Das Aufkommen identitätsbasierter Angriffe
Identitätsbasierte Bedrohungen machen heute den Großteil des Cyberrisikos aus. Erfahren Sie mehr über die verschiedenen Angriffsarten, wie sie sich entwickeln und wie Sie das Risiko verwalten können.
Wichtige Punkte
- Die zunehmende Digitalisierung und die wachsende Zahl von Online-Identitäten begünstigen identitätsbasierte Angriffe.
- Verbesserte Passworthygiene und Identitätsverwaltung können dazu beitragen, viele Arten von identitätsbasierten Angriffen abzuwehren.
- Ein Identitäts- und Zugriffsverwaltungssystem, das in die E-Mail-Sicherheit integriert ist, kann die Abwehrmaßnahmen automatisieren, die Governance verbessern und die Reaktion auf Vorfälle koordinieren.
"Wer bin ich?" ist für Sicherheitsexperten mehr als eine existenzielle Frage. Da immer mehr von uns online leben und arbeiten, hat sich die Zahl der digitalen Identitäten, die jeder für sich beanspruchen kann, ebenso erhöht wie die damit verbundenen Logins und Passwörter. Der Diebstahl von Anmeldedaten hat sich zu einer ganz neuen Front für Bösewichte entwickelt, die in Systeme eindringen wollen - vor allem, weil viele Benutzer ihre Passwörter bei mehreren Diensten wiederverwenden.
Laut einem aktuellen Bericht des Mimecast-Partners Crowdstrike werden mittlerweile mehr als acht von zehn Cybersecurity-Angriffen durch gestohlene oder kompromittierte Zugangsdaten ermöglicht.[1] Noch beunruhigender ist, dass die Bösewichte sich immer stärker auf die Identität konzentrieren, da die Unternehmen zunehmend Cloud-Ressourcen nutzen und Remote-Arbeit unterstützen.
Böswillige Akteure können Anmeldeinformationen stehlen, indem sie Benutzernamen und Passwörter durch Phishing, Social Engineering oder die Infizierung von Netzwerken mit Malwareausspionieren. Sie können auch leicht gestohlene Zugangsdaten kaufen; die Zahl der Anzeigen im Dark Web, in denen der Zugang zu Netzwerken verkauft wird, hat sich im letzten Jahr mehr als verdoppelt.[2] Mit diesen Identitäten können Hacker in das Netzwerk eindringen und das Benutzerprofil einer Person zurücksetzen, um mehr Zugriffsrechte hinzuzufügen, so dass sie sich unbemerkt im Netzwerk bewegen und alle möglichen bösartigen Aktivitäten durchführen können.
Einige bewährte Praktiken wie eine gute Passworthygiene, eine Mehrfaktor-Authentifizierung, eine solide Genehmigungsverwaltung und eine wirksame Cyber-Sensibilisierungsschulung können dazu beitragen, das Risiko von identitätsbasierten Angriffen zu verringern. Ein IAM-System (Identity Access Management) kann ebenfalls dazu beitragen, einen stärkeren Schutz aufzubauen, insbesondere in Verbindung mit einem sicheren E-Mail-Gateway ( ) , um Phishing- und Social-Engineering-Angriffe zu blockieren, mit denen Hacker Anmeldedaten stehlen können.
Das Identitätsproblem
Während der Mimecast-Veranstaltung SecOps Virtual 2023 zeichnete John Grundy, Senior Strategic Alliance Manager bei Okta, ein Bild von der Größe des Identitätsproblems, das Sicherheitsverantwortliche bewältigen müssen. Er wies darauf hin, dass es heute weltweit schätzungsweise 1,2 Billionen digitale Konten gibt - von Streaming-Diensten über Online-Shopping bis hin zu Bankgeschäften - und damit Hunderte von Identitäten pro Person.
"Es gibt so viele Menschen mit so vielen Identitäten. So viele verschiedene Organisationen haben unterschiedliche Richtlinien für die Verwaltung dieser Identitäten", sagte Grundy. "Wir haben eine Welt geschaffen, in der digitale Identitäten für den Einzelnen möglicherweise sehr schwer zu verstehen und zu nutzen sind. Dies führt nicht nur zu einer schlechten Benutzererfahrung und ineffizienten Mitarbeitern, sondern auch zu einem erhöhten Cyberrisiko.
Grundy zitierte Untersuchungen, die zeigen, dass 89 % der Unternehmen im Jahr 2022 von einem identitätsbasierten Angriff betroffen waren und mehr als die Hälfte der betroffenen Unternehmen mehr als 10.000 Identitäten verloren haben.[3] Dadurch wurden Hunderttausende von legitimen Benutzeranmeldeinformationen kompromittiert und standen für schändliche Zwecke zur Verfügung, so Grundy.
Arten von Identitätsangriffen
Identitätsbasierte Angriffe gibt es in vielen Formen. Während die Verteidiger Gegenstrategien gegen diese Angriffe entwickeln, entwickeln die bösen Akteure ihre Taktiken weiter. Zu den Sorten, die den Sicherheitsexperten inzwischen bekannt sind, gehören:
- Phishing: Dies ist immer noch der größte Angriffsvektor für identitätsbasierte Angriffe, so Grundy. Dank Social Engineeringhat sich Phishing zu einer immer raffinierteren Kompromittierung von Geschäfts-E-Mailsentwickelt, wobei Taktiken wie Whaling, Spear-Phishing und Angler-Phishing zum Einsatz kommen. Fast alle Unternehmen in Mimecasts State of Email Security 2023 (SOES 2023) Bericht geben an, dass sie angegriffen wurden. Einige Hacker nutzen auch künstliche Intelligenz (KI) und maschinelles Lernen, um überzeugendere Phishing-Nachrichten zu verfassen, und setzen Bots ein, um automatisierte Abwehrmaßnahmen zu umgehen, die verdächtiges Verhalten erkennen würden.
- Diebstahl von Zugangsdaten: Wie ein Dieb, der eine Kopie des Schlüssels zur Haustür anfertigt, werden viele identitätsbasierte Verstöße durch Diebstahl des Zugangs zu gültigen Benutzeridentitäten ermöglicht. Dies ist besonders schädlich, da es die Hacker fast unentdeckbar macht, während sie sich im Netzwerk bewegen und weitere bösartige Angriffe durchführen. Datenschutzverletzungen aufgrund des Diebstahls von Zugangsdaten kosteten Unternehmen im vergangenen Jahr durchschnittlich 4,5 Millionen Dollar.[4]
- Passwort-Spraying: Wenn ein Hacker wie ein Einbrecher ist, der in ein Haus einbricht, dann ist ein Passwort-Spraying-Angriff wie jemand, der so lange an der Haustür klingelt, bis jemand unvorsichtig genug ist, ihn hereinzulassen. Hacker nutzen Nutzer aus, die keine gute Passworthygiene betreiben, und verwenden Bots, um gängige Kombinationen wie "password123" oder "11111" in vielen Nutzerkonten auszuprobieren, bis sie eine funktionierende Kombination finden.
- Credential Stuffing: Okta's Grundy stellte fest, dass Unternehmen in letzter Zeit eine Zunahme dieser Art von Angriffen verzeichnen. Bei dieser Variante des Passwort-Sprayings verwenden böswillige Akteure Listen mit kompromittierten Passwörtern, die sie im Dark Web gekauft oder bei früheren Angriffen erbeutet haben, um sich mit roher Gewalt Zugang zu einer Reihe von Websites zu verschaffen. Damit wird die Schwäche vieler Benutzer ausgenutzt, Passwörter wiederzuverwenden. Kürzlich wurden bei einem solchen Angriff die Daten von mehr als 71.000 Kunden einer Fast-Food-Kette von Hackern erbeutet.[5]
- Man-in-the-Middle-Angriffe: Auch bekannt als user-in-the-middle Angriffe, beinhalten diese Taktiken das Abfangen einer Kommunikation zwischen zwei Parteien, wodurch ein böser Akteur in die Lage versetzt wird, alle Arten von potenziell nützlichen Informationen zu sammeln, einschließlich Passwörter. Sie können den Benutzer mit Spyware infizieren, die ihm über die Schulter schauen und seine Online-Aktivitäten aufzeichnen kann. Oder sie könnten Rootkit-Malware installieren, die den Arbeitsplatz des Opfers übernimmt und sich dann im Netzwerk bewegt, indem sie sich als dieser Benutzer ausgibt. Eine Variante dieser Angriffe, bekannt als "Man-in-the-Browser"-Angriffe , zielt auf die Finanzkommunikation ab und beschädigt den Browser des Benutzers mit einer gefälschten Erweiterung, hinter der sich Malware verbirgt, die Transaktionen abfangen und Geld auf ein von den Cyberdieben kontrolliertes Konto umleiten soll.
- Kompromittierter privilegierter Zugang: Systemadministratorkonten und andere privilegierte Benutzer sind ein Hauptziel für Cyberbetrüger, da sie mit ihren Anmeldedaten umfassenden Zugriff auf die Systeme eines Unternehmens haben. Sobald ein Gauner die Kontrolle über eine privilegierte Identität erlangt hat, kann er Daten extrahieren, Systeme kompromittieren und massenhaft zusätzliche Anmeldedaten für weitere Angriffe sammeln. Ein aktuelles Beispiel ist der Teenager, der sich die Zugangsdaten eines großen Social-Media-Unternehmens verschafft und die Konten von Prominenten und Politikern übernommen hat, um Nachrichten mit der Bitte um Kryptowährungsspenden zu veröffentlichen. Der Highschool-Schüler hat in etwas mehr als einer Stunde über 100.000 Dollar in Bitcoin erbeutet - und eine dreijährige Gefängnisstrafe.[6]
"Alle diese Angriffe zusammengenommen bedeuten, dass die Identität noch wertvoller ist als vor 10 bis 15 Jahren", so Grundy.
Wie man identitätsbedingte Risiken abschwächt
Um das Risiko identitätsbasierter Angriffe zu beherrschen und den potenziellen Schaden einzudämmen, müssen Unternehmen ihr Identitäts- und Zugriffsmanagement verbessern, ohne dabei auf die Erleichterung des Tagesgeschäfts zu verzichten. Eine Reihe von bewährten Praktiken kann dabei helfen:
- Passwort-Hygiene: Richtlinien, die sichere und regelmäßig geänderte Passwörter vorschreiben, können die Sicherheitslage eines Unternehmens stärken und Versuche, Passwörter auszuspionieren und Anmeldeinformationen auszufüllen, abwehren. Eine Reihe von Tools kann die Durchsetzung automatisieren.
- Multifaktor-Authentifizierung: Ja, es kann zu anfänglichen Reibungsverlusten führen, und "MFA-Müdigkeit" ist ein Problem, aber das Erfordernis eines einmaligen Codes oder (vorzugsweise) eines biometrischen Markers wie eines Fingerabdrucks oder einer Gesichtserkennung zur Authentifizierung eines Benutzers kann viele identitätsbasierte Angriffe verhindern.
- Sicherheitsbewusstsein: Dies bleibt die erste Verteidigungslinie bei der Cybersicherheit. Benutzer davon abzuhalten, auf bösartige Links und Downloads zu klicken, und sie an eine gute Passworthygiene zu erinnern, ist eine der effektivsten Methoden, um die Kompromittierung von Zugangsdaten und die daraus resultierenden identitätsbasierten Angriffe zu verhindern.
- Richtig dimensionierte Berechtigungen: Bei vielen identitätsbasierten Angriffen erweitern Hacker ihre Berechtigungen, um auf sensiblere Daten zugreifen zu können. Wenn man sicherstellt, dass die Benutzer nur auf die Ressourcen zugreifen können, die sie für ihre Arbeit benötigen, und auch nur so lange, wie sie sie brauchen, kann man Bösewichten das Handwerk legen.
- Identity Lifecycle Management: Ruhende Identitäten von ausgeschiedenen Mitarbeitern oder nicht mehr genutzten Diensten sind eine Goldgrube für böswillige Akteure, ebenso wie Benutzer mit übermäßigen Berechtigungen aufgrund von wechselnden Aufgabenbereichen. Genau wie bei der Anpassung von Berechtigungen muss die Sicherheit auch bei der Verlagerung von Zuständigkeiten auf andere Mitarbeiter den Überblick behalten und nicht genutzte Identitäten löschen.
- Verhaltensanalyse: Hacker, die gültige Anmeldedaten verwenden, können sich im Netzwerk verstecken, der Entdeckung entgehen und Schaden anrichten. Laut Crowdstrike kann es bis zu 250 Tage dauern, bis ein bösartiger Akteur mit kompromittierten Identitäten aufgespürt wird.[7] Wenn dieser Nutzer jedoch durch untypisches Verhalten auffällt, kann die Aufforderung an den Nutzer, seine Identität zu verifizieren, als Hindernis wirken. Automatisierte Tools, die maschinelles Lernen und Verhaltensanalysen nutzen, können dies möglich machen, ohne die Arbeitsbelastung des Sicherheitspersonals zu erhöhen.
Eine einheitliche Plattform für das Identitäts- und Zugriffsmanagement ist ein nützliches Tool, um die Abwehrmaßnahmen im gesamten Netzwerk zu koordinieren und die Identitätsverwaltung sowie die Reaktion auf Vorfälle zu automatisieren. Es kann den Schutz für alle Anwendungen, Server und Benutzer in einer ganzheitlichen Sichtbarkeitsquelle zusammenführen, um sowohl das Risikomanagement als auch die proaktive Bedrohungssuche zu ermöglichen.
Die Quintessenz
Identitätsbasierte Angriffe sind die größte Sorge für die Verteidiger der Netzsicherheit. Sich als Nutzer auszugeben, ist eine effektive Taktik für Cyberkriminelle, und der Verkauf gestohlener Identitäten ist ein großes Geschäft im Dark Web. Aber eine Reihe von bewährten Praktiken zur Verhinderung des Missbrauchs von Zugangsdaten kann diese cyberkriminellen Aktivitäten erschweren oder weniger profitabel machen. Erfahren Sie mehr über identitätsbasierte Angriffe und die Bedeutung des Schutzes von Anmeldeinformationen, indem Sie sich die Mimecast SecOps 2023 Session ansehen: "Klopf, klopf: Sollte die Identität das Herzstück Ihres digitalen Puzzles sein?"
[1] "CrowdStrike 2023 Global Threat Report," Crowdstrike
[3] "Report: 89 % der Unternehmen wurden im vergangenen Jahr von einem identitätsbasierten Angriff getroffen," VentureBeat
[4] "Cost of a Data Breach Report 2022," IBM
[5] "Chick-fil-A-Hack sorgt für Verdauungsstörungen bei 71.000 Kunden," SC Media
[6] "Twitter-Hacker aus Tampa stimmt drei Jahren Gefängnis zu", Tampa Bay Times
[7] "CrowdStrike 2023 Global Threat Report," Crowdstrike
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!