Zwei gro?e Unternehmen, die 2023 gehackt wurden ¨C MGM Resorts und 23andMe ¨C haben einen Teil ihrer Hacks gemeinsam: Identit?t.
Der anf?ngliche Zugriff auf den 23andMe-Datenversto? erfolgte durch Credential Stuffing, und die fehlende Zugangskontrolle erm?glichte es den Bedrohungsakteuren, tiefer in das Unternehmen einzudringen und schlie?lich an die Daten von Millionen von Benutzerkonten zu gelangen. Bei MGM wurde eine einfache Social-Engineering-Taktik zur Erlangung von Zugangsdaten genutzt, um einen massiven Ransomware-Angriff zu starten, der die Systeme zum Stillstand brachte und dem Unternehmen durch den Datenschutzversto? Millionen an Kosten und verlorene Buchungen verursachte.
Die Identit?t ist in den letzten Jahren zu einem der gr??ten Ziele f¨¹r Bedrohungsakteure aufgestiegen. Von Angriffen auf das Microsoft Active Directory (AD) bis hin zur Nutzung gestohlener Zugangsdaten f¨¹r einen privilegierten Zugriff ist die Identit?t heute oft der Schl¨¹ssel zum Erfolg eines Cyberangriffs.
Aber zu wissen, dass die Identit?t einen immer gr??eren Teil der Angriffsfl?che ausmacht, ist nicht dasselbe wie zu verstehen, was die Gefahren sind und wie Sie Ihre Benutzer und ihre Zugangsdaten sch¨¹tzen k?nnen. Unternehmen m¨¹ssen sich mit Identit?tsbedrohungen befassen, diese Daten nutzen, um ihr Sicherheitsniveau zu bewerten, und Ma?nahmen ergreifen, um sowohl ihre Angriffsfl?che zu st?rken, als auch ihre Identit?tssicherheit zu verbessern.
Was sind Identit?tsbedrohungen?
Identit?tsbedrohungen sind alle Cyber-Bedrohungen oder Angriffstaktiken, die auf die individuelle Identit?t eines Benutzers oder die Identit?tsstruktur eines Unternehmens innerhalb seiner Umgebung abzielen.
Die Zahl der Identit?tsbedrohungen nimmt aus verschiedenen Gr¨¹nden zu:
- Unternehmen verlassen sich zunehmend auf Webanwendungen, cloudbasierte Umgebungen und Remote-Benutzer, wodurch die Anzahl der Anmeldeinformationen und Zugriffspunkte innerhalb eines Netzwerks steigt.
- Mangelnde Passworthygiene und Schulungen zum Sicherheitsbewusstsein machen die Zugangsdaten von Benutzern zu einem leichten Ziel f¨¹r Bedrohungsakteure.
- Die Zunahme der Datenexfiltration bei Ransomware-Angriffen und die Verbreitung von Leak-Sites haben im Darknet einen Schatz an Zugangsdaten geschaffen, den Bedrohungsakteure f¨¹r nachfolgende Angriffe nutzen k?nnen.
F¨¹r viele moderne und digitalisierte Unternehmen ist die Identit?t der neue Endpunkt und wird schnell zu einem kritischen Teil der Angriffsfl?che. Die Trends bei den Bedrohungsakteuren st¨¹tzen diese Hypothese. Laut dem Threat Report 2024 von Arctic Wolf Labs wurden bei 39 % der von Arctic Wolf untersuchten Kompromittierung von Nicht-Gesch?fts-E-Mail (BEC)-Vorf?llen die Zugangsdaten von einem Angreifer verwendet, um sich bei einer externen Fernzugriffsanwendung anzumelden, w?hrend bei weiteren 7,3 % der Nicht-BEC-Vorf?llen zuvor kompromittierte Zugangsdaten genutzt wurden, um direkten Zugriff auf die Umgebung des Opfers zu erhalten. Das ist fast die H?lfte aller Nicht-BEC-Vorf?lle. Der Arctic Wolf Security Operations Report zeigte ?hnliche Daten ¨C Identit?tssignale innerhalb der Arctic Wolf Umgebung machten 7 der 10 gr??ten Bedrohungen und Indikatoren f¨¹r Kompromittierungen aus.
Laut dem IBM-Bericht ¨¹ber die Kosten von Datenschutzverst??en im Jahr 2023 waren Phishing und gestohlene oder kompromittierte Zugangsdaten f¨¹r 16 % bzw. 15 % der Datenverletzungen verantwortlich und kosteten Unternehmen durchschnittlich $4.76 Mio. USD bzw. $4.62 Mio. USD.
Erfahren Sie mehr ¨¹ber neue Identit?tsbedrohungen mit dem Arctic Wolf 2024 Security Operations Report.?
Warum Bedrohungsakteure identit?tsbasierte Angriffe nutzen
Im Allgemeinen ist ein identit?tsbasierter Angriff nur ein Teil des Plans eines Angreifers. Die Erlangung von Zugangsdaten kann f¨¹r den Erstzugriff entscheidend sein, aber auch der Besitz von Zugangsdaten f¨¹r eine wichtige Anwendung oder die M?glichkeit, sich unter einer legitimen Identit?t im Netzwerk zu bewegen, kann einem Angreifer helfen, privilegierten Zugang zu erlangen, Daten zu kompromittieren oder auszuschleusen oder sich lateral zu bewegen, w?hrend er der Entdeckung durch Sicherheitstechnologien entgeht.
Diese Art von Angriffen nimmt zu, da Angreifer ihre Taktiken verfeinern, Unternehmen in die Cloud verlagern und sich immer st?rker auf Webanwendungen und Remote-Benutzer verlassen. Dar¨¹ber hinaus k?nnen Cyberkriminelle Zugangsdaten durch eine Vielzahl von Angriffen stehlen und diese bei Ransomware-Angriffen exfiltrieren und verkaufen. Cyberkriminelle haben heute mehr M?glichkeiten als je zuvor, sich Zugangsdaten zu beschaffen und auf Identit?ten zuzugreifen, und sie wissen, wie wertvoll dieser Zugang w?hrend eines Angriffs wird.
Genau wie beim Social Engineering funktionieren identit?tsbasierte Angriffe auch wenn Unternehmen bereits daran arbeiten, ihr Sicherheitsniveau zu st?rken. Ob es nun darum geht, auf ein einzelnes Benutzerkonto zuzugreifen, in der Hoffnung, einen anderen Benutzer durch Phishing anzugreifen, gestohlene Anmeldeinformationen zu verwenden, um privilegierten Zugriff auf bestimmte Ressourcen zu erhalten, oder sich in Active Directory zu hacken, um von dort aus Ma?nahmen durchzuf¨¹hren ¨C es ist eine einfache Taktik mit potenziell massiven Folgen, da der Besitz des digitalen Schl¨¹ssels zum K?nigreich es Bedrohungsakteuren erm?glicht, schnell und oft unentdeckt zu agieren.
W?hrend sich die unten aufgef¨¹hrten Bedrohungen auf externe Kr?fte konzentrieren, die versuchen, sich Zugang zu verschaffen, gibt es auch interne Bedrohungen, die innerhalb von Organisationen aufgrund von unzureichendem Identit?ts- und Zugriffsmanagement (IAM) und anderen Ma?nahmen zur Identit?tssicherheit bestehen. Ein Unternehmen ohne robuste Zugangskontrollen, identit?tsbasierte ?berwachung oder Privileged Access Management (PAM) zum Schutz des privilegierten Zugriffs macht sich anf?llig f¨¹r Identit?tsbedrohungen ¨C es ?ffnet virtuelle T¨¹ren, durch die Bedrohungsakteure hindurchschreiten k?nnen, um Anmeldeinformationen, Zugriff oder wertvolle Daten und Werte zu erhalten. Es ist wichtig, dass Unternehmen sicherstellen, dass sie die richtigen Schritte unternehmen, um ihre Identit?tsangriffsfl?che zu sichern und diese Bedrohungen zu begrenzen.
Kompromittierung von Identit?t und gesch?ftlichen E-Mails
Die Kompromittierung von Gesch?fts-E-Mails (Business Email Compromise, BEC) wird oft als eigene Kategorie von Cyberangriffen betrachtet, da sie immer mehr an Bedeutung gewinnt und in ihrer Ausf¨¹hrung einzigartig ist ¨C es handelt sich um die Imitation oder ?bernahme eines E-Mail-Kontos mit der Absicht, finanziellen Betrug zu begehen. Diese Angriffe zielen h?ufig auf die Gehaltsabrechnung, die Personalabteilung und Konten der F¨¹hrungsebene ab. Die Identit?t ist das Herzst¨¹ck eines BEC-Angriffs, da die Zugangsdaten und der Zugang zu Konten oft die Grundlage f¨¹r dessen Erfolg bilden. BEC-Vorf?lle machten 29,7 % aller von Arctic Wolf? Incident Response untersuchten Vorf?lle aus, aber diese Zahl k?nnte tats?chlich h?her sein, da solche Angriffe oft nicht zu Versicherungsanspr¨¹chen oder einer umfassenden Incident Response f¨¹hren. Diese schiere Menge verdeutlicht, dass sie eine st?ndige Bedrohung f¨¹r Unternehmen darstellen. Um das Risiko eines BEC-Vorfalls zu verringern, ist es wichtig, die Angriffsfl?che Ihrer Identit?tssicherheit zu st?rken.
Erfahren Sie mehr ¨¹ber BEC-Angriffe.
Die gr??ten Identit?tsbedrohungen
Es gibt unz?hlige M?glichkeiten, wie Bedrohungsakteure Identit?ten angreifen k?nnen, und obwohl sich die einzelnen Taktiken unterscheiden m?gen, verfolgen sie alle das gleiche Ziel: sich Zugang zu verschaffen, um in die Umgebung eines Unternehmens einzudringen oder tiefer einzudringen, um einen raffinierten Cyberangriff zu starten.
Zu den gr??ten Identit?tsbedrohungen geh?ren:
1. Die Verwendung kompromittierter Zugangsdaten
Zugangsdaten sind digitale Schl¨¹ssel, die wertvolle T¨¹ren innerhalb einer Organisation ?ffnen. Der Besitz von Zugangsdaten stellt Bewegungsm?glichkeiten f¨¹r einen Bedrohungsakteur dar. Wenn sie legitime Zugangsdaten verwenden k?nnen, k?nnen ihre Bewegungen unter dem Radar herk?mmlicher Sicherheitstools verschwinden oder ihnen Zeit verschaffen, um einen ausgefeilteren Angriff zu starten. Bei den j¨¹ngsten Ransomware-Angriffen sind die Bedrohungsakteure dazu ¨¹bergegangen, Zugangsdaten zu exfiltrieren, da sie wissen, dass sie im Darknet einen hohen Preis erzielen und von anderen Bedrohungsakteuren f¨¹r zuk¨¹nftige Angriffe verwendet werden k?nnen.
2. Social-Engineering-Angriffe
Diese Angriffe, wie z.?B. Phishing oder Smishing, zielen nicht mehr nur auf Einzelpersonen ab, um sich finanzielle Vorteile zu verschaffen (obwohl dies immer noch eine Taktik ist), sondern werden jetzt h?ufiger eingesetzt, um sich einen ersten Zugang zu einem Unternehmen zu verschaffen, wie es beim Hack von MGM Resorts der Fall war. Wenn ein Bedrohungsakteur bereits ¨¹ber die Zugangsdaten f¨¹r ein E-Mail-Konto verf¨¹gt, kann er dieses Konto nutzen, um einen anderen Benutzer zu phishen und ihn dazu zu bringen, Zugang zu gew?hren oder Malware herunterzuladen. Im Bedrohungsbericht 2024 von Arctic Wolf Labs entfielen 11,3 % der Nicht-BEC-Vorf?lle auf Social Engineering, einschlie?lich Phishing. Laut dem Verizon Investigations Report ¨¹ber Datenschutzverst??e wurden 76 % der Social-Engineering-Angriffe zur Kompromittierung von Zugangsdaten genutzt, was zeigt, wie sich Identit?tsbedrohungen oft gegenseitig verst?rken.
Erfahren Sie mehr ¨¹ber die verschiedenen Arten von Social-Engineering-Angriffen.
3. Passwortbasierte Angriffe
Zu diesen Angriffen geh?ren Passwort-Spraying, bei dem ein Bedrohungsakteur dasselbe Passwort f¨¹r mehrere Konten ausprobiert, Brute-Force-Angriffe, bei denen ein Bedrohungsakteur versucht, die Zugangsdaten zu erraten, und Man-in-the-Middle-Angriffe, bei denen ein Bedrohungsakteur Informationen abf?ngt und entschl¨¹sselt, die zwischen zwei Benutzern oder Ger?ten gesendet werden. Man-in-the-middle-Angriffe werden h?ufig verwendet, um sich in Active Directory einzuhacken.
4. Angriffe auf Active Directory
Wenn Zugangsdaten die Schl¨¹ssel zum K?nigreich darstellen, dann ist das Microsoft Active Directory (AD) der Schl¨¹sselring, an dem sie h?ngen. Die Anwendung ist in Unternehmen und Branchen allgegenw?rtig und dient der Konfiguration und Speicherung von Benutzer- und Ger?teberechtigungen in einem Netzwerk, was sie zu einem lukrativen Ziel f¨¹r Bedrohungsakteure macht. Diese Hacker k?nnen eine der oben genannten Taktiken oder eine andere, wie z. B. die Ausnutzung einer Schwachstelle, nutzen, um in das AD einzudringen, Zugangsdaten zu stehlen, Berechtigungen zu ?ndern und sich in der Umgebung zu bewegen. Active Directory-Angriffe sind besonders heimt¨¹ckisch, denn wenn ein Bedrohungsakteur die Berechtigungen eines Benutzers ?ndert, erscheinen die nachfolgenden Aktionen normal und erregen keinen Verdacht oder l?sen keinen Alarm aus.
5. Technische Taktiken wie Kerberoasting oder Pass-the-Hash-Angriffe
Auch wenn diese Methoden nicht so einfach sind wie ein Brute-Force-Angriff, bedeutet das nicht, dass raffiniertere Bedrohungsakteure sie nicht ausprobieren. Kerberoasting ist ein Netzwerkangriff, der auf Dienstkonten abzielt und den Dienstprinzipalnamen (Service Principal Name, SPN) f¨¹r ein Benutzerattribut ausnutzt, sodass ein Angreifer den ?Passwort-Hash¡° f¨¹r ein Benutzerkonto erhalten und knacken kann. Pass-the-Hash-Angriffe zielen ebenfalls darauf ab, auf diesen Hash zuzugreifen, und verwenden Tools wie MimiKatz, welche das Authentifizierungsprotokoll ausnutzen, um sich als Benutzer auszugeben und Hashes von Zugangsdaten aus dem Speicher abzuladen.
Wie Organisationen eine st?rkere Identit?tssicherheit implementieren k?nnen
Es ist schwieriger, Benutzer abzusichern als beispielsweise eine Firewall auf einem Server oder einem Endger?t zu installieren. Sie kommen und gehen, erhalten zu bestimmten Zeiten Zugang zu bestimmten Ressourcen und Anwendungen und sind oft selbst f¨¹r ihre Passworthygiene, ihre F?higkeit, Bedrohungen zu erkennen, und die Sicherheit ihrer pers?nlichen Ger?te verantwortlich. Dies macht die Identit?tssicherheit f¨¹r jede Organisation zu einem schwierigen, kontinuierlichen Prozess. Aber es ist sicherlich nicht unm?glich. W?hrend wir uns mit den verschiedenen Techniken und Prozessen besch?ftigen, die ein Unternehmen implementieren kann, um seine Identit?tsangriffsfl?che zu st?rken und identit?tsbasierte Angriffe zu reduzieren, ist es wichtig zu beachten, dass eine L?sung nicht alle Probleme l?sen kann. Die Multi-Faktor-Authentifizierung (MFA) ist beispielsweise anf?llig f¨¹r ²Ñ¹ó´¡-²Ñ¨¹»å¾±²µ°ì±ð¾±³Ù²õ²¹²Ô²µ°ù¾±´Ú´Ú±ð, das Privilege Access Management (PAM) sch¨¹tzt nicht vor AD-Angriffen, und jede Anwendung, die zur Sicherung der Identit?t verwendet wird, k?nnte in Zukunft eine Schwachstelle aufweisen.
Im Folgenden finden Sie einige Strategien, Tools und Techniken, die Unternehmen einsetzen k?nnen, um Identit?tsbedrohungen zu bek?mpfen und gleichzeitig ihr Sicherheitsniveau zu verbessern und ihre Angriffsfl?che zu st?rken.
Identit?ts-Bedrohungserkennung und -abwehr (Identity Threat Detection and Response, ITDR)
ITDR ist eine umfassendere Taktik, die Unternehmen anwenden k?nnen, da sie Threat Intelligence, bew?hrte Identit?tspraktiken, Tools und Prozesse zum Schutz von Identit?ten innerhalb einer Organisation kombiniert. ITDR sollte eine regelm??ige Analyse von Berechtigungskonfigurationen, Multi-Faktor-Authentifizierung (MFA), PAM und die ?berwachung von Benutzern und Identit?tsquellen umfassen. Viele Managed Detection and Response (MDR)-L?sungen k?nnen jetzt zus?tzlich zu anderen Umgebungskomponenten auch Identit?ten ¨¹berwachen.
Erfahren Sie, wie Arctic Wolf? Managed Detection and Response die Identit?ts¨¹berwachung und die anschlie?ende Erkennung ungew?hnlichen Verhaltens nutzte, um einen laufenden Vorfall zu stoppen, bevor er eskalierte.
Identit?ts- und Zugriffsmanagement (IAM)
Wie ITDR ist auch IAM die umfassendere Taktik, die Unternehmen anwenden sollten, um ihre Identit?tsinfrastruktur zu erstellen und zu sichern. Die drei Hauptbestandteile von IAM sind Governance (oder die Festlegung, wer wozu Zugang hat), die Kontrolle dieses Zugangs und die kontinuierliche ?berwachung der Benutzer und ihres Zugangs. IAM ist kein einmaliger Prozess, sondern sollte regelm??ig angepasst werden, wenn sich betriebliche und sicherheitsrelevante Anforderungen ?ndern. IAM folgt h?ufig einem Zero-Trust-Framework und sollte das Prinzip des am wenigsten privilegierten Zugangs (PloP) anwenden, um zu verhindern, dass Bedrohungsakteure passwortbasierte Angriffe f¨¹r einen privilegierten Zugang nutzen.
Multi-Faktor-Authentifizierung (MFA)
MFA ist eine einfache Zugangskontrolle, die sowohl Teil eines IAM als auch eines Zero-Trust-Frameworks ist und kann einen gro?en Beitrag dazu leisten, dass Identit?tsangriffe nicht erfolgreich sind. Wenn ein Bedrohungsakteur einen Brute-Force-Angriff versucht oder sich gestohlene Zugangsdaten verschafft hat, verhindert MFA nicht nur den Zugriff, sondern alarmiert auch den Benutzer oder die Sicherheitsteams ¨¹ber das ungew?hnliche Verhalten.
?berwachung des Darknet
Wenn Sie wissen, welche Zugangsdaten im Darknet offengelegt werden oder wo m?glicherweise Kompromittierungen ihrer Benutzerdaten vorliegen k?nnten, kann Ihr Unternehmen die Sicherheit von Zugangsdaten und Identit?ten verbessern und herausfinden, woher Identit?tsbedrohungen kommen k?nnten.
H?rtung von Active Directory
Von der Aktualisierung von Passwortrichtlinien ¨¹ber die Einrichtung von Zugriffskontrollen bis zur Verschl¨¹sselung der Anwendung gibt es viele M?glichkeiten, wie eine Organisation sicherstellen kann, dass das Active Directory so sicher wie m?glich ist.
Erfahren Sie mehr ¨¹ber Active Directory.
Umfassende Schulungen zum Sicherheitsbewusstsein
Viele Identit?tsangriffe beginnen mit dem Benutzer ¨C sei es, dass er auf eine Phishing-E-Mail hereinf?llt oder keine strenge Passworthygiene praktiziert ¨C daher ist die Schulung der Benutzer und die Reduzierung des menschlichen Risikos von gr??ter Bedeutung f¨¹r eine bessere Identit?tssicherheit. Starke Schulungen zum Sicherheitsbewusstsein sollten aktuelle Inhalte, Phishing-Simulationen und Compliance-Schulungen umfassen und die Benutzer mit Taktiken wie Mikro-Lernen zur Erh?hung der Widerstandsf?higkeit anregen.
Rund-um-die-Uhr-?berwachung Ihres Netzwerks und Ihrer Identit?tsquellen
Ein Unternehmen kann nicht garantieren, dass jeder Benutzer ein m?glichst starkes Passwort hat oder dass die Zugangsdaten nie kompromittiert wurden, aber es kann die Umgebung im Auge behalten und nach ungew?hnlichen Bewegungen und verd?chtigem Verhalten Ausschau halten. Eine rund um die Uhr installierte ?berwachung der gesamten Umgebung ¨C insbesondere von Identit?tsquellen ¨C kann Ihrem Unternehmen helfen, Bedrohungen zu erkennen und zu neutralisieren, bevor sie sich zu Cybervorf?llen ausweiten.
Erfahren Sie, wie Schulungen zum Sicherheitsbewusstsein Ihren Benutzerstamm ver?ndern und gleichzeitig das menschliche Risiko verringern kann.
Erfahren Sie, wie eine MDR-L?sung, wie Arctic Wolf Managed Detection and Response, Ihre Identit?tsquellen ¨¹berwachen und Ihrem Unternehmen helfen kann, Identit?tsbedrohungen zu erkennen und darauf zu reagieren.
