Angriffsmuster zielgerichteter Attacken analysieren und abwehren

foto cc0 pixabay geralt muster

foto cc0

Cyberattacken werden zunehmend ausgeklügelter, herkömmliche Abwehrmethoden haben sich dabei oft als unzulänglich erwiesen. Die Analyse von Angriffsmustern zielgerichteter Attacken zeigt, welche neuen Lösungen benötigt werden.

Experten der CyberArk Research Labs in Newton bei Boston (Massachusetts) haben zahlreiche Cyberangriffe detailliert analysiert. Eine Auswertung der Angriffsmethoden und -techniken ist von essenzieller Bedeutung, um adäquate Abwehrmaßnahmen ergreifen zu können. Bei den untersuchten Sicherheitsvorfällen hat sich ein typisches Angriffsszenario in vier Schritten herauskristallisiert.

Schritt 1: Diebstahl und Nutzung von Zugangsdaten

Prinzipiell sind zunächst zwei Angriffsarten zu unterscheiden: der Insider- und der externe Angriff. Der Unterschied liegt darin, dass sich der Insider bereits innerhalb des Unternehmensnetzes befindet und über einen Account-Zugriff mit Zugangsdaten verfügt. Der externe Angreifer hingegen hat keinen Account und muss erst den Perimeter-Schutzwall überwinden. Hierfür gibt es mehrere Möglichkeiten, weit verbreitet sind zum Beispiel Phishing-Attacken. Die weiteren Schritte in der Fortsetzung des Angriffs sind identisch – gleichgültig, ob ein Insider oder Externer der Akteur ist: immer geht es dann um die missbräuchliche Nutzung von Zugangsdaten.

Schritt 2: Erweiterung der Privilegien

Gelangt der Angreifer in den Besitz von Zugangsdaten von Usern, die nur eingeschränkte Rechte besitzen, bestehen zwei Möglichkeiten. Erstens kann er versuchen, die mit einem bestimmten Account verbundenen Privilegien zu erweitern, indem er Schwachstellen des Betriebssystems ausnutzt. Zweitens kann er auch versuchen, auf einen anderen Account mit erweiterten Rechten zuzugreifen. Ein beliebtes Angriffsziel sind dabei lokale Administrator-Konten. Oft wird dabei ein identisches Passwort für alle Geräte der jeweiligen Plattform verwendet. Ein derart weitverbreitetes Passwort bietet ein einfaches Ziel für fortschrittliche Angriffe.

Schritt 3: Zugriff auf Zielsysteme

Schritt 3 lässt sich in drei Stufen untergliedern. Zunächst testet der Angreifer, auf welche Systeme er mit den privilegierten Zugangsdaten zugreifen kann. Anschließend verschafft er sich Zugriff auf weitere Accounts, indem er zum Beispiel Passwort-Hashes entwendet. In einem letzten Schritt versucht der Angreifer dann, auf das Zielsystem zuzugreifen. Ist dies nicht möglich, wiederholt er die Stufen 2 und 3. Es ist dabei durchaus keine Seltenheit, dass der Angreifer diesen Vorgang mehrfach wiederholt, um letztendlich Zugang zum Zielsystem zu erhalten.

Schritt 4: Vollendung des Angriffs

Im letzten Schritt erreicht der Angreifer sein Ziel. Beispiele sind der Diebstahl vertraulicher Daten oder geistigen Eigentums oder die Unterbrechung des Geschäftsbetriebs durch Lahmlegen unternehmenskritischer Systeme und Applikationen.

 

Sobald Schritt 4 vollzogen ist, ist für Unternehmen der Schadensfall eingetreten. Selbst wenn sie einen Sicherheitsvorfall auf dieser Stufe bemerken – zum Beispiel einen laufenden Datenabfluss –, kann es zu spät sein, um einen Schaden vollständig auszuschließen. Deshalb ist es zwingend erforderlich, einen Angriff so früh wie möglich aufzuspüren und zu stoppen.

»Die jüngste Vergangenheit hat gezeigt, dass es mit herkömmlichen Sicherheitsmaßnahmen unmöglich ist, alle Angreifer außerhalb des eigenen Perimeters zu halten. Liegt ein Insider-Angriff vor, ist das ohnehin nicht möglich«, erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. »Zwar ist Perimeter-Sicherheit wichtig, aber Unternehmen sollten sich nicht ausschließlich darauf verlassen, Angriffe am Schutzwall stoppen zu können. Ebenso wichtig ist es, Attacken in späteren Phasen zuverlässig zu unterbrechen. Und dafür gibt es mehrere Best Practices.«

CyberArk nennt folgende Best Practices für die erfolgreiche Abwehr zielgerichteter Attacken:

  • Sichere Speicherung privilegierter Zugangsdaten

Alle privilegierten Zugangsdaten, einschließlich Passwörter und SSH-Keys, müssen sicher gespeichert werden und eine Zugriffsmöglichkeit sollte nur mit Multifaktor-Authentifizierung bestehen.

  • Automatische Änderung privilegierter Zugangsdaten

Alle privilegierten Zugangsdaten müssen regelmäßig geändert werden.

  • Isolierung und Überwachung privilegierter Account-Sessions

Privilegierte Sessions von Administratoren sollten in einer vollständig isolierten und überwachten Umgebung erfolgen, um eine mögliche Ausbreitung von Malware zu verhindern.

  • Richtlinienbasierte Einschränkung von Administratorrechten und Endpunkt-Sicherung

Administratorrechte sollten aufgabenbezogen nur granular vergeben werden, und auch an Endpunkten müssen flexible Least-Privilege-Richtlinien für Business- und administrative Anwender umgesetzt werden.

 

»Zielgerichtete Attacken sind fast ausschließlich auf eine missbräuchliche Nutzung privilegierter Accounts zurückzuführen. Ihre Sicherheit muss deshalb bei der Konzeption einer Abwehrstrategie immer im Vordergrund stehen. Nur so kann ein Unternehmen den aktuellen, zielgerichteten Angriffen trotzen«, so Kleist.

Weitere Informationen zu möglichen Angriffsszenarien und geeigneten Abwehrmaßnahmen finden sich auch im CyberArk-White-Paper »Know the Path of an Attack and Block it with Privileged Account Security« unter http://www.cyberark.com/resource/know-the-path-of-an-attacker-and-block-it-with-privileged-account-security.

Cyberkriminelle nutzen auch weiterhin menschliche Schwächen aus

IT-Security Monitoring – Risiken objektiv bewerten

Sofortige Erkennung komplexer Cyber-Angriffe

Tipps für bessere Netzwerksicherheit für verteilte Unternehmen

Denial of Service – Warum eine genauere Betrachtung lohnt

Cyberattacken werden immer raffinierter

Cyberangriffe blitzschnell erkennen und analysieren

Cyber-Angriffe wie Carbanak durch verhaltensbasierte Früherkennung von Malware verhindern

Wachsende Bedeutung von Security Analytics bei der Abwehr von Threats

Weitere Artikel zu

Schreiben Sie einen Kommentar