SANS Institute: Kritische Angriffstechniken – SANS Institute: Critical Attack Vectors

Die folgenden fünf Angriffstechniken, die in der diesjährigen Keynote auf der RSA vorgestellt wurden, zeigen beunruhigende Trends auf:

• falsch konfigurierten Cloud-Umgebungen,
• steigende Betriebsrisiken in industriellen Kontrollsystemen,
• komplexe regulatorische Dynamiken rund um künstliche Intelligenz und mehr.

Angriffstechnik Nr. 1: Authorization Sprawl in Cloud- und SaaS-Umgebungen

Joshua Wright, SANS Faculty Fellow: „Mit der zunehmenden Verbreitung der Cloud in Unternehmen steigt auch die Komplexität des Identitäts- und Zugriffsmanagements. Die Ausbreitung von Berechtigungen – d. h. Benutzer verfügen über redundante oder übermäßige Berechtigungen in Cloud-, SaaS- und Hybrid-Umgebungen – hat sich zu einer kritischen Schwachstelle entwickelt. Diese übermäßigen Berechtigungen schaffen versteckte Angriffspfade, die von Angreifern ausgenutzt werden können, ohne dass sie sofort Alarm schlagen.

Die Unfähigkeit, den Zugriff in einer verteilten Cloud-Umgebung genau abzubilden und zu überwachen, schwächt die Bemühungen zur Erkennung und Reaktion. Sicherheitsverantwortliche müssen diesem Risiko begegnen, indem sie Endpunktkontrollen auf Browserebene einsetzen, Transparenz über Cloud-Silos hinweg ermöglichen und disziplinierte Protokollierungspraktiken durchsetzen, die forensische Untersuchungen und Entscheidungen in Echtzeit unterstützen.“

Angriffstechnik #2: ICS Ransomware

Tim Conway, SANS Technical Director of ICS & SCADA Programs: „Ransomware-Akteure haben es zunehmend auf die Grundlagen kritischer Infrastrukturen abgesehen. Da Unternehmen zur Rationalisierung von Arbeitsabläufen und zur Verringerung menschlicher Fehler auf die Automatisierung von OT-Umgebungen umsteigen, entfallen häufig die manuellen Ausweichmöglichkeiten, die zur Wiederherstellung nach Systemausfällen erforderlich sind. Dadurch entstehen einzelne Fehlerquellen, die Angreifer ausnutzen können, um wichtige Dienste zu unterbrechen.

Die Zersplitterung zwischen IT- und OT-Teams verschärft das Problem noch weiter, da eine mangelnde Koordination die Effektivität der Reaktions- und Wiederherstellungsbemühungen bei Vorfällen untergräbt. Unternehmen mit industrieller Präsenz müssen kohärente Strategien entwickeln, die Cybersicherheit, betriebliche Widerstandsfähigkeit und funktionsübergreifende Governance aufeinander abstimmen, um diese wachsende Bedrohung zu entschärfen.“

Angriffstechnik Nr. 3: Zerstörerische ICS-Angriffe

Tim Conway, SANS Technical Director of ICS & SCADA Programs: „Staatlich geförderte Angreifer zielen zunehmend auf ICS-Systeme mit der Absicht der Zerstörung, die reale Schäden verursacht. Diese Angriffe konzentrieren sich auf die Manipulation kritischer Sicherheitssysteme, um physische Folgen zu verursachen, oft durch die Identifizierung und Ausnutzung kleinster technischer Schwachstellen, die sich der Standardüberwachung entziehen.

Der evolutionäre Wandel von ICS-Bedrohungen erfordert einen strategischen Wechsel in der Art und Weise, wie kritische Infrastrukturunternehmen an die Cyberabwehr herangehen. Es reicht nicht mehr aus, sich gegen herkömmliche Schadsoftware zu verteidigen; Unternehmen müssen sich auf kinetische Bedrohungen mit weitreichenden betrieblichen Auswirkungen vorbereiten. Dazu gehört die Verbesserung der Transparenz von Kontrollsystemen, die Neubewertung der Integrität von Sicherheitsprotokollen und die Erstellung von Notfallplänen auf Führungsebene für anhaltende Störungsszenarien.“

Angriffstechnik Nr. 4: Gelöschte forensische Artefakte

Heather Mahalik Barnhart, SANS DFIR Curriculum Lead & Senior Director of Community Engagement bei Cellebrite: „Fortgeschrittene Bedrohungsakteure löschen oder vermeiden absichtlich die Erstellung digitaler forensischer Artefakte, was die Analyse nach einem Einbruch erheblich erschwert. Wenn forensische Daten fehlen, verzögern sich die Ermittlungen der Reaktionsteams und sie können nur begrenzt nachvollziehen, wie es zu dem Einbruch kam und wie weit er sich ausgebreitet hat.

Die Angriffe werden immer raffinierter und viele Unternehmen versäumen es ihre Erkennungsstrategien entsprechend anzupassen. Sie müssen den Reifegrad ihrer Reaktion auf Vorfälle erhöhen. Ihre Systeme müssen so konfiguriert werden, dass sie Daten in hoher Qualität erfassen, fortschrittliche DFIR-Tools einsetzen und ihre Teams kontinuierlich für die Arbeit in datenbeschränkten Umgebungen schulen.“

Angriffstechnik Nr. 5: KI-Bedrohungen für die Gesetzgebung

Rob T. Lee, SANS Chief of Research & Head of Faculty: „Mit der zunehmenden Integration von KI in die Cybersicherheitsabläufe wird auch eine neue Risikokategorie eingeführt: die Einhaltung von Vorschriften. Sicherheitsteams setzen KI ein, um Bedrohungen schneller und effizienter zu identifizieren, aber vorgeschlagene KI-bezogene Datenschutzgesetze könnten ihre Möglichkeiten ungewollt einschränken, indem sie bestimmte KI-gesteuerte Überwachungspraktiken als unerlaubte Datenverarbeitung behandeln.

Dieses Spannungsverhältnis zwischen den Vorschriften benachteiligt die Verteidiger, zumal die Angreifer KI für ihre Kampagnen einsetzen. Unternehmen müssen diese rechtlichen Entwicklungen antizipieren und steuern, um ihre Fähigkeit zur Abwehr von KI-gesteuerten Bedrohungen nicht zu gefährden. Ein proaktiver Ansatz für die KI-Governance und die Einhaltung rechtlicher Vorschriften ist der Schlüssel zur Aufrechterhaltung der Sicherheitslage ohne regulatorische Störungen.“

The following five attack vectors presented in this year’s RSA keynote highlight troubling trends:

– Misconfigured cloud environments,

– Increasing operational risk in industrial control systems

– complex regulatory dynamics around artificial intelligence, and more.

Attack Vector #1: Authorization Sprawl in Cloud and SaaS Environments

Joshua Wright, SANS Faculty Fellow: „As enterprise cloud adoption increases, so does the complexity of identity and access management. Privilege sprawl – users having redundant or excessive privileges in cloud, SaaS and hybrid environments – has become a critical vulnerability. These excessive privileges create hidden attack vectors that attackers can exploit without immediately raising an alarm.

The inability to accurately map and monitor access in a distributed cloud environment weakens detection and response efforts. Security leaders must address this risk by deploying browser-level endpoint controls, enabling visibility across cloud silos, and enforcing disciplined logging practices that support real-time forensic investigations and decisions.“

Attack vector #2: ICS ransomware

Tim Conway, SANS Technical Director of ICS & SCADA Programs: „Ransomware actors are increasingly targeting the foundations of critical infrastructure. As organizations move to automate OT environments to streamline operations and reduce human error, the manual workarounds required to recover from system failures are often eliminated. This creates single points of failure that attackers can exploit to disrupt critical services.

Fragmentation between IT and OT teams exacerbates the problem, as a lack of coordination undermines the effectiveness of incident response and recovery efforts. Organizations with an industrial presence must develop a cohesive strategy that aligns cybersecurity, operational resilience, and cross-functional governance to mitigate this growing threat.“

Attack Vector #3: Destructive ICS Attacks

Tim Conway, SANS Technical Director of ICS & SCADA Programs, said, „State-sponsored attackers are increasingly targeting ICS systems with the intent of causing destruction that results in real-world damage. These attacks focus on manipulating critical security systems to cause physical consequences, often by identifying and exploiting minute technical vulnerabilities that evade standard monitoring.

The evolutionary change in ICS threats requires a strategic shift in the way critical infrastructure organizations approach cyber defense. It is no longer enough to defend against traditional malware; organizations must prepare for kinetic threats with far-reaching operational impact. This includes improving visibility into control systems, re-evaluating the integrity of security protocols, and creating executive-level contingency plans for sustained disruption scenarios.“

Attack Vector #4: Deleted Forensic Artifacts

Heather Mahalik Barnhart, SANS DFIR Curriculum Lead & Senior Director of Community Engagement at Cellebrite: „Advanced threat actors intentionally delete or avoid creating digital forensic artifacts, making post-breach analysis much more difficult. In the absence of forensic data, incident response teams are delayed in their investigation and limited in their ability to understand how the intrusion occurred and how far it spread.

Attacks are becoming more sophisticated, and many organizations are failing to adapt their detection strategies accordingly. You need to increase the maturity of your incident response. They need to configure their systems to collect high-quality data, use advanced DFIR tools, and continually train their teams to work in data-constrained environments.

Attack Vector #5: AI Threats to Legislation

Rob T. Lee, SANS Chief of Research & Head of Faculty: „As AI becomes more integrated into cybersecurity operations, a new category of risk is being introduced: regulatory compliance. Security teams are using AI to identify threats faster and more efficiently, but proposed AI-related privacy laws could unintentionally limit their capabilities by treating certain AI-driven surveillance practices as unauthorized data processing.

This regulatory tension puts defenders at a disadvantage, especially as attackers use AI in their campaigns. Organizations must anticipate and navigate these legal developments to avoid compromising their ability to defend against AI-driven threats. A proactive approach to AI governance and legal compliance is key to maintaining security posture without regulatory disruption.“