SANS-Studie

5 Stunden reichen, um Sie zu hacken

Eine aktuelle Umfrage unter Ethical Hackern gibt nicht nur Aufschluss über die Initial-Access-Methoden, sondern auch darüber, wie ein End-to-End-Angriff abläuft - und wie lange das im Regelfall dauert.
Von  und
CSO | 04. Oktober 2022 05:29 Uhr
Eine Studie des SANS Institute zeigt: Das Gros der Unternehmensnetze hält Angreifer nicht lange auf.
Eine Studie des SANS Institute zeigt: Das Gros der Unternehmensnetze hält Angreifer nicht lange auf.
Foto: DrDrawer - shutterstock.com

Das SANS Institute befragte im Rahmen seiner Studie "Think Like a Hacker: Inside the Minds & Methods of Modern Adversaries" in Zusammenarbeit mit dem Sicherheitsunternehmen Bishop Fox 300 Ethical Hacker. Diese nehmen verschiedene Rollen in Unternehmen ein und weisen unterschiedliche Erfahrungsstände und Spezialisierungen in diversen Bereichen der Cybersicherheit auf. Einige zentrale Erkenntnisse der Untersuchung:

  • Hacker brauchen im Durchschnitt fünf Stunden für jeden Schritt einer Angriffskette (Aufklärung, Ausnutzung, Privilege Escalation und Datenexfiltration).

  • Ein durchgängiger Angriff dauert weniger als 24 Stunden.

  • Etwa 40 Prozent der Befragten geben an, in die meisten, wenn nicht sogar in alle von ihnen getesteten Umgebungen einbrechen zu können.

  • Fast 60 Prozent geben an, fünf Stunden oder weniger zu brauchen, um in eine Enterprise-Umgebung einzudringen, sobald sie eine Schwachstelle gefunden haben.

Die Studie unterstreicht die Notwendigkeit für Unternehmen, die durchschnittliche Zeit bis zur Entdeckung und Eindämmung eines Angriffs zu optimieren - insbesondere vor dem Hintergrund, dass Ethical Hacker bei Penetrationstests und Red-Teaming-Einsätzen Limitationen unterliegen, wenn es um einsatzbare Techniken geht. Der Einsatz von kriminellen Black-Hat-Techniken dürfte die Erfolgsquoten und Geschwindigkeit von Angriffen noch einmal deutlich verbessern.

Hacker finden Schwachstellen in Sekunden

Die SANS-Forscher stellten den Hackern auch die Frage, wie viel Zeit sie normalerweise benötigen, um eine Schwachstelle innerhalb einer IT-Umgebung zu finden. Die Antworten:

  • 57 Prozent der Ethical Hacker brauchen zehn Stunden oder weniger,

  • 16 Prozent erledigen das in sechs bis zehn Stunden,

  • 25 Prozent kommen mit drei bis fünf Stunden aus,

  • 11 Prozent benötigen lediglich ein bis zwei Stunden und

  • 5 Prozent weniger als eine Stunde.

Mehr als zwei Drittel der befragten Pentester geben an, bei internen Sicherheitsteams zu arbeiten oder das in der Vergangenheit getan zu haben. Die Hälfte der Befragten war zudem bereits als Berater für Security-Anbieter tätig und 90 Prozent verfügen über eine Zertifizierung im Bereich Informationssicherheit. "Unsere Daten zeigen, dass die Mehrheit der Befragten mit Erfahrung in den Bereichen Anwendungssicherheit, Netzwerksicherheit und interne Pen-Tests in der Lage war, eine ausnutzbare Schwachstelle innerhalb von fünf Stunden oder weniger zu finden", konstatiert Matt Bromiley, Ausbilder für digitale Forensik und Incident Response beim SANS Institute, im Bericht zur Studie.

Danach gefragt, welche Faktoren am ehesten ausnutzbare Angriffsflächen schaffen, nennen die Studienteilnehmer:

  • Verbindungen zu Drittanbietern (15 Prozent),

  • Remote-Arbeit (12 Prozent),

  • die Einführung von Cloud-Infrastrukturen (11 Prozent),

  • erhöhtes Tempo bei Anwendungsentwicklung und -bereitstellung (10 Prozent) sowie

  • Mergers & Acquisitions (10 Prozent).

Die häufigsten Angriffsflächen werden dabei eröffnet durch:

  • Fehlkonfigurationen (73 Prozent),

  • ungeschützte Webdienste (64 Prozent),

  • anfällige Software (64 Prozent),

  • offengelegte, sensible Daten (60 Prozent) und

  • Probleme bei der Authentifizierung oder Zugriffskontrolle (51 Prozent).

"Wir haben unsere Befragten mit Cloud-Sicherheitserfahrung auch gefragt, wie oft sie auf unsachgemäß konfigurierte oder unsichere Cloud/IaaS-Ressourcen gestoßen sind", meint Bromiley. "Dabei gibt es eine gleichmäßige Verteilung zwischen 'die Hälfte der Zeit' und 'häufiger als nicht'. Es sind nur kleine Prozentsätze an beiden Enden, die selten (4,6 Prozent) oder immer (8 Prozent) falsch konfigurierte Public-Cloud- oder IaaS-Ressourcen sehen. Diese Statistiken belegen die bedauerliche Tatsache, dass Unternehmen Anwendungen entwickeln und bereitstellen, die ausnutzbare Schwachstellen, Unsicherheiten und falsche Konfigurationen aufweisen."

Auch sonst verlieren Angreifer keine Zeit

Der oben genannte Zeitrahmen von weniger als fünf Stunden scheint auch für alle anderen Phasen eines Cyberangriffs zu gelten:

  • 57 Prozent beziffern den durchschnittlichen Zeitrahmen eines End-to-End-Angriffs auf weniger als 24 Stunden.

  • 36 Prozent der Befragten geben an, innerhalb von drei bis fünf Stunden nach dem ersten Eindringen ihre Rechte erweitern und sich lateral durch das Netzwerk bewegen zu können.

  • 20 Prozent schätzen, das innerhalb von zwei Stunden oder weniger bewerkstelligen zu können.

  • 22 Prozent der Pentester brauchen für Datenerfassung und -exfiltration drei bis fünf Stunden.

  • 24 Prozent benötigen dafür zwischen ein und zwei Stunden und

  • 16 Prozent weniger als eine Stunde.

"Ob es sich nun um Lateral Movement, Privilege Escalation oder Datenexfiltration handelt - Sicherheitsteams sollten fähig sein, proaktiv zu identifizieren und so schnell wie möglich zu reagieren", kommentiert der SANS-Experte.

Eine potenziell gute Nachricht für Sicherheitsteams: Nur 38 Prozent der Studienteilnehmer sind "meistens" erfolgreich darin, zu einer neuen Angriffsmethode überzugehen, mit der die Verteidigungsmaßnahmen, die den ursprünglichen Angriffsvektor blockieren, umgangen werden können. Das deutet darauf hin, dass sich gute Detection-und-Prevention-Praktiken auszahlen, wenn es darum geht, Cyberangriffe abzuwehren - zumal Cyberkriminelle in der Regel den Weg des geringsten Widerstands wählen und zu einem leichteren Ziel weiterziehen, wenn sie keinen Erfolg haben.

Leider geben 75 Prozent der Befragten auch an, dass nur wenige oder einige Unternehmen über die nötigen Erkennungs- und Reaktionsmöglichkeiten verfügen, um Angriffe wirksam abzuwehren. Fast 50 Prozent sind davon überzeugt, dass Unternehmen nur mäßig oder gar nicht in der Lage sind, cloud- und applikationsspezifische Angriffe zu erkennen und zu verhindern.

Beim Blick auf die Tools, die die Studienteilnehmer für ihre Kompromittierungsversuche nutzen, zeigt sich ein klares Bild:

  • 59 Prozent verlassen sich dabei auf Open-Source-Tools,

  • 14 Prozent nutzen öffentliche Exploit-Packs,

  • 6 Prozent verwenden private Exploits und

  • 7 Prozent selbstgeschriebene, benutzerdefinierte Tools.

Sicherheitsteams können daraus großen Nutzen ziehen und sich auf die Verteidigung gegen bekannte und öffentlich verfügbare Tools und Exploits fokussieren.

Sehr interessant ist darüber hinaus auch der Blick auf die fünf Angriffsvektoren, von denen die befragten Penetration Tester den höchsten Return-On-Investment erwarten:

Dieser Beitrag basiert in Teilen auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Lucian Constantin arbeitet als Korrespondent für den IDG News Service.
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.