Thorsten Henning

ist Senior Systems Engineering Manager bei Palo Alto Networks.

SicherheitSicherheitsmanagement

Diebstahl und Missbrauch von Zugangsdaten als Sicherheitsrisiko

Im Blog für silicon.de stellt Thorsten Henning einen Drei-Komponenten-Ansatz für Cybersicherheit vor. Nach Ansicht des Senior Systems Engineering Manager bei Palo Alto Networks bietet der eine zuverlässige Möglichkeit, um die Mehrheit der Phishing-Angriffe abzuwehren. Der Ansatz berücksichtigt Menschen, Prozesse und Technologie.

Sicherheitsverantwortliche kämpfen häufig nicht gegen Bedrohungen, sondern um die Aufrechterhaltung von Zugangsbeschränkungen und die Durchsetzung von Richtlinien. Sie sorgen sich ständig darum, dass die Verteidigungsmaßnahmen ihres Unternehmens überwunden werden und wertvolle Daten gestohlen oder verloren gehen könnten. Es gibt verschiedene Wege, um die operative Belastung und die Wahrscheinlichkeit eines solchen Sicherheitsvorfalls zu reduzieren, indem der Diebstahl und Missbrauch von gültigen Benutzeranmeldedaten von vornherein verhindert wird.

Trotz der Aufmerksamkeit, die Angriffe wie Zero-Day-Exploits erzielen, tauchen diese Techniken in der Alltagspraxis kaum auf. Warum? Diese Tools sind teuer und zeitaufwändig zu entwickeln und zu implementieren. Wenn sie verwendet werden, werden sie häufig von hochentwickelten Gegnern mit Nationalstaaten im Hintergrund, als gemietete Tools von “Cyber-Söldnern” oder anderen Angreifern mit umfangreicher Ressourcenausstattung eingesetzt. Diese Gruppen neigen dazu, ihre fortschrittlichen Angriffsmethoden für bestimmte ausgewählte Ziele zu reservieren, um eine große Summe zu “erwirtschaften” oder ein bestimmtes geopolitisches Ziel zu erreichen.

Log-in Nutzername Passwort (Bild: Shutterstock)

Diese Ziele sind groß oder bedeutend genug, um die Kosten für die Identifizierung eines neuartigen Schwachstellen-Exploits zu kompensieren. Der Exploit, der in die freie Wildbahn entlassen wird und danach keine unbekannte Bedrohung mehr ist, wird dafür “geopfert”. Auch bei hochkarätigen Zielen kommen aber dennoch eher bewährte Methoden wie Phishing und die Nutzung gestohlener Anmeldedaten zum Einsatz, weil sie einfach und effektiv sind.

Angesichts dessen, sollten die meisten Sicherheitsexperten ihre Bemühungen auf die Identifizierung und Verhinderung von gängigen Angriffsmethoden wie Credential Phishing konzentrieren. Phishing-Angriffe versuchen, gültige Zugangsdaten (d.h. Benutzername und Passwort) von ahnungslosen Zielen zu stehlen. Hierzu sollen die Benutzer denken, dass sie ihre Daten an eine legitime Quelle senden, während sie sich auf einer gefälschten Version eines echten Dienstes anmelden.

Aber warum sollte eine Angriffsmethode, die seit den späten 1980-er-Jahren im Umlauf ist, heute noch eine Bedrohung darstellen? Um es einfach auszudrücken: Weil sie funktioniert. Unit 42, das Forschungsteam von Palo Alto Networks, schätzt, dass zwischen 15 und 19 Prozent der Phishing-Angriffe erfolgreich sind, auch nachdem Mitarbeiter geschult wurden, um genau dies eigentlich zu verhindern.

Glücklicherweise gibt es in Form eines Drei-Komponenten-Ansatzes für die Cybersicherheit eine zuverlässige Möglichkeit, um die Mehrheit der Phishing-Angriffe abzuwehren. Dieser Ansatz berücksichtigt Menschen, Prozesse und Technologie.

Tablet-Nutzer im Office (Bild: Shutterstock/Goodluz)

Menschen

Eine der einfachsten Möglichkeiten, um Angriffe mittels Anmeldedaten, einschließlich Phishing, zu reduzieren, ist die Sensibilisierung der Nutzer durch Training. Regelmäßige Schulungen und Echtzeit-Tests sollten von allen Mitarbeitern verlangt werden. Auch für relativ technisch versierte Unternehmen ist es wichtig, sich die Zeit zu nehmen und Mitarbeitern Methoden wie Phishing zu erklären.

Gleiches gilt für IT-Sicherheitspersonal, das geschult werden sollte, um potenzielle Phishing-Versuche zu identifizieren. Nehmen Sie niemals an, dass jeder im Unternehmen die Ausbildung hat, um die richtige Aktion zu ergreifen. Weiterbildung kann kein einmaliges Ereignis sein, und auch vierteljährlich ist nicht genug. Neue Mitarbeiter kommen immer wieder an Bord. Aktuelle Mitarbeiter müssen regelmäßig, vielleicht sogar wöchentlich zu den neuesten Tricks und Techniken, denen sie begegnen könnten, auf dem Laufenden gehalten werden.

Training ist auch die ideale Maßnahme, um die richtige Nutzung von Anmeldedaten zu vertiefen. Zudem sollte eine Änderung der Zugangsdaten alle drei Monate durchgesetzt werden, ebenso wie die Verwendung von unterschiedlichen Passwörtern für unterschiedliche Anwendungen und Dienste.

Prozesse

Auf Anmeldedaten basierende Angriffe müssen auch aus einer Prozessperspektive angesprochen werden. Einige Fragen auf Prozessebene, die Unternehmen berücksichtigen sollten, sind:

  • Wie können Mitarbeiter einen Workflow initiieren, um mögliche Phishing-Versuche zu identifizieren?
  • Wenn eine Datenverletzung auf Diensten erfolgt, die von Mitarbeitern in ihrer persönlichen Zeit verwendet werden (evtl. durch das Teilen von Passwörtern, was gegen die Richtlinien verstößt), sollten die Firmenpasswörter zurückgesetzt werden?
  • Können Sie automatisch Phishing-Websites oder E-Mails blockieren?
  • Ist die nötige Automatisierung vorhanden, um Indikatoren einer Kompromittierung (IoCs) zu blockieren?
  • Wie schütze ich sensible Ressourcen, wenn Angreifer Zugang zu legitimen Anmeldeinformationen erhalten?

Der beste Weg, um die Prävention zum Schutz vor derartigen Angriffen zu orchestrieren, besteht in einer informierten Sicherheitspolitik, die die richtigen Prozesse vorantreibt.

Roboterfinger nutzt Tastatur (Bild: Shutterstock)

Technologie

Ein Großteil der Arbeit bei der Identifizierung und Verhinderung des Diebstahls oder der Verwendung von gestohlenen Zugangsdaten kann automatisiert werden. Dies setzt die richtige Technologie auf der richtigen Sicherheitsplattform voraus. Es gibt drei wesentliche Anwendungsfälle, die automatisierte Plattformen bewältigen können:

  • Automatische Identifizierung von Credential-Phishing-Websites und deren Blockierung, so dass Mitarbeiter diese nicht aufsuchen können. Dieser Ansatz muss von der Bedrohungsanalyse angetrieben werden, die von einem globalen Netzwerk von Sensoren informiert wird, um neue bösartige Seiten zu identifizieren und sie ohne menschliches Eingreifen zu blockieren.
  • Suchen Sie nach Lecks für passwortbasierte Anmeldeinformationen, die zu unbekannten Websites führen, die zu diesem Zeitpunkt möglicherweise nicht als Phishing-Websites kategorisiert waren. Wenn diese identifiziert sind, muss die Plattform in der Lage sein, den Benutzer daran zu hindern, Zugangsdaten an diese nicht genehmigten Standorte zu übermitteln.
  • Verwenden Sie auf Netzwerkebene eine richtlinienbasierte Multi-Faktor-Authentifizierung, um kritische Anwendungen zu schützen und die Angreifer daran zu hindern, gestohlene Anmeldeinformationen für eine seitliche Bewegung innerhalb des Netzwerks zu nutzen.

Die Ausbildung der Mitarbeiter, um sie für Angriffe mittels Anmeldedaten zu sensibilisieren und aufzuzeigen, wie diese zu vermeiden sind, ist entscheidend. Ebenso wichtig ist die Verabschiedung der richtigen präventionsbasierten Maßnahmen, um die häufigsten und effektivsten Angriffstechniken zu stoppen. Sicherheitsverantwortliche werden weniger Stress haben, wenn sie wissen, dass sie sich nicht mehr darum kümmern müssen, jeden Angriff manuell aufzuspüren und zu lösen.