Anatomie eines modernen Cyberangriffs

Anatomie eines modernen Cyberangriffs

Beitrag teilen

Cyberattacken werden mittlerweile selten von technisch hochversierten Angreifern durchgeführt. Traditionelle Hacking-Methoden wie das Decodieren von Verschlüsselungen oder das Infiltrieren von Firewalls gehören mehr und mehr zur Vergangenheit. Die Anatomie eines Cyberangriffs ändert sich.

Kriminelle hacken sich nicht mehr ein; sie loggen sich einfach ein. Denn schwache, gestohlene oder anderweitig kompromittierte Anmeldedaten schaffen ein leichtes Einfallstor für böswillige Akteure, selbst wenn diese nur über geringe technische Fähigkeiten verfügen.

Anzeige

Logins von Mitarbeitern gestohlen

Die jüngste Datenpanne bei Twitter, bei der Dutzende prominente User-Accounts gekapert wurden, ist ein gutes Beispiel, wie Cyberangriffe heutzutage durchgeführt werden. Laut Untersuchungen des Social-Media-Riesen nutzte ein 17-Jähriger aus Florida Social-Engineering-Techniken, um an die Zugangsdaten einer kleinen Anzahl von Twitter-Mitarbeitern zu gelangen. Der Angreifer war anschließend in der Lage, diese Logins zu missbrauchen, um Zugriff auf ein wichtiges internes System zu erhalten. Und Twitter ist nicht allein: Forrester schätzt, dass 80 Prozent der Sicherheitsverstöße mittlerweile auf kompromittierte Zugangsdaten zurückzuführen sind. Kapert ein Angreifer einen privilegierten Account, kann er sich damit weitreichend und lange unbemerkt im Netzwerk bewegen, um sensible Daten zu exfiltrieren oder Störungen zu verursachen.

Die Angriffsroute von Cyberkriminellen

Jede Cyberattacke unterscheidet sich in ihrer Motivation und dem daraus resultierenden Schaden. Alle Angriffe enthalten jedoch drei wichtige Grundkomponenten, die sowohl für externe als auch Insider-Bedrohungen gelten. Nachfolgend ein Überblick, wie moderne Cyberangriffe häufig ablaufen:

1. Einen Weg ins Innere finden

Wie erwähnt, missbrauchen Kriminelle heute typischerweise kompromittierte Anmeldedaten für ihre Angriffe. Um die Login-Daten abzugreifen, nutzen sie in der Regel Social-Engineering-Techniken, wie zum Beispiel Phishing-Kampagnen. Auch machen sich Hacker die Millionen von geleakten Zugangsdaten zunutze, die im Dark Web zum Verkauf stehen. Deshalb sind Nutzer gefährdet, die dieselben oder ähnliche Passwörter für mehrere Konten verwenden, wenn ein Angreifer Techniken wie Credential Stuffing oder Passwort-Spraying einsetzt.

2. Navigation durch das System

Ist der Angreifer ins System eingedrungen, wird er versuchen, seine Umgebung auszukundschaften und seine Privilegien zu erhöhen, um sich lateral im Netzwerk zu bewegen und auf kritischere Infrastrukturen mit potenziell wertvollen Daten zuzugreifen. In dieser Phase versuchen Hacker, ein Verständnis für ihre Umgebung zu erlangen, indem sie sich IT-Zeitpläne, Sicherheitsmaßnahmen oder Netzwerkverkehrsströme ansehen. Netzwerkressourcen, privilegierte Konten, Domänencontroller und Active Directory sind bevorzugte Ziele für Angreifer, da sie oft über privilegierte Anmeldeinformationen verfügen.

3. Datendiebstahl und Verwischen von Spuren

Nachdem Angreifer wissen, wo sie Zugriff auf wertvolle Daten erhalten, werden sie nach Möglichkeiten suchen, ihre Zugriffsrechte weiter zu erhöhen, um diese Daten zu extrahieren und ihre Spuren zu verwischen. Sie können auch eine Hintertür schaffen, indem sie zum Beispiel einen SSH-Schlüssel erstellen, um zukünftig weitere Daten zu exfiltrieren.

Best Practices zum Schutz vor heutigen Cyberangriffen

Der Aufbau eines soliden Perimeters und die Investition in ein gut aufgestelltes Sicherheitsteam sind immer noch grundlegend. Da sich heutige Angreifer jedoch verstärkt schlechte Passwort-Praktiken und ungesicherte privilegierte Konten zunutze machen, müssen Unternehmen ihre Sicherheitsstrategie an diese Bedrohungen anpassen und sich auf den Schutz von Identitäten und Anmeldedaten konzentrieren.

Özkan Topal, Sales Director bei ThycoticCentrify

Gemeinsam genutzte privilegierte Anmeldedaten sollten gesichtet und in einem Passwort-Tresor (Password Vault) verwahrt werden, um sie ordnungsgemäß zu verwalten. Allerdings reicht Vaulting allein nicht aus, um sich gegen die dynamische Bedrohungslandschaft zu verteidigen, die durch die digitale Transformation erheblich erweitert wurde und vermehrt Angriffsflächen wie Cloud oder DevOps aufweist.

Least-Privilege-Ansatz durchsetzen

Daher sollten Unternehmen einen Least-Privilege-Ansatz durchsetzen, der auf individuellen menschlichen und maschinellen Identitäten basiert. Darüber hinaus benötigt es Systeme, die überprüfen, welcher Mitarbeiter oder welche Applikation einen Zugriff auf Ressourcen anfordert und aus welchem Grund. Dabei müssen das Risiko der jeweiligen Zugriffsumgebung bestimmt und lediglich Berechtigungen für das Zielobjekt für die minimal benötigte Zeit gewährt werden. Im Folgenden drei Punkte, die Unternehmen in ihre Sicherheitsstrategie implementieren sollten:

  • Anwendung eines Zero-Trust-Ansatzes: Das Zero-Trust-Modell geht davon aus, dass Angreifer bereits im Netzwerk sind. Daher sollte keinem Benutzer und keiner Anfrage vertraut werden, solange sie nicht vollständig verifiziert sind. Anschließend sollte lediglich ein Least-Privilege-Zugriff gewährt werden, der gerade so viele Berechtigungen gewährt, wie nötig. Sicherheitsarchitekturen müssen so strukturiert sein, dass sie dies berücksichtigen.
  • Nutzung von Multi-Faktor-Authentifizierung für Privileged Access Management: Die Multi-Faktor-Authentifizierung ist ein einfaches Mittel zur Absicherung und sollte überall dort eingesetzt werden, wo Privilegien erhöht sind, wobei dezidierte Zugriffszonen diese Verteidigung zusätzlich verstärken.
  • Maschinelles Lernen für Echtzeit-Risikobewusstsein: Algorithmen für maschinelles Lernen können das Verhalten privilegierter Benutzer überwachen, anormale und risikoreiche Aktivitäten identifizieren und Alarm schlagen, um verdächtige Vorgänge zu stoppen.

Heutige Cyberkriminelle können über ausgefeilte technische Fähigkeiten oder lediglich über das Grundwissen von Scriptkiddies verfügen. Mit der Implementierung eines soliden identitätszentrierten Privileged-Access-Management-Plans, der auf Zero-Trust-Prinzipien basiert, können Unternehmen ihre kritischen Assets jedoch gegen die steigende Flut an Angriffen schützen und das Risiko eines Sicherheitsverstoßes erheblich reduzieren.

Mehr bei Centrify.com

 


Über ThycoticCentrify

ThycoticCentrify ist ein führender Anbieter von Cloud-Identity-Security-Lösungen, die die digitale Transformation in großem Umfang ermöglichen. ThycoticCentrifys branchenführende Privileged Access Management (PAM)-Lösungen reduzieren Risiken, Komplexität und Kosten, während sie die Daten, Geräte und den Code von Unternehmen in Cloud-, On-Premises- und hybriden Umgebungen schützen. Mehr als 14.000 führende Unternehmen rund um den Globus, darunter mehr als die Hälfte der Fortune 100, vertrauen auf ThycoticCentrify. Zu den Kunden zählen die weltweit größten Finanzinstitute, Geheimdienste und kritische Infrastrukturunternehmen. Ob Mensch oder Maschine, in der Cloud oder On-Premises – mit ThycoticCentrify ist der privilegierte Zugriff sicher.


 

Passende Artikel zum Thema

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen

Kritische Sicherheitsmängel bei ICS-/OT-Fachkräften

Eine aktuelle OT/IT-Sicherheitsstudie fand heraus, dass über die Hälfte der ICS-/OT-Fachkräfte über zu wenig Erfahrung verfügt. Obwohl zwei Drittel der ➡ Weiterlesen