Eğitim ve kriz senaryolarını analiz eden yeni bir rapora göre, saldırganların yeni güvenlik açıklarından yararlanmaları genellikle günler veya haftalar alır, ancak savunucuların kritik sorunları öğrenmesi ve harekete geçmesi yavaştır ve mevcut siber tehditleri tanımlamayı ve engellemeyi öğrenmek için ortalama 96 gün gerekir.
Cyber Workforce Benchmark 2022 adlı rapor, siber güvenlik uzmanlarının, daha az anlaşılan sorunlardan çok Log4j gibi medyanın dikkatini çeken güvenlik açıklarına odaklanma olasılığının çok daha yüksek olduğunu ve farklı endüstrilerin güvenlik yeteneklerini çok farklı oranlarda geliştirdiğini ortaya koydu. Ulaşım ve kritik altyapı gibi en önemli sektörlerdeki güvenlik uzmanları, eğlence, eğlence ve perakende sektörlerindeki meslektaşlarına kıyasla becerileri öğrenmekte iki kat daha yavaştır.
Güvenlik uzmanlarının yeni tehditler konusunda hız kazanmaları için gereken süre — CISA, yamaların 15 gün içinde uygulanması gerektiğini söylüyor, güvenlik açığından yararlanılıyorsa bu tarihten daha erken, diyor, şirketin siber tehdit araştırması direktörü Kevin Breen. Sürükleyici Laboratuvarlar.
“Hızlı yama için baskı yapan tüm bu organizasyonlara sahibiz, ancak ağ savunucuları aynı hızda antrenman yapmıyor” diyor. “Ve eğer yama yapamıyorsanız, o zaman istismarlara karşı nasıl savunma yapacağınızı öğrenmelisiniz.”
Siber Güvenlik Tehdit Tatbikatları
bu rapor 2.100’den fazla kuruluştan gelen verileri kullanır Immersive Labs’in siber güvenlik eğitimi ve kriz tatbikatlarının bir parçası olarak yarım milyondan fazla simülasyon ve tatbikata katıldı. Rapor, siber güvenlik krizi tatbikatlarından, mevcut tehditleri ele almak için güvenlik uzmanlarının eğitiminden ve uygulama güvenliği konusunda geliştiricilerin eğitiminden veri toplar.
Immersive, örneğin güvenlik uzmanlarının belirli mevcut tehditlere odaklanan 185 modülü ne kadar hızlı tamamladığını ve kullanıcılarının ortalama olarak içeriğin yayınlanmasından sonraki 96 gün içinde yeni bir modül öğrendiğini tespit ettiğini ölçtü. Boş zaman ve eğlence endüstrileri, en son tehditler hakkında bilgi edinme açısından, bir beceri geliştirmek için yalnızca ortalama 65 gün sürerken, ulaşım endüstrisi 145 günle en uzun süreyi aldı.
Raporda, “E-ticaret, eğlence ve medya gibi özünde dijital olan sektörlerin, tehditleri daha hızlı kırmaya karşı insan yeteneklerini geliştirerek diğer sektörlerden daha iyi performans göstermesi belki de şaşırtıcı değil” dedi.
Çalışma, şirketlerin eğitim için hangi saldırı tekniklerine öncelik verdiğini gösterdi. En popüler öğrenme ve test modülleri, Immersive Labs verilerine göre veri toplama ve sızma konusunda benzer laboratuvarlardan beş kat daha popüler olan MITRE ATT&CK çerçevesi tarafından tanımlanan saldırıların yürütme aşamasını içeriyordu.
Breen, ATT&CK çerçevesindeki önceki aşamalara odaklanmanın mantıklı olduğunu söylüyor.
“Saldırganı döngünün başlarında tespit edebiliyorsanız, çok fazla endişelenmenize gerek yok çünkü onları erken durdurmuşsunuzdur” diyor. “Orada kesinlikle bir insan unsuru var. Bu saldırıları gerçekleşmeden önce önlemeye çalışmak istiyorlar, bu yüzden doğal olarak ‘zaten varsa nasıl tepki veririm’ yerine ‘onların içeri girmesini nasıl engellerim’ üzerine odaklanıyorlar. içinde.'”
Belirli tehditler medyada geniş çapta tartışıldığında, güvenlik uzmanları bu tehditlerle çok daha hızlı başa çıkma becerilerini de öğrendi. Rapora göre, en hızlı geliştirilen ve beş gün içinde tamamlanan ilk 5 beceri, Log4j güvenlik açığını ve Log4Shell istismarını kapsayan dört modülü ve Windows için InstallerFileTakeOver istismarını kapsayan başka bir modülü içeriyor.
Farklı endüstrilerin eğitim ve tatbikatlara farklı yaklaşımları vardı. Yılda en fazla kriz tatbikatı yapılan sektörler, şirket başına yıllık ortalama dokuz, yedi ve altı tatbikat ile teknoloji, finansal hizmetler ve devleti içeriyordu. Ortalama bir eğitim kurumu yılda sadece iki tatbikat gerçekleştirirken, bu kuruluşlar kriz senaryosu başına 21 katılımcı ile çok daha fazla katılımcıya sahip olma eğilimindeydi, her ikisi de ortalama yedi katılımcıya sahip olan bir sonraki sektör olan teknoloji ve danışmanlıktan üç kat daha fazlaydı. .
Fidye Yazılımı Senaryoları
İmalat, tatbikatlarda en yüksek toplam puana sahipti ve sektördeki şirketler, %18’lik en kötü endüstri sektörü olan sağlık hizmetlerine kıyasla ortalama %85’lik bir performans puanı aldı.
Breen, “Endüstrilerin bazıları bunu neredeyse bir onay kutusu alıştırması olarak görüyor – yılda bir alıştırma yapıyorlar ve yalnızca birkaç katılımcısı var” diyor. “Sadece teknik ekiplerinizi getiremezsiniz; bütünsel bir bakış açısı elde etmek için hukuk ekiplerinizi, iletişim ekiplerinizi ve İK ekiplerinizi getirmelisiniz.”
Katılımcıların kararlarına en düşük güven duyduğu 10 kriz senaryosundan yedisi fidye yazılımı içeriyordu. Kuruluşların %83’ü senaryolar sırasında fidye yazılımı gruplarına ödeme yapmayı reddederken, ödeme yapma olasılığı en yüksek olan %25 ile eğitim kuruluşları olurken, hiçbir kritik altyapı kuruluşu ödemeye karar vermedi.
Breen, şirketlerin sık sık kriz tatbikatları yürütmesini ve diğer iş gruplarından daha çeşitli bir katılımcı grubu getirmesini tavsiye ediyor. Buna ek olarak, şirketler güvenliği geliştirmeye devam etmek için gereken becerileri öğrenmeli ve mümkün olduğunca çabuk yama yapmalıdır.