Credential Theft unterschätzt: Zugangsdaten als Türöffner für Cyber-Kriminelle

Palo Alto Networks rät zur Senkung des Risikos durch Prävention

[datensicherheit.de, 04.04.2017] Palo Alto Networks weist in einer aktuellen Warnung darauf hin, dass die Gefahr durch den Diebstahl von Zugangsdaten (Credentials) zwar „weithin bekannt“ sei, aber dennoch „oft unterschätzt“ werde. Unternehmen wird daher geraten, dieser vermeintlich simplen und doch extrem effektiven Angriffsmethode mehr Aufmerksamkeit zu widmen.

Phishing kostengünstig durchführbar und extrem effizient

Der erste Schritt bei einem auf Zugangsdaten basierenden Cyber-Angriff sei, an die vertraulichen Daten zu gelangen. Die Angreifer verwendeten hierzu für gewöhnlich Phishing, da es kostengünstig durchführbar und extrem effizient sei. Dessen Wirksamkeit beruhe darauf, Mitarbeiter mittels sogenannter Social-Engineering-Methoden zu täuschen – im Gegensatz zu Malware und Exploits, die auf Schwachstellen in der IT-Sicherheit beruhten.
Der Diebstahl von geschäftlichen Zugangsdaten sei „in der Regel eine gezielte Anstrengung der kriminellen Akteure“. Die Angreifer durchforsteten Social-Media-Websites wie LinkedIn, suchten nach bestimmten Benutzern, von deren Anmeldeinformationen sie sich Zugriff auf kritische Daten und Informationen erhofften. Die für den Diebstahl von Unternehmenszugangsdaten verwendeten Phishing-E-Mails und -Webseiten seien viel anspruchsvoller als die auf Privatanwender abzielenden „Köder“. Die Angreifer investierten Einiges, um diese E-Mails und Webseiten fast identisch mit legitimen Unternehmensanwendungen und realer Geschäftskommunikation zu machen.

Das Risiko minimieren!

In dieser Angriffsphase spiele das Sicherheitsbewusstsein der Mitarbeiter eine „entscheidende Rolle als erste Verteidigungslinie“. Leider gebe es keine Garantie, dass die Mitarbeiter „jeden Phishing-Versuch mit 100-prozentiger Sicherheit identifizieren werden“.
Um das Risiko zu minimieren, empfiehlt Palo Alto Networks Folgendes: Die Zugangsdaten sollten auf genehmigte Anwendungen beschränkt sein und die Verwendung von nicht-geschäftsrelevanten oder unbekannten Anwendungen und Websites sollte blockiert werden.
Sicherheitsprodukte müssten dafür sorgen, dass Anmeldeinformationen das Netzwerk nicht verlassen und auf bösartigen Websites landen.

Missbrauch von Zugangsdaten

Beim Missbrauch der Zugangsdaten für den Angriff an sich würden die gestohlenen Passwörter benutzt, um sich bei geschäftlichen Anwendungen zu authentifizieren und Daten zu stehlen. Sobald ein Angreifer die Anmeldeinformationen und Passwörter erhält, könne er diese nutzen, um ins fremde Netzwerk einzudringen, Sicherheitsmaßnahmen zu umgehen, sich seitlich innerhalb des Netzwerks zu bewegen und Daten zu stehlen. Ebenso könnten die Anmeldeinformationen und Passwörter an andere Cyber-Kriminelle verkauft werden.
In einer nicht-segmentierten Umgebung könne sich ein Angreifer frei im Netzwerk bewegen. Wenn die Umgebung jedoch segmentiert und die Sichtbarkeit über Benutzer und Anwendungen hinweg gewährleistet ist, könnten gezielte Sicherheitsmaßnahmen verhindern, dass ein Angreifer sich seitlich bewegt und Zugriff auf kritische Daten erhält.
Sobald ein Angreifer die Zugangsdaten hat, um wie ein gültiger Benutzer zu operieren, gebe es kaum etwas, dass getan werden kann, um diesen Eindringling als solchen zu identifizieren. Unternehmen implementierten häufig Multi-Faktor-Authentifizierung für Anwendungen, damit Benutzer ihre Identität mehr als einmal validieren müssen. Allerdings sei dies nicht skalierbar für jede einzelne im Unternehmen verwendete Anwendung. Die Implementierung einer richtlinienbasierten Multi-Faktor-Authentifizierung auf Netzwerkebene, d.h. auf der Firewall, stelle jedoch die erforderliche Skalierbarkeit und Benutzerfreundlichkeit zur Verfügung.

Risiko durch Prävention senken!

Integrierte plattformbasierte Sicherheitslösungen könnten auf Zugangsdaten basierende Angriffe an mehreren Stellen stoppen. Dies beginne bereits damit, zu verhindern, dass die Angreifer Anmeldeinformationen überhaupt stehlen können. Die Strategie laute dabei Prävention und werde durch eine ineinandergreifende Kombination aus Next-Generation-Firewall, Bedrohungserkennung, Bedrohungsanalyse aus der Cloud sowie URL-Filterung umgesetzt. So könnten bekannte und unbekannte, für den Diebstahl und Missbrauch von Anmeldeinformationen verwendete Angriffsmethoden vereitelt werden.
Mit einer mobilen Lösung könnten die Schutzfunktionen der Plattform auf mobile Arbeitskräfte durch zusätzliche Maßnahmen zur Identifizierung von auf geschäftskritische Anwendungen zugreifende Benutzer und Geräte erweitert werden.
Der Diebstahl und Missbrauch von Zugangsdaten stelle ein „großes Sicherheitsrisiko für Unternehmen“ dar. Mit der richtigen Strategie und zeitgemäßen Sicherheitslösungen könne dieses Risiko nach Meinung von Palo Alto Networks jedoch „auf ein Minimum reduziert“ werden. Der Schlüssel hierfür sei Prävention.

Weitere Informationen zum Thema:

datensicherheit.de, 23.03.2017
Palo Alto Networks meldet Missbrauch von Android Plugin Frameworks

datensicherheit.de, 21.10.2016
Sarvdap: Palo Alto Networks meldet Entdeckung eines cleveren Spam-Bots

datensicherheit.de, 24.08.2016
Palo Alto Networks: Antivirus-Lösungen für Endpoints in Behörden überfordert