Share
Beitragsbild zu Identitätsverletzungen im Jahr 2024 – Eine Prise Hygiene ist besser als eine Tonne Technologie

Identitätsverletzungen im Jahr 2024 – Eine Prise Hygiene ist besser als eine Tonne Technologie

Identität ist der Schlüssel, um eine Tür zu öffnen + Es gibt wahrscheinlich viele Möglichkeiten, diese Frage zu beantworten, und das liegt daran, dass es viele Attribute gibt, die deine Identität ausmachen. Halten wir die Dinge einfach, denn das ist einfach: Name, Geburtsdatum, Adresse und Telefonnummer. Dies sind Datenpunkte, die Sie auf einem Führerschein oder einem Online-Profil finden können. Ihre Identität ist jedoch nicht auf diese Beispiele beschränkt. Ihre Identität kann auch mit Ihren Hobbys, Ihrem Beruf und Ihren Social-Media-Tags in Verbindung gebracht werden.

Ihre digitale Identität besteht eigentlich aus einer Vielzahl von Datenpunkten, und diese Datenpunkte machen Sie und die Personen, mit denen Sie Geschäfte machen, zu einem Ziel. „Jay, das ist Schnee von gestern“ … Aber ist es das wirklich? Nein. Nicht, wenn es im Juli 2024 immer noch groß angelegte Identitätsangriffe gibt. Die Nachrichten über Snowflake und betroffene Kunden wie Ticketmaster, Santander und Advance Auto Parts beweisen dies. Die neue RockYou2024-Liste mit durchgesickerten Passwörtern enthüllt auch eine Rekordzahl an Identitäten. Aber wer ist dafür verantwortlich, diese Identitäten zu schützen, und können identitätsbasierte Angriffe verhindert werden?

Ungeschützte Zugangsdaten sind immer noch der beste Freund eines Angreifers

Zugangsdaten werden immer noch heimtückisch dazu verwendet, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gefährden. Der Darüber hinaus wird jede Technologie oder jedes Verfahren, das nicht auf passwortlosen Methoden oder Single Sign-On basiert, zum Sonderfall. Woher stammen diese Passwörter? Wenn wir uns überlegen, wie sich ein Angreifer verhalten

Faule, aber erfolgreiche Angreifer

Angreifer sind Menschen, das heißt, sie sind faul. Je mehr Details über die offengelegte Identität aus den oben genannten Sicherheitsverletzungen bekannt werden, desto mehr wird uns klar, dass wir so etwas schon einmal gesehen haben. Hier ist das Handbuch des faulen Angreifers, direkt von den Graffiti-Wänden der U-Bahn.

Zunächst sollten Sie die Identitäten und Persönlichkeiten in Ihrer Umgebung betrachten. Sie haben reguläre Mitarbeiter, aber ich bin sicher, dass es noch andere geben kann. Oftmals arbeiten wir auch mit temporären Identitäten oder Drittanbietern zusammen. Sie sind für das Unternehmen notwendig, aber sie könnten dennoch unser Risiko erhöhen.

Der erste Schritt eines Angreifers ist die Aufklärung, und dazu gehört auch die Beobachtung des Verhaltens von regulären Mitarbeitern und Geschäftspartnern. Dies kann auf verschiedene Weise geschehen. Denken Sie nur daran, wie viele von Ihnen bei LinkedIn sind. Es ist völlig verständlich, warum viele von Ihnen, die dies lesen, ihr LinkedIn-Profil verbergen. Sie geben öffentlich bekannt, für welches Unternehmen Sie arbeiten und welche Position Sie innehaben. Daraus können dann Informationen abgeleitet werden, wie z. B. Privilegien und potenzieller Zugriff.

Es gibt auch ruchlose Methoden, um billig an Identitäten zu gelangen. IBM „X-Force stellte im Jahr 2023 einen Anstieg der Aktivitäten im Zusammenhang mit Infostealern um 266 % im Vergleich zu 2022 fest“2. Diese Infostealer gelangen auf verschiedenen Wegen auf die Computer. Nicht, dass einer Ihrer Kollegen jemals auf einen Phishing-Link geklickt hätte, aber sie könnten durch den Besuch einer kompromittierten Website in die Falle tappen.

Unabhängig vom Vektor kann der Infostealer Informationen wie Anmeldedaten sammeln. Diese Informationen werden dann für Dutzende von Dollar zum Verkauf angeboten, nicht einmal für Hunderte oder Tausende. Im Fall der bereits erwähnten Offenlegung der RockYou2024-Passwortliste betragen die Kosten 0. Die Anmeldedaten sind für jeden, der daran interessiert ist, sie zu stehlen, so leicht zugänglich.

Die Leichtigkeit und Verbreitung des Datendiebstahls schafft ein neues Risiko, das CISOs berücksichtigen müssen: Wie kann ich durchsetzen, was meine Mitarbeiter oder Auftragnehmer auf ihren persönlichen Geräten tun? Lohnt es sich, einfach ein Firmengerät auszugeben, das ich kontrolliere? Vielleicht ist es unvermeidlich.

Zweitens werden Angreifer diese Anmeldedaten dann überall dort verwenden, wo sie Angriffsflächen finden. Natürlich fällt einem alles ein, was mit dem Internet verbunden ist, aber die Beispiele von Snowflake und dem betroffenen Unternehmen zeigen uns, dass gestohlene Anmeldedaten auch für den Zugriff auf Cloud-Service-Partner genutzt werden können. Dies ist besonders gefährlich, wenn die Multifaktor-Authentifizierung (MFA) für Konten nicht aktiviert ist. Es mag geschäftliche Gründe dafür geben, warum MFA nicht aktiviert ist, aber täuschen Sie sich nicht: Es erhöht das Risiko. Dies wirft die Frage auf: Wer ist für die Durchsetzung der MFA verantwortlich? Snowflake hatte die MFA bisher nicht für Konten durchgesetzt, da dies in der Verantwortung des Endbenutzers lag. Es ist sehr einfach, mit dem Finger auf Snowflake zu zeigen, aber sollten nicht ALLE Konten mit MFA geschützt werden, wenn sie wichtig sind oder auf sensible Daten zugreifen? Ich denke, die meisten würden mit Ja antworten.

Drittens: Um sich mithilfe einer vertrauenswürdigen Identität Zugang zu verschaffen, beginnen Angreifer, ihre Ziele zu verfolgen. An dieser Stelle wird es etwas unscharf. Die Phase der „Zielverfolgung“ kann sehr subjektiv sein, je nach Motivation des Bedrohungsakteurs und dem Ziel. Für Erstzugangsmakler, Cyberkriminelle, die sich auf das Eindringen in Netzwerke spezialisiert haben, ist ihr Ziel klar; sie verkaufen diesen Erstzugang an einen anderen Bedrohungsakteur. Für einen anderen Bedrohungsakteur kann es sinnvoll sein, sich seitwärts zu bewegen und tieferen Zugriff zu erlangen oder die Privilegien zu erweitern. Wir würden davon ausgehen, dass unsere Abwehrmechanismen zu diesem Zeitpunkt bereits greifen würden, um dies zu verhindern.

Grundlegende Hygiene und erweiterte Hygiene

Die meisten von uns putzen sich täglich die Zähne (hoffe ich zumindest!). Zugegeben, ein Bereich der Zahnhygiene, bei dem ich nachlässig war, war die Verwendung von Zahnseide. Nun, ein wenig zusätzliche tägliche Zahnseide beugt Parodontalerkrankungen vor, unter denen viele von uns leiden. Es gibt jetzt auch fortgeschrittene Hygienebehandlungen, an denen wir teilnehmen können, wenn wir zum Zahnarzt gehen. Bei unserer Cyberhygiene ist das nicht anders. Was sind also die „niedrig hängenden Früchte“, die mit der Aufrechterhaltung eines grundlegenden Niveaus an Cyberhygiene für unsere Umgebung verbunden sind?

  • Überwachen, sammeln und testen Sie extern exponierte Anmeldedaten
    1. Angesichts der Zunahme von Infostealern und der Art und Weise, wie sie zum Sammeln von Anmeldedaten eingesetzt werden, müssen wir Bedrohungsinformationen nutzen, um genau herauszufinden, welche Anmeldedaten bereits im Umlauf sind.
    2. Mit einem Verständnis der Identitäten, einschließlich exponierter und privilegierter, können wir Tests durchführen, um das Ausmaß der Gefährdung und des Risikos zu verstehen.
      1. Auf was hätte der Angreifer mit bestimmten Anmeldedaten Zugriff?
      2. Wie groß ist der Explosionsradius?
      3. Wird MFA durchgesetzt?
  • Überprüfen Sie Active Directory- und Cloud-Konfigurationen auf Berechtigungen und die Verwendung von MFA.
    1. Verstehen Sie die Identitätsstruktur im Allgemeinen sowohl für lokale Umgebungen als auch für die Cloud/Cloud-Dienste.
    2. Implementieren Sie Passwort-Hygiene und rotieren Sie Anmeldedaten.
  • Implementieren Sie MFA, wo immer dies möglich ist.
    1. Dies ist ein eigener Schritt. Dies kann sehr viel manuelle Arbeit bedeuten, aber die Risikominderung ist enorm. Stellen Sie sicher, dass es keine Konten gibt, die sich nur mit Benutzername und Passwort authentifizieren lassen
  • Kontinuierliche Tests
    1. Da sich unsere Umgebungen ändern, müssen wir dies zu einem wiederholbaren Prozess machen. Wir sollten nicht davon ausgehen, dass das, was wir in der Vergangenheit getan haben, uns heute in der Gegenwart schützt. Andernfalls könnte unsere Zukunft düster aussehen.

Das Ganze hat auch eine gute Seite: Die jüngsten Nachrichten beziehen sich nicht auf komplexe, fortgeschrittene Angriffsmethoden mit Anmeldedaten. Sicher, Anmeldedaten sind immer noch ein Risiko, aber ein wenig Identitätshygiene trägt wesentlich zum Schutz des Zugriffs bei, nicht nur auf Cloud-Daten, sondern auf unsere gesamte Umgebung. Das ist vermeidbar. Es handelt sich um eine grundlegende „Zähneputztechnik“, die Disziplin erfordert, uns aber langfristig widerstandsfähiger macht.

Die neue Herangehensweise? Überprüfen Sie, ob dieser Hygieneansatz funktioniert. Automatisierung kann selbst das verbessern, was wie „fortgeschrittene Hygiene“ erscheint. Sobald ich mich an Zahnseide gewöhnt hatte, wurde sie zur zweiten Natur. Ich musste diesen ersten Schritt machen und gute Hygienegewohnheiten schaffen. Die Integration von Sicherheitsvalidierung und das Testen/Profilieren von Identitäten muss kein langwieriger Prozess sein. Mit den richtigen Tools wird es zur zweiten Natur. In kurzer Zeit werden Sie vorbeugende Maßnahmen ergreifen, die für Angreifer sonst vielleicht „leichte Siege“ gewesen wären. Ein Gramm Hygiene ist mehr wert als ein Kilo Technologie.

Validieren, beheben, wiederholen. Das ist der richtige Weg.

Quelle: Pentera-Blog


Ihr Kontakt zu uns:

Matan Katz, Regional Development

Hier direkt einen Termin buchen:

https://pentera.oramalthea.com/c/MatanKatz

Oliver Meroni, Regional Sales Manager Switzerland & Austria, Pentera

Hanspeter Karl, Area Vice President DACH, Pentera

Firma zum Thema

pentera

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden