Eine neue Cyberangriffstaktik zielt auf privilegierte Elemente, um sich ungehinderten Zugang zu fremden Netzwerken verschaffen.
Im Mai 2019 wurden die Computersysteme der Stadtverwaltung von Baltimore mit einer neuen Ransomware-Variante namens RobbinHood infiziert. Alle Server, mit Ausnahme der wesentlichen Dienste, wurden offline genommen. Die Hacker forderten über 75.000 US-Dollar Lösegeld in Bitcoin. Auch eine Woche später blieben alle Systeme für die städtischen Mitarbeiter offline – und eine vollständige Wiederherstellung ist derzeit noch im Gange. Es war der zweite große Einsatz von RobbinHood-Ransomware in einer US-amerikanischen Stadt im Jahr 2019, von dem auch Greenville betroffen war.
Vectra, Anbieter eine Plattform für Cybersicherheit auf Basis künstlicher Intelligenz, empfiehlt vor dem Hintergrund dieser und vergleichbarer Attacken die Privilegien-Interaktionen zwischen verschiedenen Elementen im Netzwerk automatisiert zu überwachen.
Die folgende Grafik veranschaulicht den wahrscheinlichen Angriffsverlauf bei RobbinHood:
Separat dazu sind in letzter Zeit Kampagnen entstanden, die typischerweise von einer APT-Gruppe namens Thrip durchgeführt werden. Es gibt nach Angaben von Vectra Hinweise darauf, dass das Ziel der Thrip-Kampagne die Cyberspionage ist. Zu den Zielbranchen gehören Verteidigung, Telekommunikation und Satellitenkommunikation, insbesondere der Geodatensektor. Die Thrip-Gruppe nahm einen Satellitenkommunikationsbetreiber ins Visier. Sobald die Angreifer im Netzwerk waren, begannen sie damit, nach Geräten für die Überwachung und Steuerung von Satelliten zu suchen. Sie bewegten sich seitlich im fremden Netzwerk, um diese Geräte zu finden, zu kompromittieren und dann die Kontrolle zu übernehmen. Die Angreifer wollten möglicherweise Informationen sammeln und Daten herausfiltern oder sogar die Satelliten selbst deaktivieren.
Die folgende Abbildung zeigt den wahrscheinlichen Angriffsverlauf der Thrip-Gruppe:
Gemeinsamkeiten zwischen den Angriffen
Was haben diese Angriffe gemeinsam? Beide zielten auf privilegierte Elemente, um sich einen ungehinderten Zugang zu verschaffen. Die Rechte-Eskalation von einem regulären Benutzerkonto zu einem privilegierten Konto ist ein entscheidender Schritt für die Angreifer auf ihrem Weg zu ihrem Endziel. Privilegierte Elemente beschränken sich nicht nur auf Konten, sondern auch auf Hosts und Dienste innerhalb der Netzwerkumgebung.
Hacker können gestohlene Zugriffsrechte nutzen, um proprietäre digitale Assets und Daten zu stehlen, ohne Alarme auszulösen oder Verwüstungen und Störungen in der Netzwerkumgebung anzurichten. Sie können auch Geschäfts- und Zahlungsprozesse untergraben. Leider ist das erst der Anfang. Cyberangreifer und Sicherheitsfachkräfte sind sich dieses Risikos bewusst. Ein aktueller Bericht von Gartner zeigt, dass der privilegierte Zugang bei Sicherheitsexperten oberste Priorität hat. Darüber hinaus schätzt Forrester, dass 80 Prozent der Sicherheitsverletzungen privilegierte Konten betreffen.
Die aktuellen Sicherheitsansätze lassen diese Elemente jedoch unbeabsichtigt exponiert. Die Ansätze sind präventionsorientiert oder basieren auf manuellen Berechtigungen. Bedrohungen werden bei ihrem Auftreten identifiziert, was wenig Zeit für eine angemessene Reaktion lässt. Andere Ansätze behandeln alle Elemente als gleichwertig und verwenden musterbasierte Techniken, was zu einem übermäßigen Volumen an Warnungen führt, das nicht bewältigt werden kann. Leider fehlt es den meisten Sicherheitsteams an der Fähigkeit, schnell und dynamisch die Elemente zu bestimmen, die von Angreifern ins Visier genommen werden und einen Angriff zu verhindern.
Ein neuer Ansatz
Sicherheitsteams benötigen nach Meinung von Vectra einen neuen Ansatz. Anstatt sich auf das gewährte Privileg eines Unternehmens zu verlassen oder gegenüber dem Privileg agnostisch zu sein, muss sich der Ansatz darauf konzentrieren, wie Unternehmen ihre Privilegien innerhalb des Netzwerks tatsächlich nutzen, etwa das beobachtete Privileg.
Dieser Standpunkt ähnelt der Art und Weise, wie Angreifer die Interaktionen zwischen den einzelnen Elementen beobachten oder ableiten. Es ist unerlässlich, dass Verteidiger ähnlich wie ihre Gegner denken. Dies kann in zwei Teilen geschehen:
- Beobachtung der Wechselwirkungen zwischen den einzelnen Elementen. Basierend auf den Verhaltensinteraktionen zwischen den Elementen und der Empfindlichkeit der Vermögenswerte, auf die schließlich zugegriffen wird, bestimmen Sicherheitsexperten dynamisch die Berechtigungsstufe jedes Elements. Elemente mit ähnlichen Zugriffsmustern werden zu Peers zusammengefasst. Dies kann durch künstliche Intelligenz und maschinelle Lernmodelle erreicht werden.
- Bestimmung von Anomalien bei der Interaktion zwischen privilegierten Elementen. Es gilt eine gegebene Zugriffsanforderung mit der Zugriffshistorie abzugleichen, um die Entfernung aus der normalen Gruppendistanz zu bestimmen. Man sollte sich dabei auf die Anomalien konzentrieren, die tatsächlich sicherheitsrelevante Auswirkungen und Konsequenzen haben.
Ein Standardbeispiel ist der Fall, bei dem alle drei an einer Interaktion beteiligten Elemente privilegiert sind und in der Regel nichts miteinander zu tun haben. Ein Beispiel wäre: Ein hochprivilegiertes Konto wird von einem Host aus verwendet, von dem aus es normalerweise auf einen Dienst zugreift, der normalerweise nicht von diesem Konto aus genutzt wird. Dies tritt häufig auf, wenn ein Angreifer einen Host kompromittiert, erfolgreich die Berechtigung eines Kontos gestohlen und begonnen hat, alle zugänglichen Dienste zu untersuchen. Alternativ könnte dies auch ein Szenario sein, in dem ein Administrator schädliche Aktionen durchführt.
Im Zusammenhang mit den Beispielen RobbinHood und Thrip könnte ein solches Szenario den kritischsten Teil eines Angriffs ermöglichen: Die Angreifer bewegen sich in Richtung immer höher privilegierter Zugangsdaten, die sie bei der Auskundschaftung und seitlichen Bewegung innerhalb des Netzwerks verwenden können, wie Vectra abschließend zusammenfasst.
71 Artikel zu „Privileged“
NEWS | IT-SECURITY | RECHENZENTRUM | STRATEGIEN | TIPPS
IT-Sicherheitsexperten bekunden mangelndes Vertrauen in Privileged Access Management
Cybersicherheit als solche und insbesondere der Schutz von vertraulichen Daten waren vielleicht nie wichtiger als gerade jetzt. Die allgemeine Aufmerksamkeit richtet sich inzwischen sehr viel stärker auf das Thema. Das gilt gleichermaßen für Regierungen und Aufsichtsbehörden. Die Risiken sind höher denn je. Kein Unternehmen, keine Organisation kann sich mehr hinter einer magischen »BlackBox« verschanzen,…
NEWS | IT-SECURITY | KOMMENTAR
Hacker erbeuten Pläne von Atomanlagen – Unternehmen müssen Privileged Account Management endlich ernst nehmen
Ein Kommentar von Markus Kahmen, Regional Director CE bei Thycotic: »Der wirksame Schutz privilegierter Konten und Zugriffsrechte gewinnt in Unternehmen immer mehr an Bedeutung, nicht zuletzt, seit die Analysten von Gartner Privileged Account Management, oder kurz PAM, zur Top-Priorität für CIOs im Jahr 2018 erklärt haben. Dass die eindringliche Mahnung, Konten mit weitreichenden Rechten…
NEWS | TRENDS SECURITY | IT-SECURITY | STRATEGIEN | TIPPS
IT-Sicherheitsinitiativen müssen Privileged Account Security beinhalten
Schlagzeilenträchtige Cyber-Attacken haben dazu geführt, dass dem Thema IT-Sicherheit generell eine größere Aufmerksamkeit geschenkt wird. Unternehmen ergreifen zahlreiche Maßnahmen zur Verbesserung der Sicherheit, ein extrem wichtiger Bereich wie die Privileged Account Security bleibt aber zu oft unberücksichtigt. So lautet ein zentrales Ergebnis einer aktuellen CyberArk-Untersuchung. Die Umfrage »Global Advanced Threat Landscape« wurde jetzt zum zehnten…
NEWS | TRENDS SECURITY | TRENDS CLOUD COMPUTING | CLOUD COMPUTING | IT-SECURITY
Die Bedeutung von Cloud-basiertem Privileged Identity Management
Der Wandel traditioneller Perimeter der IT-Sicherheit macht den sicheren Zugriff privilegierter Anwender zum Schlüsselfaktor für die Sicherheit von hybriden Unternehmen. Eine Studie belegt dies und zeigt die Vorteile von Cloud-basiertem Privileged Identity Management (PIM) [1]. Die Studie dokumentiert, dass PIM-as-a-Service der optimale Ansatz für die Sicherung von hybriden IT-Infrastrukturen ist. Eine PIM-Lösung muss Zugriffe sichern,…
TRENDS 2019 | NEWS | TRENDS SECURITY | IT-SECURITY
IT-Profis unterschätzen Endpoint Security häufig
Kritische Geräte wie PCs und Drucker sind weiterhin eine Sicherheitslücke. Nur bei einem von drei Unternehmen ist Endpoint Security ein zentraler Bestandteil der eigenen Cyber-Security-Strategie. Gerade einmal 28 Prozent der Unternehmen decken Sicherheit in ihren Anforderungskatalogen ab. Bei fast der Hälfte aller Unternehmen sind Drucker nicht Teil der Endpoint Security – für 62 Prozent bieten…
NEWS | IT-SECURITY | VERANSTALTUNGEN
Protected App sichert Zugriffe auf unternehmenskritische Zielsysteme
Sicherheitssoftware-Anbieter Bromium ist auf der it-sa in Nürnberg erneut als Mitaussteller am Stand von Computacenter vertreten. Im Mittelpunkt der Produktpräsentationen steht mit Protected App eine Lösung, die Zugriffe auf kritische Unternehmensapplikationen auf Basis einer Hardware-isolierten Virtualisierung schützt. Das Problem ist altbekannt: Mit dem Internet verbundene Arbeitsplatzrechner sind immer der Gefahr einer Kompromittierung ausgesetzt. Wird von…
NEWS | BUSINESS PROCESS MANAGEMENT | IT-SECURITY | STRATEGIEN | TIPPS
Identity Governance and Administration: IGA messbar machen – in 5 praktikablen Schritten
Die meisten Unternehmen verzichten darauf zu messen, wie effektiv ihre Identity-Governance-and-Administration-Lösung (IGA) tatsächlich ist. Falls sie es doch tun, dann wahrscheinlich über eine indirekte Messgröße, zum Beispiel indem man erfasst, wie hoch das Risiko einer Datenschutzverletzung ist oder ob bereits ein Angriff stattgefunden hat oder nicht. Um die komplexe Betrachtung für unsere Zwecke zu…
TRENDS 2019 | NEWS | TRENDS SECURITY | IT-SECURITY
Mehr als die Hälfte der deutschen Unternehmen ist unzureichend auf Cyberattacken vorbereitet
63 Prozent der deutschen Unternehmen glauben, dass Angreifer ihre Netzwerke problemlos infiltrieren können. Ein Grund dafür ist vielfach das Fehlen einer durchgängigen Privileged-Access-Security-Strategie. Der aktuelle »CyberArk Global Advanced Threat Landscape 2019 Report« hat ergeben, dass weniger als die Hälfte der deutschen Unternehmen eine Privileged-Access-Security-Strategie im Umfeld von DevOps, Internet of Things (IoT), Robotic Process…
NEWS | IT-SECURITY | SERVICES | TIPPS
Kontoübernahmen und Identitätsdiebstahl: Neue Vertriebsstrategie im Dark Web
Combolists-as-a-Service (CaaS) ermöglicht Optimierung und Automatisierung von Kontoübernahmen und Identitätsdiebstahl. Das Konto von Anwendern zu hacken ist wie der Einbruch in ein Haus: Entweder man verschafft sich gewaltsam Zutritt oder sucht nach dem Ersatzschlüssel unter der Fußmatte. In der Cyberwelt scheint letztere Vorgehensweise so einfach wie nie. Die Zahl der exponierten Zugangsdaten im Open, Deep…
TRENDS 2019 | NEWS | TRENDS SECURITY | TRENDS SERVICES | IT-SECURITY
Security-as-a-Service boomt
Cloud-basierte Sicherheitslösungen helfen Unternehmen, mit sich ändernden Marktbedingungen, steigenden Kosten und fehlendem Cybersecurity-Personal Schritt zu halten. Bis zum Jahr 2021 werden mehr als 70 Prozent der Unternehmen Security-as-a-Service (SECaaS) nutzen und ihre Sicherheitslösungen damit größtenteils aus der Cloud beziehen. Dies ist das Ergebnis einer aktuellen Umfrage des PAM-Spezialisten Thycotic auf der diesjährigen European Identity…
NEWS | CLOUD COMPUTING | IT-SECURITY | AUSGABE 5-6-2019 | SECURITY SPEZIAL 5-6-2019
Sensitive kryptografische Schlüssel schützen – Daten in der Cloud optimal verschlüsseln
An der Datenverschlüsselung in der Cloud führt kein Weg vorbei. In komplexen Umgebungen und bei der Nutzung von Cloud-Services mehrerer Anbieter benötigen Unternehmen umfassende Schlüsselmanagement-Lösungen.