Blogg
29 minuter: Det krympande fönstret mellan initial åtkomst och fullständig access
29 minuter, så lång tid tar det i genomsnitt för en angripare att gå från initial åtkomst till full kontroll i ditt nätverk. Med stulna inloggningsuppgifter, oskyddade enheter och standardverktyg har hotaktörerna blivit snabbare än någonsin. Är ditt cyberskydd rustad att svara lika snabbt?
David Kasabji
Head of Threat Intelligence, Consica Group
Hur kan jag hjälpa dig?
Jörgen Thunholm
Sales Specialist Cybersecurity
I CrowdStrike 2026 Global Threat Report stack en siffra ut över allt annat: 29 minuter. Det är den genomsnittstiden det tar för en angripare att gå från initial access till lateral movement inom ett komprometterat nätverk. CrowdStrikes mätte den snabbaste eCrime breakout time till 27 sekunder. Trenden är tydlig: hotaktörerna blir snabbare, och de gör det genom att arbeta smartare, inte hårdare.
Vad driver accelerationen?
Svaret är inte ett enda genombrott eller en ny zero-day-sårbarhet. Det är mycket mer vardagligt och därför potentiellt farligare.
Tokens & VPN-uppgifter för några dollar
Infostealers har industrialiserat stöld av inloggningsuppgifter. Vanliga malware som Lumma, Raccoon och RedLine fortsätter att samla in autentiseringsuppgifter i stor skala. För att sedan sälja dem på en blomstrande svart marknad där giltiga session tokens och VPN-uppgifter säljs för några dollar styck. När du kan köpa fungerande inloggningsuppgifter till ett företagsnätverk på en Telegram-kanal, finns det ingen anledning att lägga dagar på att skapa en spear-phishing-kampanj eller att länka sårbarheter. Problemet med initial access har i princip outsourcats till en automatiserad leveranskedja.
Hackad en lördag via skugg-IT
Ohanterade enheter är vanlig svaghet. Det finns en avgörande detalj i hur dessa autentiseringsuppgifter hamnar på svartamarknaden. Infostealers behöver inte alltid kompromettera en härdad företagsenhet. De behöver ofta bara landa på en privat datorn som används för att kolla företagets Slack på en lördag i soffan. Dessa hemmadatorer ligger utanför företagets EDR, endpoint hardening-policyer och patchningsrutiner. De kör i bästa fall konsument-antivirus om någon alls, delar webbläsare med familjemedlemmar som installerar tveksamma tillägg, och ackumulerar månader av opatchade sårbarheter. När en infostealer som Lumma körs på en sådan maskin, samlar den inte bara in en autentiseringsuppgifer. Den söker upp varje sparat lösenord, session cookie och browser token på systemet, inklusive de som låser upp företagets SaaS-plattformar, molnkonsoler och VPN-gateways.
Resultatet? En infostealer-distribution för 200 dollar på en ohanterad hemmadator kan ge samma åtkomst som ett sofistikerat, riktat intrång. Samtidigt som organisationens säkerhetsstack ser ingenting förrän autentiseringsuppgifterna dyker upp i en intrångsrapport. Detta är den blinda fläcken som gör 29-minuters-tidslinjen möjlig. Angriparen loggar in med stulna inloggningsuppgifter från ett initialt intrång på en enhet som SOC inte ens vet existerar.
Verktyg i operativsystemet är en attackyta
Legitima verktyg är vassa verktyg i angriparnas verktygslåda. CrowdStrikes fynd stämmer överens med en bredare branschobservation: hotaktörer ”lever av landet” (living off the land) i allt högre utsträckning. Istället för att släppa anpassad malware som kan utlösa en EDR-varning, utnyttjar angripare verktyg som redan finns i miljön. Till exempel PowerShell, WMI, RDP och fjärrhanteringsprogram som AnyDesk och ConnectWise. Vidare bekräftar CrowdStrikes data denna förskjutning och rapporterade en 70-procentig ökning av hands-on-keyboard-intrång som i hög grad förlitade sig på inbyggda operativsystemsverktyg. Ironin är påtaglig: de verktyg som används för att hantera infrastrukturen är samma som möjliggör att det hackas.
Fokusförflyttning från lösenord till identitet
Identitet har blivit den nya attackvektorn. Båda rapporterna betonar att phishing och social engineering fortfarande är de dominerande metoderna för initial access, men målet har förskjutits. Angripare är inte bara ute efter lösenord, de är ute efter identitet. Tekniker för att kringgå MFA, SIM swapping, stöld av session tokens och adversary-in-the-middle (AiTM)-ramverk som EvilProxy har förvandlat autentisering från en barriär till en hastighetsdämpare. När en angripare kontrollerar en giltig identitet, ärver de alla behörigheter och förtroenderelationer som den identiteten bär.
Security Operations Center (SOC)
Varför 29 minuter betyder mer än du tror
Betydelsen av denna siffra går bortom en klickvänlig rubrik. De flesta Security Operations Centers (SOC) mäter sin mean time to detect (MTTD) i timmar, inte minuter. Branschmätningar från SANS och Mandiant placerar median dwell times från dagar till veckor. Siffror som redan representerar en betydande förbättring jämfört med de månadslånga dwell times som rapporterades för ett decennium sedan. Men när angriparens breakout window mäts i minuter och försvararens detekteringsfönster mäts i timmar, fungerar inte matematiken.
Denna klyfta har praktiska konsekvenser. En breakout time på 29 minuter innebär att när en SOC-analytiker prioriterar en varning, kan angriparen redan ha eskalerat behörigheter, etablerat persistence och börjat exfiltrera data eller förbereda ransomware. Det traditionella arbetsflödet alert → triage → investigate → contain var designat för en värld där försvararna hade mer tid. Men den världen är på väg att försvinna.
I Conscia SOC är vi stolta över att vi för närvarande har en genomsnittlig MTTD på 15 minuter. Och vi fortsätter att minska den allt eftersom vi utvecklas. Något vi har uppnått genom att utnyttja högkvalitativa Threat Intelligence-källor, precisionsdetektering (inte bara förlita oss på leverantörslogik) och smart automatisering.
Obekväma sanninar
Det finns några obekväma sanningar här som förtjänar en ärlig diskussion:
- Förebyggande är inte ett löst problem, men enbart detection är inte heller svaret. Hastigheten hos moderna intrång kräver att organisationer investerar lika mycket i att minska attackytor som i att övervaka den
- Automatisering är inte valfritt. När motståndaren opererar på en 29-minutersklocka är det orealistiskt för de flesta organisationer att förvänta sig att en mänsklig analytiker ska kunna detektera, utreda och begränsa inom det fönstret.
- Threat intelligence måste operationaliseras, inte bara konsumeras. Att veta att infostealers är den primära leveranskedjan för initial access brokers är bara värdefullt om den kunskapen driver handling.
Vad händer om 12 månader?
Kanske är den viktigaste lärdomen från 29-minuter vad den representerar, utvecklingen av angriparnas kapacitet. Detta är inte en mätning av statliga aktörer med stora resurser. Detta över ett brett spektrum av hotaktörer, stora som små. Verktygen, taktikerna och infrastrukturen som möjliggör denna svindlande hastighet är lättillgänglig. Om snitt tiden är 29 minuter idag, vad kommer den att vara om tolv månader? Och hänger ni med?
Fönstret mellan initialt intrång och skada krymper. De organisationer som kommer att klara denna förändring är de som behandlar hastighet som en designprincip i sin arkitektur, i sin detektionslogik och sina responsflöden redan idag.
Conscia MDR
Denna text publicerades ursprungligen i Conscia ThreatInsights Newsletter.
Om författaren
David Kasabji
Head of Threat Intelligence, Consica Group
David Kasabji är Head of Threat Intelligence på Conscia Group. Med ansvar för att leverera relevant information om cyberhot i till stöd Conscia SOC & MDR samt till offentliga medieplattformar. Hans arbete inkluderar att analysera och konstruera Threat Intel från olika datakällor, reverse engineering av skadlig programvara, skapa TTP:er baserade på inhämtad information och publicera FoU-innehåll. Han är certifierad GCTI och GMON.
Relaterat
