Der durchschnittliche ethische Hacker kann in weniger als 10 Stunden eine Schwachstelle finden, die das Durchbrechen des Netzwerkperimeters ermöglicht, und dann die Umgebung ausnutzen. Penetrationstester, die sich auf die Cloud-Sicherheit konzentrieren, erhalten am schnellsten Zugriff auf die Zielressourcen. Und sobald eine Schwachstelle oder Schwachstelle gefunden wird, können etwa 58 % der ethischen Hacker in weniger als fünf Stunden in eine Umgebung eindringen.
Das geht aus einer Umfrage unter 300 Experten des SANS Institute hervor, die von der Cybersicherheitsdienstleistungsfirma Bishop Fox gesponsert wurde. Dabei wurde auch festgestellt, dass zu den häufigsten von den Hackern ausgenutzten Schwachstellen anfällige Konfigurationen, Softwarefehler und offengelegte Webdienste gehören, so die Befragten.
„Die Ergebnisse spiegeln Kennzahlen für reale böswillige Angriffe wider und verdeutlichen die begrenzte Zeit, die Unternehmen zur Erkennung und Reaktion auf Bedrohungen haben“, sagt Tom Eston, stellvertretender Vizepräsident für Beratung bei Bishop Fox.
„Fünf oder sechs Stunden für den Einbruch sind für mich als ethischer Hacker keine große Überraschung“, sagt er. „Es entspricht dem, was wir bei echten Hackern beobachten, insbesondere bei Social Engineering, Phishing und anderen realistischen Angriffsvektoren.“
Das Umfrage ist der neueste Datenpunkt aus Versuchen von Cybersicherheitsunternehmen, die durchschnittliche Zeit abzuschätzen, die Unternehmen benötigen, um Angreifer zu stoppen und ihre Aktivitäten zu unterbrechen, bevor erheblicher Schaden entsteht.
Das Cybersicherheitsdienstleistungsunternehmen CrowdStrike hat beispielsweise herausgefunden, dass der durchschnittliche Angreifer aus seiner anfänglichen Kompromittierung „ausbricht“, um andere Systeme zu infizieren in weniger als 90 Minuten. Unterdessen betrug die Zeitspanne, die Angreifer in der Lage sind, in den Netzwerken des Opfers zu agieren, bevor sie entdeckt werden, im Jahr 21 2021 Tage, etwas besser als die 24 Tage im Vorjahr. laut dem Cybersicherheitsdienstleister Mandiant.
Organisationen halten nicht mit
Laut der Bishop Fox-SANS-Umfrage sind insgesamt fast drei Viertel der ethischen Hacker der Meinung, dass den meisten Unternehmen die notwendigen Erkennungs- und Reaktionsfähigkeiten fehlen, um Angriffe zu stoppen. Die Daten sollten Unternehmen davon überzeugen, sich nicht nur auf die Verhinderung von Angriffen zu konzentrieren, sondern auch darauf zu achten, Angriffe schnell zu erkennen und darauf zu reagieren, um den Schaden zu begrenzen, sagt Eston von Bishop Fox.
„Irgendwann wird jeder gehackt, daher kommt es auf die Reaktion auf einen Vorfall an und darauf, wie man auf einen Angriff reagiert, und nicht darauf, sich vor jedem Angriffsvektor zu schützen“, sagt er. „Es ist fast unmöglich, eine Person davon abzuhalten, auf einen Link zu klicken.“
Darüber hinaus hätten Unternehmen Schwierigkeiten, viele Teile ihrer Angriffsfläche abzusichern, heißt es in dem Bericht. Laut Penetrationstestern trugen Dritte, Remote-Arbeit, die Einführung der Cloud-Infrastruktur und das erhöhte Tempo der Anwendungsentwicklung erheblich zur Erweiterung der Angriffsflächen von Unternehmen bei.
Dennoch ist der menschliche Faktor bei weitem weiterhin die größte Schwachstelle. Den Befragten zufolge machten Social-Engineering- und Phishing-Angriffe zusammen etwa die Hälfte (49 %) der Vektoren mit der besten Rendite aus Hacking-Investitionen aus. Ein weiteres Viertel der bevorzugten Angriffe sind Angriffe auf Webanwendungen, passwortbasierte Angriffe und Ransomware.
„[Es sollte nicht überraschen, dass Social Engineering- und Phishing-Angriffe jeweils die beiden häufigsten Vektoren sind“, heißt es in dem Bericht. „Das haben wir Jahr für Jahr immer wieder erlebt – Phishing-Meldungen nehmen ständig zu und Angreifer haben mit diesen Vektoren weiterhin Erfolg.“
Nur ein durchschnittlicher Hacker
Die Umfrage ergab auch ein Profil des durchschnittlichen ethischen Hackers, wobei fast zwei Drittel der Befragten zwischen einem und sechs Jahren Erfahrung hatten. Nur jeder zehnte ethische Hacker war weniger als ein Jahr im Beruf tätig, während etwa 10 % zwischen sieben und 30 Jahre Erfahrung hatten.
Die meisten ethischen Hacker haben der Umfrage zufolge Erfahrung in den Bereichen Netzwerksicherheit (71 %), interne Penetrationstests (67 %) und Anwendungssicherheit (58 %), wobei Red Teaming, Cloud-Sicherheit und Sicherheit auf Codeebene am zweithäufigsten folgen Beliebte Arten von ethischem Hacking.
Die Umfrage soll Unternehmen daran erinnern, dass Technologie allein Cybersicherheitsprobleme nicht lösen kann – Lösungen erfordern die Schulung der Mitarbeiter, damit sie auf Angriffe aufmerksam werden, sagt Eston.
„Es gibt keine einzige Blinky-Box-Technologie, die alle Angriffe abwehren und Ihr Unternehmen schützen kann“, sagt er. „Es ist eine Kombination aus menschlichen Prozessen und Technologie, und daran hat sich nichts geändert. Unternehmen tendieren zu den neuesten und besten Technologien … aber dann ignorieren sie das Sicherheitsbewusstsein und schulen ihre Mitarbeiter, Social Engineering zu erkennen.“
Da sich Angreifer genau auf diese Schwachstellen konzentrieren, müssen Unternehmen die Art und Weise ändern, wie sie ihre Abwehrmaßnahmen entwickeln, sagt er.
