天下武功,唯快不破。速度,在众多武侠剧中都被刻画成武学精髓之一。而在网络安全领域,无论作为防御者还是攻击者,速度很大程度上也能够决定攻防一方的胜负。
2019年2月19日,美国网络安全技术公司 CrowdStrike 发布了《2019年全球网络安全威胁报告》,其中重点提到了一个关键概念——突破时间(Breakout Time),是指入侵者发起攻击到成功获得系统权限的时间。
CrowdStrike 为170多个国家的客户提供端点安全,威胁情报和事件响应服务。针对2018年30000万多的入侵行为进行分析总结之后,CrowdStrike 区分了五个威胁类别,针对各个地区黑客的攻击速度进行了一次排名,具体如下:
这个数据结果非常令人意外,以俄罗斯为例,在漏洞被曝出之后,黑客最快在不到20分钟的时间里就能够实施行动。而朝鲜黑客可能要花费的平准时间则为2小时20分钟。尽管在 Breakout Time 时间上跟俄罗斯相差很大,但显然我们依然低估了朝鲜黑客的实力,CrowdStrike表示,毕竟朝鲜在追求极具侵略性的网络攻击上有将近20年的经验,突破时间更快就是最好的实力证明。
此外,CrowdStrike还指出,虽然 SPIDER 排名最后,平均突破时间接近10个小时,但这一类别中部分个体行动者的突破时间可能要快得多,依然是不可忽视的部分。
时间就是金钱。
也许在黑客的领域,更少的时间、更快的速度也意味着更大的成功几率。CrowdStrike 提出突破时间这个概念,既是为了揭示企业及国家所面临的网络威胁趋势,也是在警示网络安全从业者需要继续提升应急响应时间,与时间赛跑、与黑客赛跑,亦是网络安全攻防对抗中至关重要的一环。
CrowdStrike 曾提出过“1-10-60规则”的概念,建议企业或者机构安全部门:
在一分钟内检测出威胁。
事件发生后在10分钟内寻找出解决方法。
一小时内修复并控制攻击行为。
显然,从最新的《2019网络安全威胁报告》内容来看,如果你需要花费一个小时的时间来修复安全问题,俄罗斯黑客可能早就已经攻破系统,并且有足够的时间去挖掘有价值的数据,之后全身而退。因此,2019年,如何能够在更快的时间里抢先在黑客行动之前修复漏洞,成为所有安全从业者都应该去思考的问题。
转自freebuf,如有侵权请联系删除