Aktuelle Analyse von Angriffsmustern zielgerichteter Cyber-Attacken

Herkömmliche Abwehrmethoden haben sich laut CyberArk als unzulänglich erwiesen

[datensicherheit.de, 06.07.2016] Cyber-Attacken werden zunehmend raffinierter – herkömmliche Abwehrmethoden haben sich laut CyberArk dabei als unzulänglich erwiesen. Die Analyse von Angriffsmustern zielgerichteter Attacken zeige, welche neuen Lösungen benötigt würden.

Typisches Angriffsszenario in vier Schritten

Experten der CyberArk Research Labs in Newton bei Boston im US-Staat Massachusetts haben nach eigenen Angaben zahlreiche Cyber-Angriffe detailliert analysiert. Eine Auswertung der Angriffsmethoden und -techniken sei von „essenzieller Bedeutung, um adäquate Abwehrmaßnahmen ergreifen zu können“.
Bei den untersuchten Sicherheitsvorfällen habe sich ein typisches Angriffsszenario in vier Schritten herauskristallisiert:

1. Diebstahl und Nutzung von Zugangsdaten
   Prinzipiell seien zunächst zwei Angriffsarten zu unterscheiden – die Insider-Attacke und der externe Angriff. Der Unterschied liege darin, dass sich der Insider bereits innerhalb des Unternehmensnetzes befinde und über einen Account-Zugriff mit Zugangsdaten verfüge.
   Der externe Angreifer hingegen habe kein Account und müsse erst den Perimeter-Schutzwall überwinden. Hierfür gebe es mehrere Möglichkeiten: Weit verbreitet seien zum Beispiel Phishing-Attacken.
   Die weiteren Schritte in der Fortsetzung des Angriffs seien identisch, gleichgültig, ob Insider oder Externer als Akteur – immer gehe es dann um die missbräuchliche Nutzung von Zugangsdaten.
2. Erweiterung der Privilegien
   Gelangt der Angreifer in den Besitz von Zugangsdaten von Usern, die nureingeschränkte Rechte besitzen, bestehen laut CyberArk zwei Möglichkeiten: Erstens könnte er versuchen, die mit einem bestimmten Account verbundenen Privilegien zu erweitern, indem er Schwachstellen des Betriebssystems ausnutzt.
   Zweitens könnte er auch versuchen, auf einen anderes Account mit erweiterten Rechten zuzugreifen. Ein beliebtes Angriffsziel seien dabei lokale Administrator-Konten. Oft werde dabei ein identisches Passwort für alle Geräte der jeweiligen Plattform verwendet. Ein derart weitverbreitetes Passwort biete ein einfaches Ziel für fortschrittliche Angriffe.
3. Zugriff auf Zielsysteme
   Dieser Schritt lasse sich in drei Stufen untergliedern: Zunächst testet der Angreifer laut CyberArk, auf welche Systeme er mit den privilegierten Zugangsdaten zugreifen kann. Anschließend verschaffe er sich Zugriff auf weitere Accounts, zum
   Beispiel durch Entwendung von Passwort-Hashes. In einem letzten Schritt versuche der Angreifer dann, auf das Zielsystem zuzugreifen. Sei dies nicht möglich, wiederhole er die Stufen 2 und 3.
   Es sei dabei durchaus keine Seltenheit, dass der Angreifer diesen Vorgang mehrfach wiederholt, um letztendlich Zugang zum Zielsystem zu erhalten.
4. Vollendung des Angriffs
   Im letzten Schritt erreiche der Angreifer sein Ziel. Beispiele seien der Diebstahl vertraulicher Daten oder Geistigen Eigentums bzw. die Unterbrechung des Geschäftsbetriebs durch Lahmlegen unternehmenskritischer Systeme und Applikationen.

Angriffe so früh wie möglich aufspüren und stoppen!

Sobald Schritt 4 vollzogen ist, sei für Unternehmen der Schadensfall eingetreten. Selbst wenn sie einen Sicherheitsvorfall auf dieser Stufe bemerkten – zum Beispiel einen laufenden Datenabfluss –, könne es zu spät sein, um einen Schaden vollständig auszuschließen. Deshalb sei es zwingend erforderlich, einen Angriff so früh wie möglich aufzuspüren und zu stoppen.
Die jüngste Vergangenheit habe gezeigt, dass es mit herkömmlichen Sicherheitsmaßnahmen unmöglich sei, alle Angreifer außerhalb des eigenen Perimeters zu halten – liege ein Insider-Angriff vor, sei das ohnehin nicht möglich, erklärt Michael Kleist, „Regional Director DACH“ bei CyberArk in Düsseldorf. „Zwar ist Perimeter-Sicherheit wichtig, aber Unternehmen sollten sich nicht ausschließlich darauf verlassen, Angriffe am Schutzwall stoppen zu können“, so Kleist. Ebenso wichtig sei es, Attacken in späteren Phasen zuverlässig zu unterbrechen – und dafür gebe es mehrere „Best Practices“.

CyberArk: Best Practices für erfolgreiche Abwehr zielgerichteter Attacken

Zielgerichtete Attacken seien fast ausschließlich auf eine missbräuchliche Nutzung privilegierter Accounts zurückzuführen. Ihre Sicherheit müsse deshalb bei der Konzeption einer Abwehrstrategie immer im Vordergrund stehen. Nur so könne ein Unternehmen den aktuellen, zielgerichteten Angriffen trotzen, betont Kleist

• Sichere Speicherung privilegierter Zugangsdaten
  Alle privilegierten Zugangsdaten, einschließlich Passwörter und SSH-Keys, müssen sicher gespeichert werden und eine Zugriffsmöglichkeit sollte nur mit Multifaktor-Authentifizierung bestehen.
• Automatische Änderung privilegierter Zugangsdaten
  Alle privilegierten Zugangsdaten müssen regelmäßig geändert werden.
• Isolierung und Überwachung privilegierter Account-Sessions
  Privilegierte Sessions von Administratoren sollten in einer vollständig isolierten und überwachten Umgebung erfolgen, um eine mögliche Ausbreitung von Malware zu verhindern.
• Richtlinienbasierte Einschränkung von Administratorrechten und Endpunkt-Sicherung
  Administratorrechte sollten aufgabenbezogen nur granular vergeben werden, und auch an Endpunkten müssen flexible Least-Privilege-Richtlinien für Business- und administrative Anwender umgesetzt werden.

Weitere Informationen zum Thema:

CYBERARK
White Paper: Know the Path of an Attacker and Block it with Privileged Account Security