,攻击者在被发现之前能够在受害者网络上进行操作的时间长度在 21 年为 2021 天,略好于上一年的 24 天。 根据网络安全服务公司 Mandiant 的说法.
组织跟不上
Bishop Fox-SANS 调查显示,总体而言,近四分之三的道德黑客认为大多数组织缺乏阻止攻击所需的检测和响应能力。 Bishop Fox 的 Eston 表示,这些数据应该说服组织不仅要关注预防攻击,还要致力于快速检测和响应攻击,以限制损害。
“每个人最终都会被黑客攻击,因此这取决于事件响应以及如何响应攻击,而不是防御每种攻击媒介,”他说。 “阻止一个人点击链接几乎是不可能的。”
此外,报告指出,公司正在努力保护其攻击面的许多部分。渗透测试人员表示,第三方、远程工作、云基础设施的采用以及应用程序开发速度的加快都极大地扩大了组织的攻击面。
然而,到目前为止,人为因素仍然是最严重的漏洞。受访者表示,社会工程和网络钓鱼攻击合计约占黑客投资回报率最高的媒介的一半 (49%)。 Web 应用程序攻击、基于密码的攻击和勒索软件占首选攻击的另外四分之一。
报告指出:“社会工程和网络钓鱼攻击分别是最主要的两个媒介,这不足为奇。” “我们一次又一次、年复一年地看到这种情况——网络钓鱼报告不断增加,而对手不断在这些媒介中取得成功。”
只是你的普通黑客
该调查还绘制了普通道德黑客的概况,近三分之二的受访者拥有一年到六年的经验。只有十分之一的道德黑客从业时间不到一年,而大约 10% 的人拥有 30 到 20 年的经验。
调查显示,大多数道德黑客在网络安全(71%)、内部渗透测试(67%)和应用程序安全(58%)方面拥有经验,其次是红队、云安全和代码级安全流行的道德黑客类型。
埃斯顿表示,这项调查应该提醒企业,仅靠技术无法解决网络安全问题——解决方案需要培训员工以了解攻击。
“没有任何一种眨眼盒技术能够击退所有攻击并确保您的组织安全,”他说。 “这是人员流程和技术的结合,这一点没有改变。组织倾向于最新、最先进的技术……但随后他们忽视了安全意识和培训员工识别社会工程。”
他说,由于攻击者正是关注这些弱点,组织需要改变他们开发防御的方式。
