Aktuelles, Branche, Studien - geschrieben von dp am Mittwoch, Juli 6, 2016 23:20 - noch keine Kommentare
Aktuelle Analyse von Angriffsmustern zielgerichteter Cyber-Attacken
Herkömmliche Abwehrmethoden haben sich laut CyberArk als unzulänglich erwiesen
[datensicherheit.de, 06.07.2016] Cyber-Attacken werden zunehmend raffinierter – herkömmliche Abwehrmethoden haben sich laut CyberArk dabei als unzulänglich erwiesen. Die Analyse von Angriffsmustern zielgerichteter Attacken zeige, welche neuen Lösungen benötigt würden.
Typisches Angriffsszenario in vier Schritten
Experten der CyberArk Research Labs in Newton bei Boston im US-Staat Massachusetts haben nach eigenen Angaben zahlreiche Cyber-Angriffe detailliert analysiert. Eine Auswertung der Angriffsmethoden und -techniken sei von „essenzieller Bedeutung, um adäquate Abwehrmaßnahmen ergreifen zu können“.
Bei den untersuchten Sicherheitsvorfällen habe sich ein typisches Angriffsszenario in vier Schritten herauskristallisiert:
- Diebstahl und Nutzung von Zugangsdaten
Prinzipiell seien zunächst zwei Angriffsarten zu unterscheiden – die Insider-Attacke und der externe Angriff. Der Unterschied liege darin, dass sich der Insider bereits innerhalb des Unternehmensnetzes befinde und über einen Account-Zugriff mit Zugangsdaten verfüge.
Der externe Angreifer hingegen habe kein Account und müsse erst den Perimeter-Schutzwall überwinden. Hierfür gebe es mehrere Möglichkeiten: Weit verbreitet seien zum Beispiel Phishing-Attacken.
Die weiteren Schritte in der Fortsetzung des Angriffs seien identisch, gleichgültig, ob Insider oder Externer als Akteur – immer gehe es dann um die missbräuchliche Nutzung von Zugangsdaten. - Erweiterung der Privilegien
Gelangt der Angreifer in den Besitz von Zugangsdaten von Usern, die nureingeschränkte Rechte besitzen, bestehen laut CyberArk zwei Möglichkeiten: Erstens könnte er versuchen, die mit einem bestimmten Account verbundenen Privilegien zu erweitern, indem er Schwachstellen des Betriebssystems ausnutzt.
Zweitens könnte er auch versuchen, auf einen anderes Account mit erweiterten Rechten zuzugreifen. Ein beliebtes Angriffsziel seien dabei lokale Administrator-Konten. Oft werde dabei ein identisches Passwort für alle Geräte der jeweiligen Plattform verwendet. Ein derart weitverbreitetes Passwort biete ein einfaches Ziel für fortschrittliche Angriffe. - Zugriff auf Zielsysteme
Dieser Schritt lasse sich in drei Stufen untergliedern: Zunächst testet der Angreifer laut CyberArk, auf welche Systeme er mit den privilegierten Zugangsdaten zugreifen kann. Anschließend verschaffe er sich Zugriff auf weitere Accounts, zum
Beispiel durch Entwendung von Passwort-Hashes. In einem letzten Schritt versuche der Angreifer dann, auf das Zielsystem zuzugreifen. Sei dies nicht möglich, wiederhole er die Stufen 2 und 3.
Es sei dabei durchaus keine Seltenheit, dass der Angreifer diesen Vorgang mehrfach wiederholt, um letztendlich Zugang zum Zielsystem zu erhalten. - Vollendung des Angriffs
Im letzten Schritt erreiche der Angreifer sein Ziel. Beispiele seien der Diebstahl vertraulicher Daten oder Geistigen Eigentums bzw. die Unterbrechung des Geschäftsbetriebs durch Lahmlegen unternehmenskritischer Systeme und Applikationen.
Angriffe so früh wie möglich aufspüren und stoppen!
Sobald Schritt 4 vollzogen ist, sei für Unternehmen der Schadensfall eingetreten. Selbst wenn sie einen Sicherheitsvorfall auf dieser Stufe bemerkten – zum Beispiel einen laufenden Datenabfluss –, könne es zu spät sein, um einen Schaden vollständig auszuschließen. Deshalb sei es zwingend erforderlich, einen Angriff so früh wie möglich aufzuspüren und zu stoppen.
Die jüngste Vergangenheit habe gezeigt, dass es mit herkömmlichen Sicherheitsmaßnahmen unmöglich sei, alle Angreifer außerhalb des eigenen Perimeters zu halten – liege ein Insider-Angriff vor, sei das ohnehin nicht möglich, erklärt Michael Kleist, „Regional Director DACH“ bei CyberArk in Düsseldorf. „Zwar ist Perimeter-Sicherheit wichtig, aber Unternehmen sollten sich nicht ausschließlich darauf verlassen, Angriffe am Schutzwall stoppen zu können“, so Kleist. Ebenso wichtig sei es, Attacken in späteren Phasen zuverlässig zu unterbrechen – und dafür gebe es mehrere „Best Practices“.
CyberArk: Best Practices für erfolgreiche Abwehr zielgerichteter Attacken
Zielgerichtete Attacken seien fast ausschließlich auf eine missbräuchliche Nutzung privilegierter Accounts zurückzuführen. Ihre Sicherheit müsse deshalb bei der Konzeption einer Abwehrstrategie immer im Vordergrund stehen. Nur so könne ein Unternehmen den aktuellen, zielgerichteten Angriffen trotzen, betont Kleist
- Sichere Speicherung privilegierter Zugangsdaten
Alle privilegierten Zugangsdaten, einschließlich Passwörter und SSH-Keys, müssen sicher gespeichert werden und eine Zugriffsmöglichkeit sollte nur mit Multifaktor-Authentifizierung bestehen. - Automatische Änderung privilegierter Zugangsdaten
Alle privilegierten Zugangsdaten müssen regelmäßig geändert werden. - Isolierung und Überwachung privilegierter Account-Sessions
Privilegierte Sessions von Administratoren sollten in einer vollständig isolierten und überwachten Umgebung erfolgen, um eine mögliche Ausbreitung von Malware zu verhindern. - Richtlinienbasierte Einschränkung von Administratorrechten und Endpunkt-Sicherung
Administratorrechte sollten aufgabenbezogen nur granular vergeben werden, und auch an Endpunkten müssen flexible Least-Privilege-Richtlinien für Business- und administrative Anwender umgesetzt werden.
Weitere Informationen zum Thema:
CYBERARK
White Paper: Know the Path of an Attacker and Block it with Privileged Account Security
Aktuelles, Experten - Aug. 31, 2025 0:13 - noch keine Kommentare
PayPal-Zahlungsausfälle: Verbraucherzentrale NRW gibt Betroffenen Empfehlungen
weitere Beiträge in Experten
- Länderdomain-Ranking: Deutschland auf Platz 2 – China global führend
- 19. Paderborner Tag der IT-Sicherheit zu zentralen Themen digitaler Sicherheit
- Bitkom-Forderung: Nationaler Sicherheitsrat muss Cyberraum in den Blick nehmen
- Drug-resistant epilepsy: KFSHRC reports more than 2,000 successful procedures using Stereo-EEG
- Medikamentenresistente Epilepsie: KFSHRC meldet mehr als 2.000 erfolgreiche Eingriffe mittels Stereo-EEG
Branche, Studien - Aug. 30, 2025 0:59 - noch keine Kommentare
Task Scams: Trend Micro warnt vor digitalem Job-Betrug
weitere Beiträge in Branche
- Zum Bundesliga-Start warnt Kaspersky vor cyberkriminellem Angriffs-Portfolio
- PromptLock: ESET-Warnung vor erster autonomer KI-Ransomware
- Best Practices für Unternehmen: 8 Cohesity-Tipps zum Schutz vor Cyberangriffen
- Sophos: Ransomware setzt Einzelhandel massiv unter Druck – IT-Teams gelangen ans Limit
- Kommunikationslösungen für deutsche Behörden: Benjamin Schilz rät zur Abkehr von US-Anbietern
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren