5 часа след пробив са напълно достатъчни за хакерите, за да нанесат тежки щети на организациите-жертви (снимка: CC0 Public Domain)
Повече от 60% от хакерите могат да съберат и източат данните на хакнатите предприятия в рамките на пет часа след пробива. Това установи първото проучване сред етични хакери на фирмата за обучение по киберсигурност SANS.
Анализът се базира на отговорите на около 300 „противници“ (експерти, наети да атакуват определена мрежа добронамерено, с цел навременно установяване на уязвимостите). Негова основна тема е скоростта, с която хакерите могат да „работят“.
Спонсорирано от Bishop Fox, изследването установи, че за 57% от етичните хакери са били необходими около 10 часа, за да открият успешно някоя „пробойна“, чрез която да влязат в мрежата на организацията-жертва. След пробива почти 64% от хакерите са успели да съберат и да „ексфилтрират“ данни в рамките на петчасов прозорец от време.
Според Том Естън, асоцииран вицепрезидент в Bishop Fox, целта на изследването е да помогне на екипите по сигурността да вземат по-добри решения за отбрана и превенция чрез изследване на мисловните процеси на действащите нападатели.
„С тези данни можем да разберем по-добре „разходите за правене на бизнес“ за нападателите, както и скоростта, с която те работят. Знаейки как действат противниците и как боравят с различни тактики и техники, организациите могат да оценят инвестициите си и да разберат по-добре къде трябва да удвоят контролите, политиките, тестването и защитите“, казва Естън.
28% от етичните хакери в проучването са посочили, че не са сигурни колко бързо са успели да идентифицират използваема пробойна. Сред тези, които са проникнали и са достигнали до желаните данни, около 40% са успели в рамките на 2 часа или по-малко да съберат и ексфилтрират данни.
Една трета от анкетираните споделят, че са успели да „повишат привилегиите си“ или да се придвижат странично между различните цели в мрежата на жертвата в рамките на три до пет часа. Един от петима е успял да постигне това по-бързо – в рамките на два часа или даже по-малко.
„Злонамерените играчи са способни да извършват действия за проникване в рамките на 5-часов прозорец. Независимо дали става въпрос за странично движение, ескалация на привилегиите или за ексфилтрация на данни, екипите за сигурност трябва да измерват способността си да идентифицират пробивите проактивно, да откриват и да реагират възможно най-бързо“, съветва SANS в доклад за резултатите от проучването.