大多数攻击者只需要不到十小时就能找到漏洞

只需要不足10个小时，道德黑客就能找出可用来突破网络边界的漏洞，进而利用整个环境；而渗透测试人员专注云安全，能以最快速度获得目标资产的访问权限。此外，一旦发现漏洞或缺陷，大约58%的道德黑客都能在不到五小时的时间里突破目标环境。

以上数据出自网络安全机构SANS Institute对300位专家进行的调查访问，而在网络安全服务公司Bishop Fox的赞助下，这家知名网安机构还发现，黑客最常利用的漏洞还包括不当配置、软件缺陷和暴露Web服务。

Bishop Fox助理副总裁Tom Eston表示，调研结果反映了现实世界恶意攻击的各项指标，凸显出公司检测并响应威胁的时间非常有限。

“我自己也是一名道德黑客，所以我很清楚，五到六个小时并不令人意外。”Eston说道，“这很符合真实黑客的所作所为，尤其是在社会工程、网络钓鱼和其他现实攻击手段的加持下。”

这份调研结果是网络安全公司估算企业有多少时间阻止攻击者和防止造成重大损害的最新数据。

例如，网络安全服务公司CrowdStrike就发现，攻击者从初始入侵“跃升”至感染其他系统所需的平均时间就不到90分钟。同时，根据网络安全服务公司Mandiant的调研结果，攻击者在受害者网络上隐秘活动的时长在2021年是21天，稍好于2020年的24天。

企业未能跟上攻击者的脚步

Bishop Fox和SANS的调研结果表明，总体而言，近四分之三的道德黑客认为大多数企业缺乏阻止攻击所需的检测和响应能力。面对这一数据，企业应不仅仅关注预防攻击，还应该旨在快速检测和响应攻击，从而限制损害。

“大家最终都会被黑的，所以，事情不在于防住每一种攻击途径，而在于事件响应和如何响应攻击。”Eston表示，“想要阻止人家点击链接几乎是不可能的。”

此外，报告声称，公司难以防护住自身攻击面的很多部分。渗透测试人员称，第三方、远程办公、采用云基础设施，应用程序开发速度加快等等，所有这些都极大扩张了企业的攻击面。

但是，到目前为止，人的因素仍然是最大的漏洞。受访者表示，社会工程和网络钓鱼攻击这两项，占了黑客投资回报最高的攻击方法的半壁江山（49%）。Web应用攻击、基于密码的攻击，以及勒索软件，则占了黑客首选攻击方法的另外四分之一。

“社会工程和网络钓鱼攻击位列攻击方法榜单头两名毫不令人意外。”报告中写道，“每年都这样，见怪不怪了：网络钓鱼报告持续增加，黑客也仍旧通过这些途径获得成功。”

普通黑客什么样

调研也给出了普通道德黑客的情况概述，近三分之二的受访者具备一至六年的经验。仅十分之一的道德黑客从业经验不足一年，而约30%的道德黑客具备七到20年的经验。

调研结果表明，大多数道德黑客具有网络安全（71%）、内部渗透测试（67%）、应用程序安全（58%）方面的经验，紧随其后的几个道德黑客热门领域是红队、云安全和代码级安全。

Eston称，面对这份调研结果，公司应谨记：仅靠技术无法解决网络安全问题，解决方案中还应包括培训员工的安全意识。

他表示：“没有哪种炫酷的技术可以击退所有攻击并保证公司安全。安全靠的是人员、流程和技术的结合，这一点始终未变。企业偏好最新、最棒的技术……但他们忽视了安全意识，忽视了培训员工识别社会工程攻击。”

Eston表示，由于攻击者正是针对这些弱点，所以企业需要改变自己夯实防御的方式。

文章来源：数世咨询

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END