根据最新的Nuix black report.报告，大多数网络攻击者（71％）可以在10小时内攻克目标组织，18％声称他们可以在一小时内攻克酒店、和餐饮行业的企业组织。

近60％的受访者表示，他们很少遇到无法进入的系统，75％的黑客表示他们攻击后很少被发现，2％表示他们从未被发现。74％的受访者表示很少有企业组织的安全情况让其印象深刻，并且大多数负责检测攻击的安全专业人员都不知道他们在找什么。

该报告基于对16个国家的100多名网络事件应急处理人员和已知黑客的调查，揭示了他们的攻击方法、最受欢迎的攻击以及哪种防御对策最为有效。

当被问及哪些对策最具挑战性时，34％认为是主机系统强化，其次是入侵检测和预防系统（18％），端点安全性（14％）以及蜜罐技术和其他欺骗技术（10％）。

只有8％的人表示，微软的增强缓解体验工具包和防病毒软件是一项挑战，而最具挑战性的是防火墙（5％）和用户访问控制（3％）。

该报告称，一旦攻击者突破了边界，他们可以轻松横向移动，绘制出目标环境并找到他们正在寻找的东西。近四分之三的黑客表示他们可以在不到30分钟的时间内覆盖轨道。

大多数受访者（54％）表示，他们可以在五个小时内找到目标数据，而大量的攻击者可以在不到一个小时内在医院和医疗保健机构（38％）、酒店服务机构（33％ ）和零售业（30％）找到想要的数据。

“这阐释了'糖果安全'的真谛，企业组织的安全外面很脆弱，在中间富有韧性，”报告指出。 “但实现这些有个前提，那就是企业组织专注于强化网络边界，假设组织内部都各尽其职。”

三分之一的黑客表示，他们经常使用社会工程学作为获取目标信息的首选方法，而62％的人倾向于钓鱼攻击，22％的人倾向于面向目标的社会工程攻击，16％的人表示他们最喜欢的社会工程攻击是通过电话。共有17％的人表示他们一直使用社会工程攻击，只有12％表示他们从未使用社会工程攻击。

社会工程攻击是一种流行的攻击手段，受到27％的黑客青睐，仅次于受到28％青睐的网络攻击，再次是网络钓鱼（22％）— 实际上是社会工程攻击的一个子集， 还有水坑攻击（7％）。

信息专员Elizabeth Denham在曼彻斯特CyberUK 2018年的演讲中表示：“在ICO的执法工作中，低技术含量的违规行为非常普遍。我们调查的许多漏洞都是由于人为错误造成的。“

关于可攻击的新工具或新技术周期，37％的黑客称每隔一至两个月就有新工具可供使用，让他们可以定期切换攻击方式，但22％的受访者表示攻击方法过时或者在同时期内更易于检测。

大部分受访者（93％）表示，在进行渗透测试后，客户通常不会修复测试人员或调查人员发现的漏洞（部分或全部）。只有7％的人会修复发现的所有漏洞，然后重新测试。

约18%的受访者表示，他们的许多客户会谈论需要做些什么，但实际上并没有这么做。6%的受访者表示，他们的客户没有做任何事情，笔试只是应付检查或监管要求。

报告称，受访者普遍认为企业组织应该更重视安全。

Nuix首席信息安全官David Smith表示：“该报告证实黑客有大量的可用武器，包括私人开发、开发包、商业工具、开源工具和定制工具以及社交工程。形式多中多样，总有一款他们喜欢的。”

“通过对其攻击心态研究，发现纵深防御的安全方法前所未有的重要，而且没有哪个行业是安全的。”

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。