Anatomie eines modernen Cyberangriffs

10. Mai 2021
| Keine Kommentare
Anatomie eines modernen Cyberangriffs

Beitrag teilen

Cyberattacken werden mittlerweile selten von technisch hochversierten Angreifern durchgeführt. Traditionelle Hacking-Methoden wie das Decodieren von Verschlüsselungen oder das Infiltrieren von Firewalls gehören mehr und mehr zur Vergangenheit. Die Anatomie eines Cyberangriffs ändert sich.

Kriminelle hacken sich nicht mehr ein; sie loggen sich einfach ein. Denn schwache, gestohlene oder anderweitig kompromittierte Anmeldedaten schaffen ein leichtes Einfallstor für böswillige Akteure, selbst wenn diese nur über geringe technische Fähigkeiten verfügen.

Logins von Mitarbeitern gestohlen

Die jüngste Datenpanne bei Twitter, bei der Dutzende prominente User-Accounts gekapert wurden, ist ein gutes Beispiel, wie Cyberangriffe heutzutage durchgeführt werden. Laut Untersuchungen des Social-Media-Riesen nutzte ein 17-Jähriger aus Florida Social-Engineering-Techniken, um an die Zugangsdaten einer kleinen Anzahl von Twitter-Mitarbeitern zu gelangen. Der Angreifer war anschließend in der Lage, diese Logins zu missbrauchen, um Zugriff auf ein wichtiges internes System zu erhalten. Und Twitter ist nicht allein: Forrester schätzt, dass 80 Prozent der Sicherheitsverstöße mittlerweile auf kompromittierte Zugangsdaten zurückzuführen sind. Kapert ein Angreifer einen privilegierten Account, kann er sich damit weitreichend und lange unbemerkt im Netzwerk bewegen, um sensible Daten zu exfiltrieren oder Störungen zu verursachen.

Die Angriffsroute von Cyberkriminellen

Jede Cyberattacke unterscheidet sich in ihrer Motivation und dem daraus resultierenden Schaden. Alle Angriffe enthalten jedoch drei wichtige Grundkomponenten, die sowohl für externe als auch Insider-Bedrohungen gelten. Nachfolgend ein Überblick, wie moderne Cyberangriffe häufig ablaufen:

1. Einen Weg ins Innere finden

Wie erwähnt, missbrauchen Kriminelle heute typischerweise kompromittierte Anmeldedaten für ihre Angriffe. Um die Login-Daten abzugreifen, nutzen sie in der Regel Social-Engineering-Techniken, wie zum Beispiel Phishing-Kampagnen. Auch machen sich Hacker die Millionen von geleakten Zugangsdaten zunutze, die im Dark Web zum Verkauf stehen. Deshalb sind Nutzer gefährdet, die dieselben oder ähnliche Passwörter für mehrere Konten verwenden, wenn ein Angreifer Techniken wie Credential Stuffing oder Passwort-Spraying einsetzt.

2. Navigation durch das System

Ist der Angreifer ins System eingedrungen, wird er versuchen, seine Umgebung auszukundschaften und seine Privilegien zu erhöhen, um sich lateral im Netzwerk zu bewegen und auf kritischere Infrastrukturen mit potenziell wertvollen Daten zuzugreifen. In dieser Phase versuchen Hacker, ein Verständnis für ihre Umgebung zu erlangen, indem sie sich IT-Zeitpläne, Sicherheitsmaßnahmen oder Netzwerkverkehrsströme ansehen. Netzwerkressourcen, privilegierte Konten, Domänencontroller und Active Directory sind bevorzugte Ziele für Angreifer, da sie oft über privilegierte Anmeldeinformationen verfügen.

3. Datendiebstahl und Verwischen von Spuren

Nachdem Angreifer wissen, wo sie Zugriff auf wertvolle Daten erhalten, werden sie nach Möglichkeiten suchen, ihre Zugriffsrechte weiter zu erhöhen, um diese Daten zu extrahieren und ihre Spuren zu verwischen. Sie können auch eine Hintertür schaffen, indem sie zum Beispiel einen SSH-Schlüssel erstellen, um zukünftig weitere Daten zu exfiltrieren.

Best Practices zum Schutz vor heutigen Cyberangriffen

Der Aufbau eines soliden Perimeters und die Investition in ein gut aufgestelltes Sicherheitsteam sind immer noch grundlegend. Da sich heutige Angreifer jedoch verstärkt schlechte Passwort-Praktiken und ungesicherte privilegierte Konten zunutze machen, müssen Unternehmen ihre Sicherheitsstrategie an diese Bedrohungen anpassen und sich auf den Schutz von Identitäten und Anmeldedaten konzentrieren.

Özkan Topal, Sales Director bei ThycoticCentrify

Gemeinsam genutzte privilegierte Anmeldedaten sollten gesichtet und in einem Passwort-Tresor (Password Vault) verwahrt werden, um sie ordnungsgemäß zu verwalten. Allerdings reicht Vaulting allein nicht aus, um sich gegen die dynamische Bedrohungslandschaft zu verteidigen, die durch die digitale Transformation erheblich erweitert wurde und vermehrt Angriffsflächen wie Cloud oder DevOps aufweist.

Least-Privilege-Ansatz durchsetzen

Daher sollten Unternehmen einen Least-Privilege-Ansatz durchsetzen, der auf individuellen menschlichen und maschinellen Identitäten basiert. Darüber hinaus benötigt es Systeme, die überprüfen, welcher Mitarbeiter oder welche Applikation einen Zugriff auf Ressourcen anfordert und aus welchem Grund. Dabei müssen das Risiko der jeweiligen Zugriffsumgebung bestimmt und lediglich Berechtigungen für das Zielobjekt für die minimal benötigte Zeit gewährt werden. Im Folgenden drei Punkte, die Unternehmen in ihre Sicherheitsstrategie implementieren sollten:

  • Anwendung eines Zero-Trust-Ansatzes: Das Zero-Trust-Modell geht davon aus, dass Angreifer bereits im Netzwerk sind. Daher sollte keinem Benutzer und keiner Anfrage vertraut werden, solange sie nicht vollständig verifiziert sind. Anschließend sollte lediglich ein Least-Privilege-Zugriff gewährt werden, der gerade so viele Berechtigungen gewährt, wie nötig. Sicherheitsarchitekturen müssen so strukturiert sein, dass sie dies berücksichtigen.
  • Nutzung von Multi-Faktor-Authentifizierung für Privileged Access Management: Die Multi-Faktor-Authentifizierung ist ein einfaches Mittel zur Absicherung und sollte überall dort eingesetzt werden, wo Privilegien erhöht sind, wobei dezidierte Zugriffszonen diese Verteidigung zusätzlich verstärken.
  • Maschinelles Lernen für Echtzeit-Risikobewusstsein: Algorithmen für maschinelles Lernen können das Verhalten privilegierter Benutzer überwachen, anormale und risikoreiche Aktivitäten identifizieren und Alarm schlagen, um verdächtige Vorgänge zu stoppen.

Heutige Cyberkriminelle können über ausgefeilte technische Fähigkeiten oder lediglich über das Grundwissen von Scriptkiddies verfügen. Mit der Implementierung eines soliden identitätszentrierten Privileged-Access-Management-Plans, der auf Zero-Trust-Prinzipien basiert, können Unternehmen ihre kritischen Assets jedoch gegen die steigende Flut an Angriffen schützen und das Risiko eines Sicherheitsverstoßes erheblich reduzieren.

Mehr bei Centrify.com

 

Über ThycoticCentrify

ThycoticCentrify ist ein führender Anbieter von Cloud-Identity-Security-Lösungen, die die digitale Transformation in großem Umfang ermöglichen. ThycoticCentrifys branchenführende Privileged Access Management (PAM)-Lösungen reduzieren Risiken, Komplexität und Kosten, während sie die Daten, Geräte und den Code von Unternehmen in Cloud-, On-Premises- und hybriden Umgebungen schützen. Mehr als 14.000 führende Unternehmen rund um den Globus, darunter mehr als die Hälfte der Fortune 100, vertrauen auf ThycoticCentrify. Zu den Kunden zählen die weltweit größten Finanzinstitute, Geheimdienste und kritische Infrastrukturunternehmen. Ob Mensch oder Maschine, in der Cloud oder On-Premises – mit ThycoticCentrify ist der privilegierte Zugriff sicher.

 

Passende Artikel zum Thema

Kryptografie und Quantencomputing

Kryptografie ist seit geraumer Zeit eines der besten Mittel, um digitale Informationen vor unberechtigtem Zugriff zu schützen – beispielsweise, um ➡ Weiterlesen

KMU im Visier: Cyberangriffe auf Lieferketten

Partnerschaften, Dienstleistungen, Kundenbeziehungen – keine Organisation agiert autark. Verträge, Compliances und Gesetze regeln die Zusammenarbeit, doch wie steht es um ➡ Weiterlesen

Ursachen für Datenverluste in deutschen Unternehmen

Datenverlust ist ein Problem, das im Zusammenspiel zwischen Menschen und Maschinen auftritt: „Unvorsichtige Benutzer“ sind mit viel größerer Wahrscheinlichkeit die ➡ Weiterlesen

Hacker legen Wirtschaftsdatenbank Genios lahm

Bibliotheken, Hochschulen und Unternehmen haben zur Zeit keinen Zugriff auf die Wirtschaftsdatenbank des Anbieters Genios - ein Tochterunternehmen der FAZ ➡ Weiterlesen

Warum Cyberkriminelle extra auf Backups zielen

Es gibt im Wesentlichen zwei Möglichkeiten, verschlüsselte Daten nach einem Ransomware-Angriff wiederherzustellen: die Wiederherstellung aus Backups und die Zahlung des ➡ Weiterlesen

Report: Mehr E-Mail-Server-Angriffe und Evasive Malware

WatchGuard Internet Security Report dokumentiert einen dramatischen Anstieg der sogenannten „Evasive Malware“, was zu einer deutlichen Erhöhung des Malware-Gesamtvolumens beiträgt. ➡ Weiterlesen

Tape-Speicher als wertvolle Backup- und Cyberschutz-Strategie

Viele Unternehmen achten bei ihrer Backup-Recovery-Lösung hauptsächlich auf Speichertechnologien, die eine hohe Geschwindigkeit bei der Datenwiederherstellung gewährleisten, um die Business ➡ Weiterlesen

Ransomware: Cybercrime-Gruppen erhöhen Lösegeldforderungen

Wie ein neuer Report zeigt, setzen Cyberkriminelle neben Ransomware auch weiterhin auf Business E-Mail Compromise und nutzen seit langem bekannte, ➡ Weiterlesen

Storys
, , , ,