Anatomie eines modernen Cyberangriffs

Anatomie eines modernen Cyberangriffs

Beitrag teilen

Cyberattacken werden mittlerweile selten von technisch hochversierten Angreifern durchgeführt. Traditionelle Hacking-Methoden wie das Decodieren von Verschlüsselungen oder das Infiltrieren von Firewalls gehören mehr und mehr zur Vergangenheit. Die Anatomie eines Cyberangriffs ändert sich.

Kriminelle hacken sich nicht mehr ein; sie loggen sich einfach ein. Denn schwache, gestohlene oder anderweitig kompromittierte Anmeldedaten schaffen ein leichtes Einfallstor für böswillige Akteure, selbst wenn diese nur über geringe technische Fähigkeiten verfügen.

Anzeige

Logins von Mitarbeitern gestohlen

Die jüngste Datenpanne bei Twitter, bei der Dutzende prominente User-Accounts gekapert wurden, ist ein gutes Beispiel, wie Cyberangriffe heutzutage durchgeführt werden. Laut Untersuchungen des Social-Media-Riesen nutzte ein 17-Jähriger aus Florida Social-Engineering-Techniken, um an die Zugangsdaten einer kleinen Anzahl von Twitter-Mitarbeitern zu gelangen. Der Angreifer war anschließend in der Lage, diese Logins zu missbrauchen, um Zugriff auf ein wichtiges internes System zu erhalten. Und Twitter ist nicht allein: Forrester schätzt, dass 80 Prozent der Sicherheitsverstöße mittlerweile auf kompromittierte Zugangsdaten zurückzuführen sind. Kapert ein Angreifer einen privilegierten Account, kann er sich damit weitreichend und lange unbemerkt im Netzwerk bewegen, um sensible Daten zu exfiltrieren oder Störungen zu verursachen.

Die Angriffsroute von Cyberkriminellen

Jede Cyberattacke unterscheidet sich in ihrer Motivation und dem daraus resultierenden Schaden. Alle Angriffe enthalten jedoch drei wichtige Grundkomponenten, die sowohl für externe als auch Insider-Bedrohungen gelten. Nachfolgend ein Überblick, wie moderne Cyberangriffe häufig ablaufen:

1. Einen Weg ins Innere finden

Wie erwähnt, missbrauchen Kriminelle heute typischerweise kompromittierte Anmeldedaten für ihre Angriffe. Um die Login-Daten abzugreifen, nutzen sie in der Regel Social-Engineering-Techniken, wie zum Beispiel Phishing-Kampagnen. Auch machen sich Hacker die Millionen von geleakten Zugangsdaten zunutze, die im Dark Web zum Verkauf stehen. Deshalb sind Nutzer gefährdet, die dieselben oder ähnliche Passwörter für mehrere Konten verwenden, wenn ein Angreifer Techniken wie Credential Stuffing oder Passwort-Spraying einsetzt.

2. Navigation durch das System

Ist der Angreifer ins System eingedrungen, wird er versuchen, seine Umgebung auszukundschaften und seine Privilegien zu erhöhen, um sich lateral im Netzwerk zu bewegen und auf kritischere Infrastrukturen mit potenziell wertvollen Daten zuzugreifen. In dieser Phase versuchen Hacker, ein Verständnis für ihre Umgebung zu erlangen, indem sie sich IT-Zeitpläne, Sicherheitsmaßnahmen oder Netzwerkverkehrsströme ansehen. Netzwerkressourcen, privilegierte Konten, Domänencontroller und Active Directory sind bevorzugte Ziele für Angreifer, da sie oft über privilegierte Anmeldeinformationen verfügen.

3. Datendiebstahl und Verwischen von Spuren

Nachdem Angreifer wissen, wo sie Zugriff auf wertvolle Daten erhalten, werden sie nach Möglichkeiten suchen, ihre Zugriffsrechte weiter zu erhöhen, um diese Daten zu extrahieren und ihre Spuren zu verwischen. Sie können auch eine Hintertür schaffen, indem sie zum Beispiel einen SSH-Schlüssel erstellen, um zukünftig weitere Daten zu exfiltrieren.

Best Practices zum Schutz vor heutigen Cyberangriffen

Der Aufbau eines soliden Perimeters und die Investition in ein gut aufgestelltes Sicherheitsteam sind immer noch grundlegend. Da sich heutige Angreifer jedoch verstärkt schlechte Passwort-Praktiken und ungesicherte privilegierte Konten zunutze machen, müssen Unternehmen ihre Sicherheitsstrategie an diese Bedrohungen anpassen und sich auf den Schutz von Identitäten und Anmeldedaten konzentrieren.

Özkan Topal, Sales Director bei ThycoticCentrify

Gemeinsam genutzte privilegierte Anmeldedaten sollten gesichtet und in einem Passwort-Tresor (Password Vault) verwahrt werden, um sie ordnungsgemäß zu verwalten. Allerdings reicht Vaulting allein nicht aus, um sich gegen die dynamische Bedrohungslandschaft zu verteidigen, die durch die digitale Transformation erheblich erweitert wurde und vermehrt Angriffsflächen wie Cloud oder DevOps aufweist.

Least-Privilege-Ansatz durchsetzen

Daher sollten Unternehmen einen Least-Privilege-Ansatz durchsetzen, der auf individuellen menschlichen und maschinellen Identitäten basiert. Darüber hinaus benötigt es Systeme, die überprüfen, welcher Mitarbeiter oder welche Applikation einen Zugriff auf Ressourcen anfordert und aus welchem Grund. Dabei müssen das Risiko der jeweiligen Zugriffsumgebung bestimmt und lediglich Berechtigungen für das Zielobjekt für die minimal benötigte Zeit gewährt werden. Im Folgenden drei Punkte, die Unternehmen in ihre Sicherheitsstrategie implementieren sollten:

  • Anwendung eines Zero-Trust-Ansatzes: Das Zero-Trust-Modell geht davon aus, dass Angreifer bereits im Netzwerk sind. Daher sollte keinem Benutzer und keiner Anfrage vertraut werden, solange sie nicht vollständig verifiziert sind. Anschließend sollte lediglich ein Least-Privilege-Zugriff gewährt werden, der gerade so viele Berechtigungen gewährt, wie nötig. Sicherheitsarchitekturen müssen so strukturiert sein, dass sie dies berücksichtigen.
  • Nutzung von Multi-Faktor-Authentifizierung für Privileged Access Management: Die Multi-Faktor-Authentifizierung ist ein einfaches Mittel zur Absicherung und sollte überall dort eingesetzt werden, wo Privilegien erhöht sind, wobei dezidierte Zugriffszonen diese Verteidigung zusätzlich verstärken.
  • Maschinelles Lernen für Echtzeit-Risikobewusstsein: Algorithmen für maschinelles Lernen können das Verhalten privilegierter Benutzer überwachen, anormale und risikoreiche Aktivitäten identifizieren und Alarm schlagen, um verdächtige Vorgänge zu stoppen.

Heutige Cyberkriminelle können über ausgefeilte technische Fähigkeiten oder lediglich über das Grundwissen von Scriptkiddies verfügen. Mit der Implementierung eines soliden identitätszentrierten Privileged-Access-Management-Plans, der auf Zero-Trust-Prinzipien basiert, können Unternehmen ihre kritischen Assets jedoch gegen die steigende Flut an Angriffen schützen und das Risiko eines Sicherheitsverstoßes erheblich reduzieren.

Mehr bei Centrify.com

 


Über ThycoticCentrify

ThycoticCentrify ist ein führender Anbieter von Cloud-Identity-Security-Lösungen, die die digitale Transformation in großem Umfang ermöglichen. ThycoticCentrifys branchenführende Privileged Access Management (PAM)-Lösungen reduzieren Risiken, Komplexität und Kosten, während sie die Daten, Geräte und den Code von Unternehmen in Cloud-, On-Premises- und hybriden Umgebungen schützen. Mehr als 14.000 führende Unternehmen rund um den Globus, darunter mehr als die Hälfte der Fortune 100, vertrauen auf ThycoticCentrify. Zu den Kunden zählen die weltweit größten Finanzinstitute, Geheimdienste und kritische Infrastrukturunternehmen. Ob Mensch oder Maschine, in der Cloud oder On-Premises – mit ThycoticCentrify ist der privilegierte Zugriff sicher.


 

Passende Artikel zum Thema

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen

Geräte und Nutzerkonten – darauf zielen Cyberangreifer

Der neue Cyber Risk Report zeigt die kritischen Schwachstellen in Unternehmen auf und bietet somit aber auch neue Möglichkeiten der ➡ Weiterlesen

NIS2-Richtlinie: Ziele und Herausforderungen bei der Umsetzung

Ziel der NIS-Direktive war es, für eine hohe Cyberresilienz in Unternehmen mit kritischer Infrastruktur in allen Mitgliedsstaaten der EU zu ➡ Weiterlesen