IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Experten der CyberArk Research Labs haben zahlreiche Cyber-Angriffe detailliert analysiert. Dabei habe sich ein typisches Angriffsszenario in vier Schritten herauskristallisiert, das hier beschrieben wird. Außerdem gibt das Sicherheitsunternehmen Tipps zur Abwehr zielgerichteter Attacken.
Schritt 1: Diebstahl und Nutzung von Zugangsdaten
Prinzipiell seien zunächst zwei Angriffsarten zu unterscheiden: der Insider- und der externe Angriff. Der Unterschied liege darin, dass sich der Insider bereits innerhalb des Unternehmensnetzes befindet und über einen Account-Zugriff mit Zugangsdaten verfügt.
Der externe Angreifer hingegen habe keinen Account und müsse erst den Perimeter-Schutzwall überwinden. Hierfür gibt es mehrere Möglichkeiten, weit verbreitet: Phishing-Attacken. Die weiteren Schritte in der Fortsetzung des Angriffs sind identisch – gleichgültig, ob ein Insider oder Externer der Akteur ist: immer geht es dann um die missbräuchliche Nutzung von Zugangsdaten.
Schritt 2: Erweiterung der Privilegien
Gelangt der Angreifer in den Besitz von Zugangsdaten von Usern, die nur eingeschränkte Rechte besitzen, bestehen zwei Möglichkeiten. Erstens kann er versuchen, die mit einem bestimmten Account verbundenen Privilegien zu erweitern, indem er Schwachstellen des Betriebssystems ausnutzt. Zweitens kann er auch versuchen, auf einen anderen Account mit erweiterten Rechten zuzugreifen. Ein beliebtes Angriffsziel sind dabei lokale Administrator-Konten. Oft wird dabei ein identisches Passwort für alle Geräte der jeweiligen Plattform verwendet. Ein derart weitverbreitetes Passwort bietet ein einfaches Ziel für fortschrittliche Angriffe.
Schritt 3: Zugriff auf Zielsysteme
Schritt 3 lässt sich in drei Stufen untergliedern.
- Zunächst testet der Angreifer, auf welche Systeme er mit den privilegierten Zugangsdaten zugreifen kann.
- Anschließend verschafft er sich Zugriff auf weitere Accounts, indem er zum Beispiel Passwort-Hashes entwendet.
- In einem letzten Schritt versucht der Angreifer dann, auf das Zielsystem zuzugreifen.
Ist dies nicht möglich, wiederholt er die Stufen 2 und 3. Es ist dabei durchaus keine Seltenheit, dass der Angreifer diesen Vorgang mehrfach wiederholt, um letztendlich Zugang zum Zielsystem zu erhalten.
Schritt 4: Vollendung des Angriffs
Im letzten Schritt erreicht der Angreifer sein Ziel. Beispiele sind der Diebstahl vertraulicher Daten oder geistigen Eigentums oder die Unterbrechung des Geschäftsbetriebs durch Lahmlegen unternehmenskritischer Systeme und Applikationen.
Sobald Schritt 4 vollzogen ist, ist für Unternehmen der Schadensfall eingetreten. Selbst wenn sie einen Sicherheitsvorfall auf dieser Stufe bemerken – zum Beispiel einen laufenden Datenabfluss –, kann es zu spät sein, um einen Schaden vollständig auszuschließen. Deshalb ist es zwingend erforderlich, einen Angriff so früh wie möglich aufzuspüren und zu stoppen.
„Die jüngste Vergangenheit hat gezeigt, dass es mit herkömmlichen Sicherheitsmaßnahmen unmöglich ist, alle Angreifer außerhalb des eigenen Perimeters zu halten. Liegt ein Insider-Angriff vor, ist das ohnehin nicht möglich“, erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. „Zwar ist Perimeter-Sicherheit wichtig, aber Unternehmen sollten sich nicht ausschließlich darauf verlassen, Angriffe am Schutzwall stoppen zu können. Ebenso wichtig ist es, Attacken in späteren Phasen zuverlässig zu unterbrechen. Und dafür gibt es mehrere Best Practices.“
Best Practices für die erfolgreiche Abwehr zielgerichteter Attacken:
• Sichere Speicherung privilegierter Zugangsdaten: Alle privilegierten Zugangsdaten, einschließlich Passwörter und SSH-Keys, müssen sicher gespeichert werden und eine Zugriffsmöglichkeit sollte nur mit Multifaktor-Authentifizierung bestehen.
• Automatische Änderung privilegierter Zugangsdaten: Alle privilegierten Zugangsdaten müssen regelmäßig geändert werden.
• Isolierung und Überwachung privilegierter Account-Sessions: Privilegierte Sessions von Administratoren sollten in einer vollständig isolierten und überwachten Umgebung erfolgen, um eine mögliche Ausbreitung von Malware zu verhindern.
• Richtlinienbasierte Einschränkung von Administratorrechten und Endpunkt-Sicherung: Administratorrechte sollten aufgabenbezogen nur granular vergeben werden, und auch an Endpunkten müssen flexible Least-Privilege-Richtlinien für Business- und administrative Anwender umgesetzt werden.
„Zielgerichtete Attacken sind fast ausschließlich auf eine missbräuchliche Nutzung privilegierter Accounts zurückzuführen. Ihre Sicherheit muss deshalb bei der Konzeption einer Abwehrstrategie immer im Vordergrund stehen. Nur so kann ein Unternehmen den aktuellen, zielgerichteten Angriffen trotzen“, so Kleist.
Weitere Informationen zu möglichen Angriffsszenarien und geeigneten Abwehrmaßnahmen finden sich im CyberArk-White-Paper „Know the Path of an Attack and Block it with Privileged Account Security“.
