Aktuelles, Branche, Studien - geschrieben von dp am Montag, Januar 4, 2021 20:51 - noch keine Kommentare
Angreifer beim Eindringen aus der Cloud ins Netzwerk aufspüren
IT-Sicherheitstipps im Cloud-Umfeld von Vectra AI zum Jahresauftakt 2021
[datensicherheit.de, 04.01.2021] Die zahlreichen erfolgreichen Cyber-Angriffe der vergangenen Monate hätten es mehr als deutlich gemacht: IT-Sicherheitsteams benötigten einen Einblick in die Interaktion der Benutzer mit ihrer IT-Infrastruktur über alle Medien hinweg. Vectra AI erläutert in einer aktuellen Stellungnahme, wie dies möglich werden könnte. Sicherheitsingenieure hätten Lösungen entwickelt, welche eine einheitliche Ansicht der Konten im Netzwerk und in der Cloud böten. Zudem wird darauf hingewiesen, dass – um herauszufinden, wie Angreifer „Office 365“ ausnutzen –, der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen liefere. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer aufzuspüren und darauf reagieren.
Angriffe aus der Cloud: Während der gesamten Phase wachsam bleiben!
„Wird ein potenzieller Angreifer entdeckt, der versucht, Daten aus der Produktionsdatenbank zu exfiltrieren, lässt sich dieser nicht einfach ausschalten, um sich der nächsten Aufgabe zuzuwenden.“
Sicherheitsexperten müssten daher sehen können, wie und wo die Angreifer eingedrungen sind, und diese Lücke stopfen. Das könnten sie jedoch nicht, „wenn sie die Punkte zwischen der Cloud und der Netzwerk-Infrastruktur nicht verbinden können“.
Angreifer sehen Cloud-Netzwerk nicht als das geringste Hindernis
Ein Beispiel wäre demnach, wenn ein Benutzer auf „Office 365“ das Opfer von Spear-Phishing wird, so dass gestohlene Zugangsdaten verwendet werden, um auf Kritische Infrastrukturen zuzugreifen. Eine zeitgemäße Sicherheitsplattform zeige dann diese Informationen auf, mit vollständigem Kontext darüber, was der Benutzer wann getan hat und warum man eingreifen sollte.
„Wenn jemand einige fragwürdige Exchange-Operationen auf ,Office 365‘ durchführt, kann eine moderne Lösung schnell zeigen, welche Hosts dieses Konto im Netzwerk betrifft, so dass sich sehen lässt, ob es verdächtige Aktivitäten auf diesen Hosts gegeben hat.“ Bei der Betrachtung einiger aktueller Angriffe werde deutlich, dass Angreifer das Cloud-Netzwerk nicht als das geringste Hindernis für den Verlauf ihres Angriffs sähen.
Ausnutzung legitimer Tools für unerlaubte Aktionen über die Cloud
Die Aktionen von „APT 33“ hätten mit dem Brute-Forcing schwacher Zugangsdaten und der Ausnutzung von E-Mail-Regeln begonnen, um zum Endpunkt zu gelangen. „Einmal auf dem Endpunkt angekommen, wurden die Zugangsdaten desselben Benutzers genutzt, um den Angriff seitlich voranzutreiben. Wenn die Netzwerk- und Cloud-Erkennungsportfolios nicht miteinander verknüpft sind, kann jedoch das Ausmaß eines solchen Angriffs komplett übersehen werden.“
Die Angriffsfläche von „Office 365“ sei nicht nur auf den ersten Zugriff beschränkt. Angreifer mit „Office 365“-Zugang könnten „SharePoint“ missbrauchen, um freigegebene Ordner zu beschädigen und sich mithilfe von DLL-Hijacking-Techniken oder durch das Hochladen von Malware seitlich auf Endpunkte auszubreiten. Dieselbe „SharePoint“-Funktionalität, welche für die Synchronisierung normaler Benutzerdateien verwendet werde, könne auf jedem Endpunkt ausgeführt werden, um eine einzelne Freigabe zu synchronisieren und so die Standard-Netzwerksammlungstechniken zu umgehen. Ein Angreifer könne dann mit ein paar Klicks dauerhafte Exfiltrationskanäle über „Power Automate“-Flows einrichten, welche täglich Daten von jedem infizierten Endpunkt hochladen könnten. Hierzu gebe es viele Möglichkeiten und es würden immer mehr.
Network Detection and Response empfohlen, um Angriffen über die Cloud zu wehren
Denkbar sei auch ein Problem in der Cloud, bei dem sich die Angreifer mit Brute-Force-Aktivitäten die Zugangsdaten eines Kontos verschafft haben, gefolgt von der Erstellung neuer E-Mail-Regeln, „was zwar schlecht, aber nicht schlimm ist“. Es sei dabei aber auch zu einer seitlichen Bewegung im Netzwerk gekommen, was viel besorgniserregender sei, da nicht bekannt sei, wie die Hacker hereingekommen sind. „In Cognito bedeutet das Zusammenführen dieser Ansichten, dass Analysten einen frühen und vollständigen Überblick haben, der es ihnen ermöglicht, den Angriff zu stoppen, bevor Daten verschoben werden oder Schaden entsteht.“
Um herauszufinden, wie Angreifer „Office 365“ ausnutzen, liefere der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer in ihren Netzwerken und „Office 365“-Implementierungen zu erkennen und darauf zu reagieren.
Weitere Informationen zum Thema:
datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten
VECTRA, Chris Morales, 19.10.2020
The Office 365 Tools and Open Services Attackers Love to Use
VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI
Aktuelles, Branche, Gastbeiträge - Feb. 13, 2025 13:16 - noch keine Kommentare
Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
weitere Beiträge in Experten
- Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen
- Safer Internet Day 2025: Mythen zur E-Mail-Sicherheit auf dem Prüfstand
- Online-Marktplätze: Verbraucherzentrale Bundesverband (vzbv) fordert mehr Sorgfaltspflichten
- OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
- Cyber-Nation: TeleTrusT veröffentlicht Forderungskatalog zur Umsetzung des Konzeptes
Aktuelles, Branche, Gastbeiträge - Feb. 13, 2025 13:16 - noch keine Kommentare
Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
weitere Beiträge in Branche
- Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel
- OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt
- OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
- KRITIS immer öfter im Visier Cyber-Krimineller
- Fake-Romance: Scams mit KI-gestützten Deepfake-Promis fordern Opfer
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren