Wenn wir aus der Geschichte der Cyberbedrohungen irgendetwas gelernt haben, dann ist das die Erkenntnis, dass auf jede Aktion eine Reaktion folgt: Die kriminellen Akteure machen einen Schritt – wir kontern diesen Schritt. Anschließend lassen sich die kriminellen Akteure wieder etwas Neues einfallen und machen den nächsten Schritt.
Dieser „neue Schritt“ ist derzeit die Schwachstelle im Zusammenhang mit Identitäten. Angreifer sind sich bewusst, dass sie die IT-Ressourcen eines Unternehmens selbst dann kompromittieren können, wenn das Netzwerk und alle Endpunkte und Geräte abgesichert sind. Dazu müssen sie lediglich Zugriff auf ein einziges privilegiertes Konto erlangen.
Dabei stehen ihnen zahlreiche Möglichkeiten zur Verfügung. Laut einer Untersuchung für den Forschungsbericht „Analyse von identitätsbezogenen Risiken (AIR)“ von Proofpoint besitzt in Unternehmen jeder sechste Endpunkt ein ausnutzbares identitätsbezogenes Risiko.
„Die Situation ist schnell eskaliert“
Der aktuelle Verizon Data Breach Investigations Report (Untersuchungsbericht zu Datenkompromittierungen) geht auf die Risiken durch komplexe Angriffe mit Systemeindringungen ein und betont, dass Angreifer sofort nach dem Eindringen in Ihre Umgebung gestoppt werden müssen. Sobald die Angreifer Zugriff erlangt haben, versuchen sie, ihre Rechte zu erweitern und sich festzusetzen. Außerdem suchen sie nach Möglichkeiten, sich im Unternehmen lateral zu bewegen, um ihre Ziele zu erreichen – welche auch immer das sind.
Dieses Problem verschärft sich, denn die Verwaltung von Unternehmensidentitäten und der zu ihrem Schutz eingesetzten Systeme ist komplex. Zudem verändern sich Konten und deren Konfigurationen permanent.
Angreifer setzen zunehmend auf Angriffe mit Kontoübernahmen (Account Takeover, ATO) und dabei vor allem auf privilegierte Identitäten, mit denen sie Unternehmen schnell und einfach kompromittieren können – zumindest verglichen mit dem Aufwand und den Kosten, die zum Ausnutzen einer Software-Schwachstelle (einer gängigen Schwachstelle oder CVE) erforderlich sind.
Wir müssen damit rechnen, dass sich dieser Trend fortsetzt, da ATOs die Verweildauer von Angreifern von einigen Monaten auf wenige Tage verkürzt haben. Gleichzeitig besteht nur ein geringes Risiko, dass der Angriff erkannt wird, bevor die kriminelle Aktivität abgeschlossen wird.
Wie können IT- und Sicherheitsexperten und ihre Teams reagieren? Ein grundlegender Ansatz kann helfen.
Neuer Fokus: Schutz von Identitäten
Sicherheitsteams haben die Aufgabe, die Netzwerke, Systeme und Endpunkte in ihrer Infrastruktur zu schützen, und haben in der Vergangenheit kontinuierlich ihren Technologiebestand erweitert, um Anwendungen zu schützen. Jetzt müssen wir uns mehr darauf konzentrieren, wie wir den Schutz von Identitäten verbessern können. Deshalb ist es heute wichtig, eine Strategie mit Erkennung und Abwehr identitätsbezogener Bedrohungen (Identity Threat Detection and Response, ITDR) umzusetzen.
Wir neigen dazu, Sicherheit in kriegerischen Begriffen zu denken. In diesem Fall sind Identitäten der nächste „Hügel“, den wir verteidigen müssen. Ebenso wie wir in der Vergangenheit bei den Hügeln Netzwerk, Endpunkte und Anwendungen vorgegangen sind, sollten wir grundlegende Cyberhygiene und Sicherheitsprozesse anwenden, um identitätsbezogene Risiken zu verhindern.
Dabei bieten Präventions- und Erkennungslösungen Vorteile, wobei erstere bevorzugt werden sollten (zumal sie sich auch kostengünstiger implementieren lassen). Mit anderen Worten: Wenn wir diesen neuen Hügel in Angriff nehmen, um uns gegen identitätsbasierte Bedrohungen zu verteidigen, geschieht das mit dem Hintergedanken, dass mit wenig aufwändigen Präventionsmaßnahmen sehr aufwändige Behebungsmaßnahmen vermieden werden können.
Verwaltung von Identitäten als Schwachstellen
Unternehmen sollten Identitätsschwachstellen, die immer wieder angegriffen werden, auf die gleiche oder ähnliche Weise beheben wie die Millionen anderen Schwachstellen bei anderen Asset-Typen wie Netzwerk, Host, Anwendungen usw.
Wir müssen identitätsbezogene Risiken als eigenen Asset-Typ betrachten, dessen Schwachstellen bei der Priorisierung der Behebungsmaßnahmen einbezogen werden sollten. Dazu müssen Sie in der Lage sein, Ihre Umgebung kontinuierlich auf gefährdete Identitäten zu überwachen, und wissen, warum sie gefährdet sind.
Proofpoint Spotlight™ kann hier helfen, da die Lösung folgende Vorteile bietet:
- Kontinuierliche Erkennung identitätsbezogener Bedrohungen sowie Schwachstellenverwaltung
- Automatische Priorisierung basierend auf den mit ihnen verbundenen Risiken
- Vollständiger Überblick über den Kontext jeder Schwachstelle
Zudem bietet Proofpoint Spotlight die Möglichkeit, Schwachstellen vollständig automatisch zu beheben, wobei durch die Behebung keine Unterbrechung der Geschäftsabläufe droht.
Priorisierung von Behebungsmaßnahmen bei allen Asset-Typen
Bei den meisten Unternehmen bestehen bei den verschiedenen Asset-Typen Millionen Schwachstellen, wobei die meisten Schwachstellen nur geringe Risiken bergen. Daher müssen Maßnahmen zur Behebung von Bedrohungen und Schwachstellen unbedingt priorisiert werden. Dabei sollten folgende Faktoren eine wichtige Rolle spielen:
- Die Bedeutung der gefährdeten Assets für die Geschäftsabläufe bzw. das Unternehmen
- Die Wahrscheinlichkeit, dass die Schwachstelle tatsächlich ausgenutzt wird
- Die Zuverlässigkeit und Effektivität eventueller kompensierender Maßnahmen, die das Risiko durch diese Schwachstelle beheben
Wenn Sie diese Faktoren auswerten, landen Risiken und Schwachstellen durch privilegierte Identitäten häufig ziemlich weit oben auf der Prioritätenliste.
Angreifer nutzen privilegierte Konten, um Schaden bei den wichtigsten Systemen in Unternehmen anzurichten. Und da diese Konten bei vielen böswilligen Akteuren im Fokus stehen, ist die Wahrscheinlichkeit gestiegen, dass sie tatsächlich ausgenutzt werden. Gleichzeitig werden die meisten ATOs nicht erkannt, sodass zur Beseitigung der Risiken kompensierende Maßnahmen nicht ausreichen.
Zum Glück lassen sich viele identitätsbezogene Risiken durch privilegierte Identitäten leicht beheben. Ein Ansatz besteht darin, ungesicherte Anmeldedaten von Endpunkten zu entfernen. Vergleichen Sie diesen einfachen Schritt mit dem Aufwand, der zum Beheben von Software-Schwachstellen (CVEs) notwendig ist und häufig kostenintensive Code-Änderungen und vollständige Regressionstests erfordert.
Die Verwaltung identitätsbezogener Bedrohungen und Schwachstellen ist eine kompensierende Maßnahme für zahlreiche nicht behobene CVEs, da böswillige Akteure in den ersten Phasen eines Angriffs häufig Software-Schwachstellen ausnutzen. Wenn dieser Schritt erfolgreich war, müssen die Angreifer dennoch ihre Zugriffsrechte ausweiten.
Deshalb eignet sich die Behebung von Identitätsschwachstellen für viele nicht behobene CVEs als kompensierende Maßnahme, da sie verhindert, dass Angreifer die Berechtigungen erweitern und den Angriff weiter fortsetzen können.
Webinar: Identity Is the New Attack Surface (Identität ist die neue Angriffsfläche)
Sehen Sie sich unser On-Demand-Webinar an, um mehr über dieses Thema zu erfahren. Außerdem erklären unsere Cybersicherheitsexperten, wie Ihr Unternehmen mit einer IDTR-Lösung Identitätsschwachstellen präventiv beheben kann.
Lesen Sie unser kostenloses Magazin New Perimeters
Erfahren Sie in unserem Magazin „New Perimeters“ zum Thema „Identität ist die neue Angriffsfläche“, wie Einblicke in Ihre Schwachstellen und gefährdeten Identitäten dazu beitragen können, die Angriffskette zu unterbrechen.