Gezielte Angriffe intelligent aufdecken – Beobachten von Privilegien-Interaktionen

Eine neue Cyberangriffstaktik zielt auf privilegierte Elemente, um sich ungehinderten Zugang zu fremden Netzwerken verschaffen.

 

Im Mai 2019 wurden die Computersysteme der Stadtverwaltung von Baltimore mit einer neuen Ransomware-Variante namens RobbinHood infiziert. Alle Server, mit Ausnahme der wesentlichen Dienste, wurden offline genommen. Die Hacker forderten über 75.000 US-Dollar Lösegeld in Bitcoin. Auch eine Woche später blieben alle Systeme für die städtischen Mitarbeiter offline – und eine vollständige Wiederherstellung ist derzeit noch im Gange. Es war der zweite große Einsatz von RobbinHood-Ransomware in einer US-amerikanischen Stadt im Jahr 2019, von dem auch Greenville betroffen war.

Vectra, Anbieter eine Plattform für Cybersicherheit auf Basis künstlicher Intelligenz, empfiehlt vor dem Hintergrund dieser und vergleichbarer Attacken die Privilegien-Interaktionen zwischen verschiedenen Elementen im Netzwerk automatisiert zu überwachen.

 

Die folgende Grafik veranschaulicht den wahrscheinlichen Angriffsverlauf bei RobbinHood:

 

Separat dazu sind in letzter Zeit Kampagnen entstanden, die typischerweise von einer APT-Gruppe namens Thrip durchgeführt werden. Es gibt nach Angaben von Vectra Hinweise darauf, dass das Ziel der Thrip-Kampagne die Cyberspionage ist. Zu den Zielbranchen gehören Verteidigung, Telekommunikation und Satellitenkommunikation, insbesondere der Geodatensektor. Die Thrip-Gruppe nahm einen Satellitenkommunikationsbetreiber ins Visier. Sobald die Angreifer im Netzwerk waren, begannen sie damit, nach Geräten für die Überwachung und Steuerung von Satelliten zu suchen. Sie bewegten sich seitlich im fremden Netzwerk, um diese Geräte zu finden, zu kompromittieren und dann die Kontrolle zu übernehmen. Die Angreifer wollten möglicherweise Informationen sammeln und Daten herausfiltern oder sogar die Satelliten selbst deaktivieren.

 

Die folgende Abbildung zeigt den wahrscheinlichen Angriffsverlauf der Thrip-Gruppe:

 

Gemeinsamkeiten zwischen den Angriffen

Was haben diese Angriffe gemeinsam? Beide zielten auf privilegierte Elemente, um sich einen ungehinderten Zugang zu verschaffen. Die Rechte-Eskalation von einem regulären Benutzerkonto zu einem privilegierten Konto ist ein entscheidender Schritt für die Angreifer auf ihrem Weg zu ihrem Endziel. Privilegierte Elemente beschränken sich nicht nur auf Konten, sondern auch auf Hosts und Dienste innerhalb der Netzwerkumgebung.

Hacker können gestohlene Zugriffsrechte nutzen, um proprietäre digitale Assets und Daten zu stehlen, ohne Alarme auszulösen oder Verwüstungen und Störungen in der Netzwerkumgebung anzurichten. Sie können auch Geschäfts- und Zahlungsprozesse untergraben. Leider ist das erst der Anfang. Cyberangreifer und Sicherheitsfachkräfte sind sich dieses Risikos bewusst. Ein aktueller Bericht von Gartner zeigt, dass der privilegierte Zugang bei Sicherheitsexperten oberste Priorität hat. Darüber hinaus schätzt Forrester, dass 80 Prozent der Sicherheitsverletzungen privilegierte Konten betreffen.

Die aktuellen Sicherheitsansätze lassen diese Elemente jedoch unbeabsichtigt exponiert. Die Ansätze sind präventionsorientiert oder basieren auf manuellen Berechtigungen. Bedrohungen werden bei ihrem Auftreten identifiziert, was wenig Zeit für eine angemessene Reaktion lässt. Andere Ansätze behandeln alle Elemente als gleichwertig und verwenden musterbasierte Techniken, was zu einem übermäßigen Volumen an Warnungen führt, das nicht bewältigt werden kann. Leider fehlt es den meisten Sicherheitsteams an der Fähigkeit, schnell und dynamisch die Elemente zu bestimmen, die von Angreifern ins Visier genommen werden und einen Angriff zu verhindern.

 

Ein neuer Ansatz

Sicherheitsteams benötigen nach Meinung von Vectra einen neuen Ansatz. Anstatt sich auf das gewährte Privileg eines Unternehmens zu verlassen oder gegenüber dem Privileg agnostisch zu sein, muss sich der Ansatz darauf konzentrieren, wie Unternehmen ihre Privilegien innerhalb des Netzwerks tatsächlich nutzen, etwa das beobachtete Privileg.

Dieser Standpunkt ähnelt der Art und Weise, wie Angreifer die Interaktionen zwischen den einzelnen Elementen beobachten oder ableiten. Es ist unerlässlich, dass Verteidiger ähnlich wie ihre Gegner denken. Dies kann in zwei Teilen geschehen:

  • Beobachtung der Wechselwirkungen zwischen den einzelnen Elementen. Basierend auf den Verhaltensinteraktionen zwischen den Elementen und der Empfindlichkeit der Vermögenswerte, auf die schließlich zugegriffen wird, bestimmen Sicherheitsexperten dynamisch die Berechtigungsstufe jedes Elements. Elemente mit ähnlichen Zugriffsmustern werden zu Peers zusammengefasst. Dies kann durch künstliche Intelligenz und maschinelle Lernmodelle erreicht werden.
  • Bestimmung von Anomalien bei der Interaktion zwischen privilegierten Elementen. Es gilt eine gegebene Zugriffsanforderung mit der Zugriffshistorie abzugleichen, um die Entfernung aus der normalen Gruppendistanz zu bestimmen. Man sollte sich dabei auf die Anomalien konzentrieren, die tatsächlich sicherheitsrelevante Auswirkungen und Konsequenzen haben.

 

Ein Standardbeispiel ist der Fall, bei dem alle drei an einer Interaktion beteiligten Elemente privilegiert sind und in der Regel nichts miteinander zu tun haben. Ein Beispiel wäre: Ein hochprivilegiertes Konto wird von einem Host aus verwendet, von dem aus es normalerweise auf einen Dienst zugreift, der normalerweise nicht von diesem Konto aus genutzt wird. Dies tritt häufig auf, wenn ein Angreifer einen Host kompromittiert, erfolgreich die Berechtigung eines Kontos gestohlen und begonnen hat, alle zugänglichen Dienste zu untersuchen. Alternativ könnte dies auch ein Szenario sein, in dem ein Administrator schädliche Aktionen durchführt.

Im Zusammenhang mit den Beispielen RobbinHood und Thrip könnte ein solches Szenario den kritischsten Teil eines Angriffs ermöglichen: Die Angreifer bewegen sich in Richtung immer höher privilegierter Zugangsdaten, die sie bei der Auskundschaftung und seitlichen Bewegung innerhalb des Netzwerks verwenden können, wie Vectra abschließend zusammenfasst.

 

71 Artikel zu „Privileged“

IT-Sicherheitsexperten bekunden mangelndes Vertrauen in Privileged Access Management

  Cybersicherheit als solche und insbesondere der Schutz von vertraulichen Daten waren vielleicht nie wichtiger als gerade jetzt. Die allgemeine Aufmerksamkeit richtet sich inzwischen sehr viel stärker auf das Thema. Das gilt gleichermaßen für Regierungen und Aufsichtsbehörden. Die Risiken sind höher denn je. Kein Unternehmen, keine Organisation kann sich mehr hinter einer magischen »BlackBox« verschanzen,…

Die Bedeutung von Cloud-basiertem Privileged Identity Management

Der Wandel traditioneller Perimeter der IT-Sicherheit macht den sicheren Zugriff privilegierter Anwender zum Schlüsselfaktor für die Sicherheit von hybriden Unternehmen. Eine Studie belegt dies und zeigt die Vorteile von Cloud-basiertem Privileged Identity Management (PIM) [1]. Die Studie dokumentiert, dass PIM-as-a-Service der optimale Ansatz für die Sicherung von hybriden IT-Infrastrukturen ist. Eine PIM-Lösung muss Zugriffe sichern,…

IT-Profis unterschätzen Endpoint Security häufig 

Kritische Geräte wie PCs und Drucker sind weiterhin eine Sicherheitslücke. Nur bei einem von drei Unternehmen ist Endpoint Security ein zentraler Bestandteil der eigenen Cyber-Security-Strategie. Gerade einmal 28 Prozent der Unternehmen decken Sicherheit in ihren Anforderungskatalogen ab. Bei fast der Hälfte aller Unternehmen sind Drucker nicht Teil der Endpoint Security – für 62 Prozent bieten…

Protected App sichert Zugriffe auf unternehmenskritische Zielsysteme

Sicherheitssoftware-Anbieter Bromium ist auf der it-sa in Nürnberg erneut als Mitaussteller am Stand von Computacenter vertreten. Im Mittelpunkt der Produktpräsentationen steht mit Protected App eine Lösung, die Zugriffe auf kritische Unternehmensapplikationen auf Basis einer Hardware-isolierten Virtualisierung schützt. Das Problem ist altbekannt: Mit dem Internet verbundene Arbeitsplatzrechner sind immer der Gefahr einer Kompromittierung ausgesetzt. Wird von…

Identity Governance and Administration: IGA messbar machen – in 5 praktikablen Schritten

  Die meisten Unternehmen verzichten darauf zu messen, wie effektiv ihre Identity-Governance-and-Administration-Lösung (IGA) tatsächlich ist. Falls sie es doch tun, dann wahrscheinlich über eine indirekte Messgröße, zum Beispiel indem man erfasst, wie hoch das Risiko einer Datenschutzverletzung ist oder ob bereits ein Angriff stattgefunden hat oder nicht. Um die komplexe Betrachtung für unsere Zwecke zu…

Mehr als die Hälfte der deutschen Unternehmen ist unzureichend auf Cyberattacken vorbereitet

63 Prozent der deutschen Unternehmen glauben, dass Angreifer ihre Netzwerke problemlos infiltrieren können. Ein Grund dafür ist vielfach das Fehlen einer durchgängigen Privileged-Access-Security-Strategie.   Der aktuelle »CyberArk Global Advanced Threat Landscape 2019 Report« hat ergeben, dass weniger als die Hälfte der deutschen Unternehmen eine Privileged-Access-Security-Strategie im Umfeld von DevOps, Internet of Things (IoT), Robotic Process…

Kontoübernahmen und Identitätsdiebstahl: Neue Vertriebsstrategie im Dark Web

Combolists-as-a-Service (CaaS) ermöglicht Optimierung und Automatisierung von Kontoübernahmen und Identitätsdiebstahl. Das Konto von Anwendern zu hacken ist wie der Einbruch in ein Haus: Entweder man verschafft sich gewaltsam Zutritt oder sucht nach dem Ersatzschlüssel unter der Fußmatte. In der Cyberwelt scheint letztere Vorgehensweise so einfach wie nie. Die Zahl der exponierten Zugangsdaten im Open, Deep…

Security-as-a-Service boomt

Cloud-basierte Sicherheitslösungen helfen Unternehmen, mit sich ändernden Marktbedingungen, steigenden Kosten und fehlendem Cybersecurity-Personal Schritt zu halten.   Bis zum Jahr 2021 werden mehr als 70 Prozent der Unternehmen Security-as-a-Service (SECaaS) nutzen und ihre Sicherheitslösungen damit größtenteils aus der Cloud beziehen. Dies ist das Ergebnis einer aktuellen Umfrage des PAM-Spezialisten Thycotic auf der diesjährigen European Identity…