O hacker médio precisa de menos de 10 horas para encontrar vulnerabilidades

Um estudo do SANS Institute e da empresa de segurança da informação Bishop Fox descobriu que o hacker de chapéu branco médio descobre vulnerabilidades que lhes permitem penetrar na rede interna da vítima em menos de 10 horas, em média. Isso pode ser feito mais rapidamente por especialistas envolvidos em testar a segurança dos sistemas em nuvem. Depois de descobrir uma vulnerabilidade ou fraqueza, cerca de 58% dos hackers de chapéu branco penetram na rede interna em menos de 5 horas.

Fonte da imagem: Pixabay

No decorrer do referido estudo, foram entrevistados 300 especialistas na área de segurança da informação. De acordo com os entrevistados, as vulnerabilidades e fraquezas mais comuns que permitem a penetração na rede interna estão associadas a configurações de infraestrutura de TI vulneráveis, deficiências de software e serviços da Web insuficientemente protegidos.

Os resultados do estudo refletem as taxas de ataques maliciosos do mundo real e destacam a quantidade limitada de tempo que as empresas têm para detectar e responder a ameaças cibernéticas, disse Tom Eston, vice-presidente assistente da Bishop Fox. “As cinco ou seis horas de hacking necessárias para um hacker ético não são uma grande surpresa. Isso está de acordo com o que os hackers reais fazem, especialmente por meio de engenharia social, phishing e outros vetores de ataque reais”, disse Eston.

De acordo com os especialistas entrevistados, muitas organizações não têm a capacidade de detectar e responder rapidamente a ataques de hackers. Bishop Fox acredita que a pesquisa da empresa deve convencer as organizações a se concentrarem na prevenção de ataques e na proteção de seus sistemas de TI. Para minimizar os danos, eles precisam responder rapidamente a esses incidentes. Nota-se que o fator humano continua sendo o ponto mais vulnerável, pois cerca de 49% dos ataques bem-sucedidos são realizados utilizando ferramentas de engenharia social e phishing.

Também no decorrer do estudo, foi compilado um perfil do hacker médio de “chapéu branco”. Quase dois terços dos entrevistados têm de 1 a 6 anos de experiência, apenas 1 em cada 10 hackers éticos estão na profissão há menos de um ano e cerca de 30% têm de 7 a 20 anos de experiência. A maioria dos hackers de chapéu branco tem experiência em segurança de rede (71% dos entrevistados), teste de penetração interna (67% dos entrevistados) e segurança de aplicativos (58% dos entrevistados).