SANS Enstitüsü’nün 300’den fazla etik korsanla yaptığı ankete göre, bir BT ortamına girdikten sonra, çoğu saldırganın hassas verileri toplamak ve çalmak için beş saatten daha az bir zamana ihtiyacı var.
Ankete katılanlar aynı zamanda “eğer” değil, “ne zaman” olduğu şeklindeki eski atasözünü de kanıtladılar. İlk saldırı vektörleri başarısız olsa bile, neredeyse yüzde 38’i tekrarlanan saldırılarla “daha sık” bir ortama girebileceklerini belirtti.
Çoğu SANS anketi, savunucuların bakış açısına odaklanır – örneğin, olaya müdahale edenlere bir siber saldırıyı tespit edip yanıt vermelerinin ne kadar sürdüğünü sormak. SANS’ta dijital adli tıp ve olay müdahale eğitmeni olan yazar Matt Bromiley, saldırgan güvenlik firması Bishop Fox tarafından yaptırılan bu raporun “bir kuruluşa saldıran birinin zihniyetine girmeyi ve bunun yerine bu ölçümlere bakmayı” amaçladığını söyledi.
“Açıkçası, dünyadaki tüm favori bilgisayar korsanlarımızı arayamayız – pek çok ülkenin istihbarat teşkilatının bu telefon görüşmesini alacağını sanmıyorum” dedi. Kayıt.
Bu yüzden araştırma ekibi bir sonraki en iyi seçeneğe gitti: rakipleri taklit etmekle görevlendirilen etik bilgisayar korsanları. Bu grup böcek avcıları ve sızma testçilerine en sevdikleri saldırı vektörlerini, kullandıkları araçları ve hızlarını sordular.
Ankete katılanların büyük bir kısmı (%83,4) ABD merkezli şirketler için çalışıyor. Ve en büyük kesim (%34,2), güvenlik analistinden bilgi güvenliği şefine veya güvenlik veya teknoloji başkan yardımcılığına kadar değişen işlerle siber güvenlik alanında çalıştıklarını söyledi.
Elbette, alçakgönüllü akbabanız, bu katılımcıların iddia ettikleri kişiler olduğunu doğrulayamaz. Rapor, genellikle BT ortamlarına “saldırmak” için kuruluşlar tarafından işe alınan katılımcıların, “onaylanmamış rakipler” olarak adlandırılanlardan, yani kötülerden farklı güdülere sahip olduğunu kabul ediyor.
Etik bir bilgisayar korsanının bir ortamı ihlal etmesinin ne kadar sürdüğünü, vitesi ne kadar çabuk değiştirebileceğini ve en sevdikleri taktiklerin neler olduğunu bilmek değerlidir. Bromiley, bunun kuruluşların güvenlik yatırımlarını en büyük yatırım getirisini sağlayacak alanlara odaklamasına yardımcı olabileceği için savundu.
“Bir ihlal durumu üstlenmem gerekirse, şimdiye kadar dahil olduğunuz en zor, en uzun ihlal olacak” dedi. “İçeri girmeni senin için o kadar zorlaştıracağım ki, öylece durabilirsin. Parmaklar çarpıştı.”
Yatırım getirisinden bahsetmişken, anket, eskilerin ancak güzelliklerin paranın karşılığını en büyük patlamayı sağlamaya devam ettiğini buldu. “Hangi saldırı vektörünün en yüksek yatırım getirisine sahip olma olasılığı daha yüksektir?” sorusuna yanıt olarak. sosyal mühendislik (%32,1) ve kimlik avı (%17,2) ilk iki yanıttı. Klasikleri yenemezsin.
Karşılaştırma için, sıfır gün açıkları (%3,8), ortadaki adam saldırıları (%1,4) ve DNS sahtekarlığı (%1) son sırada yer aldı.
Bromiley, “Bir hedef odaklı kimlik avı e-postası hazırlamak veya birinin bir bağlantıyı tıklatmasını sağlamak, kendi kötü amaçlı yazılım parçanızı yazmaya kıyasla nispeten ucuzdur,” diyerek bunun güvenlik ekiplerine basit bir mesaj göndermesi gerektiğini de sözlerine ekledi.
“Temellere odaklanın” diye tavsiyede bulundu. “Güvenlik programınıza insanların dahil olduğunu unutmayın. Bir e-postaya tıklayan kişiyi suçlamıyorum, ancak insanları uyanık olmaları için eğitmemizi teşvik ediyorum. Bu nedenle kullanıcı eğitimi güvenlik programımızın bir parçası olmalıdır. “
Bunun şirketlerin güvenlik harcamalarını da etkilemesi gerektiğini ekledi. Bromiley, “Şirketteki herkese YubiKeys vermekle, harika sloganlara sahip yeni, süslü bir şey satın almak arasında bir seçim yapmam gerekseydi, YubiKey yolunu seçerdim,” dedi. “Zorunlu çok faktörlü belirteç kimlik doğrulaması yoluna giderdim ya da daha fazla temel konuyu kapsayan bunun gibi bir şey.”
hız ihtiyacı
Anket ayrıca hız ile ilgili birkaç soru sordu ve etik bilgisayar korsanlarının yüzde 57’sinin on saat içinde istismar edilebilir bir kusur keşfedebileceğini iddia etti.
Ankete katılanların yarısından fazlası (%57’den fazlası), on saat veya daha kısa bir sürede istismar edilebilir bir maruziyeti başarıyla keşfedebileceklerini belirtti. Yaklaşık yüzde 25’i üç ila beş saat arasında sürdüğünü söylerken, yüzde 27,6’sı ne kadar süreceğinden emin olmadıklarını söyledi.
Bromiley, “Zaman dönemleri, birçok okuyucunun en fazla değeri elde edebileceği dönemlerdir” dedi. “Bir kuruluşa girmesi bir saat süren bir düşmanla, içeri girmesi için altı saate ihtiyaç duyan bir düşman arasındaki fark nedir? Bu beş saatlik yama süresidir. Bu beş saatlik hazırlıktır. Bu, ortamınızı beş saatlik sertleştirmedir. Sonra bu zaman periyotlarının değerlendirilmesi, izinsiz girişin geri kalanında aşağı inebilir.”
Bir delik bulduklarında, yüzde 58’i onu beş saat veya daha kısa sürede kullanabileceklerini söyledi. İçeri girdikten sonra, katılımcıların yüzde 36’sı üç ila beş saat içinde tırmanabileceklerini veya yana doğru hareket edebileceklerini söylerken, yüzde 20’si iki saat veya daha az sürdüğünü söyledi.
Ve hedef sistemlere ve verilere erişim sağladıklarında, yüzde 22,7’si verileri üç ila beş saat içinde toplayıp sızdırabileceklerini söyledi. Bu arada 40.7, bunu iki saat veya daha kısa sürede yapabileceklerini söyledi.
Bromiley, “Sızıntı, tespitlerinizi odaklamanız gereken yer değil,” diyerek sözlerini tamamladı. “Tespit edilecek bir yer ama onları odaklayacak bir yer değil. Düşmanın en çok zamana ihtiyaç duyduğu izinsiz giriş noktalarına odaklanın. Bu, onları tespit etmek için en iyi fırsatın olduğu yerdir, çünkü onlar oradadır.” en uzun.” ®