Ortalama bir etik korsan, ağ çevresinin ihlaline izin veren bir güvenlik açığı bulabilir ve ardından bulut güvenliğine odaklanan penetrasyon test cihazlarının hedeflenen varlıklara en hızlı şekilde erişmesiyle 10 saatten daha kısa bir sürede çevreden yararlanabilir. Ayrıca, bir güvenlik açığı veya zayıflık bulunduğunda, etik bilgisayar korsanlarının yaklaşık %58’i bir ortama beş saatten daha kısa sürede girebilir.
Bu, SANS Enstitüsü tarafından ve siber güvenlik hizmetleri firması Bishop Fox’un sponsorluğunda 300 uzmanın katıldığı bir ankete göre, hackerlar tarafından istismar edilen en yaygın zayıflıkların savunmasız konfigürasyonları, yazılım kusurlarını ve açık Web hizmetlerini içerdiğini belirtti, ankete katılanlar belirtti.
Bishop Fox danışmanlık başkan yardımcısı Tom Eston, sonuçların gerçek dünyadaki kötü niyetli saldırılar için ölçümleri yansıttığını ve şirketlerin tehditleri algılaması ve bunlara yanıt vermesi gereken sınırlı süreyi vurguladığını söylüyor.
“Etik bir bilgisayar korsanı olarak içeri girmek için beş ya da altı saat, bu büyük bir sürpriz değil” diyor. “Özellikle sosyal mühendislik ve kimlik avı ve diğer gerçekçi saldırı vektörleri ile gerçek bilgisayar korsanlarının yaptıklarını gördüğümüzle eşleşiyor.”
bu anket siber güvenlik şirketlerinin, kuruluşların saldırganları durdurmak ve önemli bir hasar oluşmadan önce faaliyetlerini durdurmak için ortalama süreyi tahmin etme girişimlerinden elde edilen en son veri noktasıdır.
Örneğin, siber güvenlik hizmetleri firması CrowdStrike, ortalama bir saldırganın, 90 dakikadan daha kısa bir sürede diğer sistemlere bulaşmak için ilk güvenlik açığından “çıkardığını” buldu. Bu arada, siber güvenlik hizmetleri firması Mandiant’a göre, saldırganların tespit edilmeden önce kurbanın ağlarında çalışabildiği süre 2021’de 21 gündü, bu önceki yıldaki 24 günden biraz daha iyi.
Organizasyonlar Ayakta Kalmıyor
Genel olarak, Bishop Fox-SANS anketine göre, etik bilgisayar korsanlarının yaklaşık dörtte üçü, çoğu kuruluşun saldırıları durdurmak için gerekli tespit ve müdahale yeteneklerinden yoksun olduğunu düşünüyor. Piskopos Fox’tan Eston, verilerin kuruluşları yalnızca saldırıları önlemeye odaklanmaya değil, aynı zamanda hasarı sınırlamanın bir yolu olarak saldırıları hızlı bir şekilde tespit etmeye ve yanıtlamaya da ikna etmesi gerektiğini söylüyor.
“Eninde sonunda herkes saldırıya uğrayacak, bu yüzden her saldırı vektörüne karşı korunmak yerine olay yanıtına ve bir saldırıya nasıl yanıt verdiğinize geliyor” diyor. “Bir kişinin bir bağlantıya tıklamasını engellemek neredeyse imkansız.”
Raporda ayrıca, şirketlerin saldırı yüzeylerinin birçok bölümünü güvence altına almakta zorlandıkları belirtildi. Penetrasyon test uzmanları, üçüncü taraflar, uzaktan çalışma, bulut altyapısının benimsenmesi ve artan uygulama geliştirme hızının, kuruluşların saldırı yüzeylerinin genişlemesine önemli ölçüde katkıda bulunduğunu söyledi.
Yine de insan unsuru, bugüne kadarki en kritik güvenlik açığı olmaya devam ediyor. Katılımcılara göre, sosyal mühendislik ve kimlik avı saldırıları birlikte, en iyi hack yatırım getirisine sahip vektörlerin yaklaşık yarısını (%49) oluşturuyor. Web uygulaması saldırıları, parola tabanlı saldırılar ve fidye yazılımı, tercih edilen saldırıların bir diğer çeyreğini oluşturuyor.
“[I]Sosyal mühendislik ve kimlik avı saldırılarının sırasıyla en büyük iki vektör olması şaşırtıcı olmamalı” dedi. “Bunu her yıl defalarca gördük – kimlik avı raporları sürekli artıyor ve rakipler bulmaya devam ediyor. bu vektörler içinde başarı.”
Sadece Ortalama Hacker’ınız
Anket ayrıca ortalama bir etik hacker profili geliştirdi ve katılımcıların yaklaşık üçte ikisi bir yıl ile altı yıl arasında deneyime sahip. Her 10 etik bilgisayar korsanından sadece biri meslekte bir yıldan az süreye sahipken, yaklaşık %30’u yedi ila 20 yıl arasında deneyime sahipti.
Ankete göre, çoğu etik bilgisayar korsanı ağ güvenliği (%71), dahili sızma testi (%67) ve uygulama güvenliği (%58) konusunda deneyime sahiptir. popüler etik hack türleri.
Eston, anketin şirketlere teknolojinin tek başına siber güvenlik sorunlarını çözemeyeceğini hatırlatması gerektiğini söylüyor.
“Bütün saldırıları püskürtecek ve kuruluşunuzu güvende tutacak tek bir yanıp sönen kutu teknolojisi yok” diyor. “Bu, insan süreci ve teknolojinin bir birleşimidir ve bu değişmemiştir. Kuruluşlar en son ve en büyük teknolojiye yönelirler… ancak daha sonra güvenlik bilincini görmezden gelirler ve çalışanlarını toplum mühendisliğini tanımaları için eğitirler.”
Saldırganların tam olarak bu zayıf noktalara odaklanmasıyla, kuruluşların savunmalarını nasıl geliştirdiklerini değiştirmeleri gerektiğini söylüyor.