[English]Hier im Blog berichte ich ja häufig über Cyberangriffe auf Unternehmen. Generell scheinen sich die Schlagzeilen über Sicherheitsvorfälle in großen Unternehmen zu häufen. Wenn Unternehmen Details über den Vorfall bekannt geben, kann die Sicherheits-Community zum Glück etwas über die bei dem Angriff angewandten Taktiken lernen und ist so in der Lage, ihre eigenen Unternehmen in Zukunft besser zu schützen. Allerdings bleibt vieles unter dem Tisch und der Öffentlichkeit wird nicht mitgeteilt, wie der Angriff erfolgen konnte.
Anzeige
Sicherheitsanbieter Lookout hat mir kürzlich eine Analyse, die sich mit der Entstehung und Ausnutzung einer modernen Sicherheitslücke befasst, zukommen lassen: Es dreht sich um das Thema, dass Angreifer häufig per VPN-Zugang, dessen Zugangsdaten per Social Engineering erbeutet wurden, in die Unternehmen eindringen können.
Der LAPSUS$-Uber-Hack
Ein Beispiel ist Uber. Im Jahr 2022 erfuhr das Fahrdienstunternehmen von einer erfolgreichen Dateninfiltration und schrieb den Angriff der berüchtigten Lapsus$-Gruppe zu. Nachrichtenberichten und Ubers eigenem Blog zufolge wurden die Zugangsdaten eines Drittanbieters entweder durch Social Engineering (laut Lapsus$) oder durch den Kauf der Zugangsdaten im Dark Web (laut Uber) kompromittiert. In jedem Fall bombardierte ein Angreifer einen Benutzer mit Anfragen zur Multi-Faktor-Authentifizierung (MFA) und konnte ihn unter dem Vorwand, ein IT-Mitarbeiter von Uber zu sein, davon überzeugen, den Login zu akzeptieren. Sobald der Angreifer eingeloggt war, bewegte er sich seitlich und fand privilegierte Zugangsdaten, die in einem Automatisierungsskript hartkodiert waren. Von dort aus verschaffte er sich zusätzlichen Zugang zu einer Vielzahl von Cloud-Anwendungen und Daten im Netzwerk des Unternehmens.
Uber ist nur ein Beispiel, die Bedrohungslandschaft entwickelt sich ständig weiter. Dieser Angriff veranschaulicht die Taktiken, die nach wie vor wirksam sind, was IT-Abteilungen und Sicherheitsteams auf der ganzen Welt hilft, besser zu verstehen, welche proaktiven Schritte sie durchführen können, um nicht die nächsten zu sein.
Erkenntnisse von Lookout
Sascha Spangenberg, Global MSSP Solutions Architect beim IT-Sicherheitsanbieter Lookout, beschreibt die Entstehung und die Ausnutzung einer modernen Sicherheitslücke: Heutzutage muss eine Vielzahl von Benutzern überall auf die Unternehmensinfrastruktur zugreifen können – egal ob es sich um Mitarbeiter, Partner oder Auftragnehmer handelt. Die Standardmethode, um sie zu verbinden, sind oft virtuelle private Netzwerke (VPN). Dies kann jedoch ein Problem darstellen – und das bezieht sich nicht nur auf die schlechte Benutzererfahrung, die durch das Network Hairpinning entsteht.
Anzeige
Einfache Authentifizierungsmethoden sind anfällig für Social Engineering
VPN stützt sich auf grundlegende Sicherheitskontrollen: Passwörter und MFA. Nur, weil jemand den richtigen Benutzernamen eingegeben hat und ein MFA-Token vorweisen kann, heißt das noch lange nicht, dass er legitim ist. Ohne zusätzliche Telemetrie, wie z. B. die Analyse des Benutzerverhaltens, haben Unternehmen keine Möglichkeit festzustellen, ob ein Konto kompromittiert wurde.
Da Angreifer nur den Anmeldevorgang überwinden müssen, um eine Infrastruktur zu kompromittieren, ist Social Engineering sehr effektiv geworden. Dies gilt insbesondere für die zunehmende Nutzung mobiler Geräte, für die es unzählige Kanäle gibt, über die Phishing-Angriffe zum Diebstahl von Zugangsdaten durchgeführt werden können, darunter SMS und iMessage, Messaging-Apps von Drittanbietern und soziale Plattformen wie Social Media und Dating-Apps.
Netzwerkweiter Zugriff macht laterale Bewegungen leicht
Ein weiteres Risiko, das von VPNs ausgeht, besteht darin, dass sie Nutzern mehr Zugang gewähren, als diese benötigen, was auch als Overprovisioning bezeichnet wird. Sobald sich jemand bei einem VPN-Profil anmeldet, hat er oft Zugriff auf eine Vielzahl von Systemen innerhalb dieses Netzwerks. Wenn das Profil kompromittiert wird, kann der Angreifer Erkundungsoperationen durchführen, um herauszufinden, welche anderen Möglichkeiten es gibt, und sich in einer so genannten "Land-and-Expand"-Operation seitwärts im Netzwerk bewegen.
Wie sich Unternehmen schützen können – drei wichtige Maßnahmen
Es ist schwierig, auf jeden Sicherheitsvorfall eine Antwort zu finden, aber aus jedem Vorfall lässt sich lernen.
1. VPN-Zugang beschränken, insbesondere für Dritte
Die nahtlose Zusammenarbeit mit Dritten ist für jedes Unternehmen von entscheidender Bedeutung, aber dabei gilt es, die Sicherheit im Auge zu behalten. Um Sicherheitsvorfälle zu minimieren, sollten Unternehmen dafür sorgen, dass ihre Benutzer nur Zugriff auf das haben, was sie für ihre Arbeit benötigen, auch bekannt als „gerade genug Rechte". Möglicherweise ist es sinnvoll, auch die Zeitspanne begrenzen, in der eine Person Zugriff auf die Daten hat, z. B. durch „Just-in-time"-Zugriff.
Um diesen Grad der Segmentierung zu erreichen, sollten Unternehmen über VPN und seine Alles-oder-Nichts-Zugangskontrollen hinausgehen. Dies schränkt nicht nur die Möglichkeiten eines Angreifers ein, sich seitlich zu bewegen, sondern verringert auch das Risiko von Phishing-Angriffen. Sinnvoll sind Technologien wie Zero Trust Network Access (ZTNA), die diese zusätzlichen Anforderungen erfüllen können.
2. Sich nicht nur auf Passwörter und MFA verlassen
Starke Passwörter und MFA sind solide Sicherheitsgrundlagen, aber sie allein reichen nicht aus. Angesichts der Vielzahl von Geräten, Netzwerken und Standorten, von denen aus sich Benutzer möglicherweise verbinden, ist es für herkömmliche Sicherheitstools unglaublich schwierig, zwischen legitimen Benutzern und Angreifern zu unterscheiden.
An dieser Stelle müssen zusätzliche Telemetriedaten berücksichtigt werden, z. B. das Benutzerverhalten oder die Risikostufe des verwendeten Geräts. Wenn sich ein Benutzer beispielsweise von einem ungewöhnlichen Standort aus auf einem Gerät anmeldet, das er normalerweise nicht verwendet, oder wenn er mehrmals versucht, sich von verschiedenen Netzwerken aus anzumelden, sollten diese Fälle gekennzeichnet werden. Sicherheitsverantwortliche müssen auch erkennen, wenn sich die Berechtigungen ändern, denn das ist eines der ersten Dinge, die ein Angreifer versuchen wird, um den Zugang zum Netzwerk auszuweiten.
3. Mitarbeiter vor Social Engineering schützen
Eine ganze Angriffskette kann oft nicht ohne einen ersten Ansatzpunkt ausgeführt werden, der am häufigsten mit einem kompromittierten Zugangscode erreicht wird. Vorbei sind die Zeiten der Brute-Force-Angriffe. Es ist viel einfacher, ein Phishing-Kit im Dark Web zu kaufen oder einen Proxy zu erstellen, der den anvisierten Benutzer zu einer gefälschten Version seiner Unternehmensanmeldung umleitet.
Da Angreifer immer besser darin werden, Social-Engineering-Betrügereien zu starten, müssen Unternehmen ihre Mitarbeiter auf allen Geräten schützen. Der erste Schritt besteht darin, sicherzustellen, dass die Benutzer richtig geschult sind, insbesondere im Hinblick auf moderne Phishing-Angriffe, die über mobile Kanäle erfolgen. Als Nächstes müssen Unternehmen in der Lage sein, Phishing-Angriffe und bösartigen Netzwerkverkehr über ihre mobilen Geräte, Laptops und Desktops zu blockieren. Wenn sie in der Lage sind, ein- und ausgehende Internetverbindungen zu erkennen, können sie verhindern, dass bösartige Websites zu ihren Benutzern gelangen und dass Daten nach außen dringen.
Sicherheitsprobleme lassen sich nicht isoliert lösen
Sicherheitsanbieter sind darauf konditioniert worden, verschiedene Sicherheitsaspekte als eigenständige Probleme zu betrachten. In Wirklichkeit kann ein Sicherheitsvorfall nur dann verhindert werden, wenn jeder der oben genannten Schritte im Einklang funktioniert.
So sollten Sicherheitsteams beispielsweise in der Lage sein, den Zugriff eines Benutzers von einem beliebigen Endpunkt aus einzuschränken oder zu sperren, wenn dieser gefährdet ist. Wenn ein Konto übernommen wird, sollten sie in der Lage sein, das Verhalten des Benutzers aktiv zu überwachen, damit sie den Zugriff schnell einschränken oder unterbinden können. Um diese konsistenten und dynamischen Richtlinien durchzusetzen, müssen Sicherheitsverantwortliche die Reaktionen auf der Grundlage der Telemetrie von Gerät, Benutzer, Anwendung und Daten automatisieren.
So wie keine Cloud-Anwendung auf einer Insel lebt, lassen sich auch keine Sicherheitsprobleme isoliert lösen. Um Risiken wirklich zu reduzieren und Daten zu schützen, benötigen Unternehmen eine einheitliche Plattform, die ihre Sicherheit ganzheitlich angeht.
Anzeige
Also die übliche Schwachstelle: sitzt zwischen Stuhl und Tastatur und ist im allgemeinen nicht patchbar, da wie die Geschichte ja zeigt lernresistent.
Einfach nicht alles ins Netz hängen und Systeme konsequent trennen, es besteht zum Beispiel überhaupt kein Anlass das ein Sachbearbeiter eine Mail direkt und ungefiltert/ungeprüft vorgesetzt bekommt! Auch zum Beispiel eine Bewerbung muss nicht direkt bei HR einschlagen usw. Plain Text reicht in 98% der Fälle vollkommen aus um die Informationen weiterzutransportieren (läßt sich auch alles automatisieren, damit ist bereits ein flugzeughangargroßes Tor geschlossen)
Es ist relativ einfach seine Firma abzuschotten, man muss nur konsequent dabei sein
BYOD? Kommt mir nicht ins Haus und jeder der meint sich nicht dran zu halten fliegt. Privates hat auf Firmengeräten nix verloren, dafür gibt es in den Pausenräumen "Surfstations" die zu 100% vom Rest des Netzwerkes getrennt sind.
Konsequenz: Nichtbeachten –>fliegt!
Cloud? Nicht meine Hardware nicht mein Kontrolle also: –> von vornerein raus!
Das Problem dabei ist, dass du eine SPY-Ware nutzen musst, um das "Nichtbeachten" nachzuweisen. Das ist nicht ganz legal und kann nicht zum "fliegt" verwendet werden.
Nö musst du nicht: White/Blacklist und Meldung wenn was anders aufgerufen wird und klare Kommunikation in den Firmenrichtlinien. Fertig!
Für private Zwecke stehen extra Surfstations bereit, welche in den Pausen benutzt werden können.
Die geschäftlichen Rechner sind durch die Protokollpflicht abgedeckt.
Probleme kriegst du da nur wenn du das heimlich machst, sprich es muss eindeutig in den Firmenrichtlinien kommuniziert sein.
MFA ist föllich™ wirkungslos, wenn der Mensch, in dessen Verantwortung die Nutzung der Autorisierung liegt, versagt. Hier wird auf OTP gesetzt, die an das eigentliche Kennwort angehängt werden müssen und zusätzlich zeitlich begrenzt haltbar sind. Der Zugang von "außen" per VPN ist zudem ein Privileg für ganz wenige Benutzer, die das wirklich zwingend benötigen. Das Gäste-WLAN ist für Gäste und vom Rest der Welt getrennt. Mit täglich neuem, automatisch generiertem Kennwort. Die Benutzer werden regelmäßig für den Umgang mit elektronischen Medien sensibilisiert und geschult.
"In jedem Fall bombardierte ein Angreifer einen Benutzer mit Anfragen zur Multi-Faktor-Authentifizierung (MFA) und konnte ihn unter dem Vorwand, ein IT-Mitarbeiter von Uber zu sein, davon überzeugen, den Login zu akzeptieren."
Diesen Schritt verstehe ich nicht. Wie soll das gehen?
Eine gescheite VPN-Lösung basiert übrigens nicht nur aus Benutzernamen und Passwort, sondern auf einem Maschinen-Zertifikat, das man nicht per "Social Engineering" abgreifen kann. Außerdem führt ein gescheites VPN ein paar Prüfungen durch, bevor es das Gerät rein lässt: Existiert der Maschinenaccount im AD (übereinstimmende SID), ist der angemeldete Benutzer im AD unter seiner SID bekannt, liefert der WSUS dazu das Ergebnis, dass das System alle Updates hat, hat das System aktuelle Antivieren-Pattern? Wenn die ersten beiden Bedingungen nicht erfüllt sind, dann wird sofort getrennt. Wenn nicht uptodate, wird das Türchen erstmal nur soweit aufgestoßen, dass diese Systeme sich die Updates ziehen können, sonst können die solange nirgends hin und anschließend wird eine Neu-Einwahl initiert.
@ 1ST1
https://www.golem.de/news/lapsus-hackergruppe-umgeht-2fa-mit-einfachem-trick-2203-164236.html
Du hast Benutzername und Kennwort über alternative Wege erhalten. Jetzt nervst du den Anwender mit 2FA Anforderungen. Gerade bei "Push" sehr gut möglich, da die wenigsten ihre Benachrichtigungen komplett ausschalten.
Wenn ich jetzt auch noch deine Telefonnummer habe, dann rufe ich dich aus der "IT Abteilung" an und rede solange mit dir, warum du kurz zustimmen muss "damit deine Daten gesichert werden können".
Es ist alles legal, denn sonst wüsste ich ja deinen Namen/Kennwort/Telefon nicht …
Und wie "pushst" du die Nachricht auf seinen Desktop?