Zwei große Unternehmen, die 2023 gehackt wurden – MGM Resorts und 23andMe – haben einen Teil ihrer Hacks gemeinsam: Identität.
Der anfängliche Zugriff auf den 23andMe-Datenverstoß erfolgte durch Credential Stuffing, und die fehlende Zugangskontrolle ermöglichte es den Bedrohungsakteuren, tiefer in das Unternehmen einzudringen und schließlich an die Daten von Millionen von Benutzerkonten zu gelangen. Bei MGM wurde eine einfache Social-Engineering-Taktik zur Erlangung von Zugangsdaten genutzt, um einen massiven Ransomware-Angriff zu starten, der die Systeme zum Stillstand brachte und dem Unternehmen durch den Datenschutzverstoß Millionen an Kosten und verlorene Buchungen verursachte.
Die Identität ist in den letzten Jahren zu einem der größten Ziele für Bedrohungsakteure aufgestiegen. Von Angriffen auf das Microsoft Active Directory (AD) bis hin zur Nutzung gestohlener Zugangsdaten für einen privilegierten Zugriff ist die Identität heute oft der Schlüssel zum Erfolg eines Cyberangriffs.
Aber zu wissen, dass die Identität einen immer größeren Teil der Angriffsfläche ausmacht, ist nicht dasselbe wie zu verstehen, was die Gefahren sind und wie Sie Ihre Benutzer und ihre Zugangsdaten schützen können. Unternehmen müssen sich mit Identitätsbedrohungen befassen, diese Daten nutzen, um ihr Sicherheitsniveau zu bewerten, und Maßnahmen ergreifen, um sowohl ihre Angriffsfläche zu stärken, als auch ihre Identitätssicherheit zu verbessern.
Was sind Identitätsbedrohungen?
Identitätsbedrohungen sind alle Cyber-Bedrohungen oder Angriffstaktiken, die auf die individuelle Identität eines Benutzers oder die Identitätsstruktur eines Unternehmens innerhalb seiner Umgebung abzielen.
Die Zahl der Identitätsbedrohungen nimmt aus verschiedenen Gründen zu:
- Unternehmen verlassen sich zunehmend auf Webanwendungen, cloudbasierte Umgebungen und Remote-Benutzer, wodurch die Anzahl der Anmeldeinformationen und Zugriffspunkte innerhalb eines Netzwerks steigt.
- Mangelnde Passworthygiene und Schulungen zum Sicherheitsbewusstsein machen die Zugangsdaten von Benutzern zu einem leichten Ziel für Bedrohungsakteure.
- Die Zunahme der Datenexfiltration bei Ransomware-Angriffen und die Verbreitung von Leak-Sites haben im Darknet einen Schatz an Zugangsdaten geschaffen, den Bedrohungsakteure für nachfolgende Angriffe nutzen können.
Für viele moderne und digitalisierte Unternehmen ist die Identität der neue Endpunkt und wird schnell zu einem kritischen Teil der Angriffsfläche. Die Trends bei den Bedrohungsakteuren stützen diese Hypothese. Laut dem Threat Report 2024 von Arctic Wolf Labs wurden bei 39 % der von Arctic Wolf untersuchten Kompromittierung von Nicht-Geschäfts-E-Mail (BEC)-Vorfällen die Zugangsdaten von einem Angreifer verwendet, um sich bei einer externen Fernzugriffsanwendung anzumelden, während bei weiteren 7,3 % der Nicht-BEC-Vorfällen zuvor kompromittierte Zugangsdaten genutzt wurden, um direkten Zugriff auf die Umgebung des Opfers zu erhalten. Das ist fast die Hälfte aller Nicht-BEC-Vorfälle. Der Arctic Wolf Security Operations Report zeigte ähnliche Daten – Identitätssignale innerhalb der Arctic Wolf Umgebung machten 7 der 10 größten Bedrohungen und Indikatoren für Kompromittierungen aus.
Laut dem IBM-Bericht über die Kosten von Datenschutzverstößen im Jahr 2023 waren Phishing und gestohlene oder kompromittierte Zugangsdaten für 16 % bzw. 15 % der Datenverletzungen verantwortlich und kosteten Unternehmen durchschnittlich $4.76 Mio. USD bzw. $4.62 Mio. USD.
Erfahren Sie mehr über neue Identitätsbedrohungen mit dem Arctic Wolf 2024 Security Operations Report.
Warum Bedrohungsakteure identitätsbasierte Angriffe nutzen
Im Allgemeinen ist ein identitätsbasierter Angriff nur ein Teil des Plans eines Angreifers. Die Erlangung von Zugangsdaten kann für den Erstzugriff entscheidend sein, aber auch der Besitz von Zugangsdaten für eine wichtige Anwendung oder die Möglichkeit, sich unter einer legitimen Identität im Netzwerk zu bewegen, kann einem Angreifer helfen, privilegierten Zugang zu erlangen, Daten zu kompromittieren oder auszuschleusen oder sich lateral zu bewegen, während er der Entdeckung durch Sicherheitstechnologien entgeht.
Diese Art von Angriffen nimmt zu, da Angreifer ihre Taktiken verfeinern, Unternehmen in die Cloud verlagern und sich immer stärker auf Webanwendungen und Remote-Benutzer verlassen. Darüber hinaus können Cyberkriminelle Zugangsdaten durch eine Vielzahl von Angriffen stehlen und diese bei Ransomware-Angriffen exfiltrieren und verkaufen. Cyberkriminelle haben heute mehr Möglichkeiten als je zuvor, sich Zugangsdaten zu beschaffen und auf Identitäten zuzugreifen, und sie wissen, wie wertvoll dieser Zugang während eines Angriffs wird.
Genau wie beim Social Engineering funktionieren identitätsbasierte Angriffe auch wenn Unternehmen bereits daran arbeiten, ihr Sicherheitsniveau zu stärken. Ob es nun darum geht, auf ein einzelnes Benutzerkonto zuzugreifen, in der Hoffnung, einen anderen Benutzer durch Phishing anzugreifen, gestohlene Anmeldeinformationen zu verwenden, um privilegierten Zugriff auf bestimmte Ressourcen zu erhalten, oder sich in Active Directory zu hacken, um von dort aus Maßnahmen durchzuführen – es ist eine einfache Taktik mit potenziell massiven Folgen, da der Besitz des digitalen Schlüssels zum Königreich es Bedrohungsakteuren ermöglicht, schnell und oft unentdeckt zu agieren.
Während sich die unten aufgeführten Bedrohungen auf externe Kräfte konzentrieren, die versuchen, sich Zugang zu verschaffen, gibt es auch interne Bedrohungen, die innerhalb von Organisationen aufgrund von unzureichendem Identitäts- und Zugriffsmanagement (IAM) und anderen Maßnahmen zur Identitätssicherheit bestehen. Ein Unternehmen ohne robuste Zugangskontrollen, identitätsbasierte Überwachung oder Privileged Access Management (PAM) zum Schutz des privilegierten Zugriffs macht sich anfällig für Identitätsbedrohungen – es öffnet virtuelle Türen, durch die Bedrohungsakteure hindurchschreiten können, um Anmeldeinformationen, Zugriff oder wertvolle Daten und Werte zu erhalten. Es ist wichtig, dass Unternehmen sicherstellen, dass sie die richtigen Schritte unternehmen, um ihre Identitätsangriffsfläche zu sichern und diese Bedrohungen zu begrenzen.
Kompromittierung von Identität und geschäftlichen E-Mails
Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) wird oft als eigene Kategorie von Cyberangriffen betrachtet, da sie immer mehr an Bedeutung gewinnt und in ihrer Ausführung einzigartig ist – es handelt sich um die Imitation oder Übernahme eines E-Mail-Kontos mit der Absicht, finanziellen Betrug zu begehen. Diese Angriffe zielen häufig auf die Gehaltsabrechnung, die Personalabteilung und Konten der Führungsebene ab. Die Identität ist das Herzstück eines BEC-Angriffs, da die Zugangsdaten und der Zugang zu Konten oft die Grundlage für dessen Erfolg bilden. BEC-Vorfälle machten 29,7 % aller von Arctic Wolf® Incident Response untersuchten Vorfälle aus, aber diese Zahl könnte tatsächlich höher sein, da solche Angriffe oft nicht zu Versicherungsansprüchen oder einer umfassenden Incident Response führen. Diese schiere Menge verdeutlicht, dass sie eine ständige Bedrohung für Unternehmen darstellen. Um das Risiko eines BEC-Vorfalls zu verringern, ist es wichtig, die Angriffsfläche Ihrer Identitätssicherheit zu stärken.
Erfahren Sie mehr über BEC-Angriffe.
Die größten Identitätsbedrohungen
Es gibt unzählige Möglichkeiten, wie Bedrohungsakteure Identitäten angreifen können, und obwohl sich die einzelnen Taktiken unterscheiden mögen, verfolgen sie alle das gleiche Ziel: sich Zugang zu verschaffen, um in die Umgebung eines Unternehmens einzudringen oder tiefer einzudringen, um einen raffinierten Cyberangriff zu starten.
Zu den größten Identitätsbedrohungen gehören:
1. Die Verwendung kompromittierter Zugangsdaten
Zugangsdaten sind digitale Schlüssel, die wertvolle Türen innerhalb einer Organisation öffnen. Der Besitz von Zugangsdaten stellt Bewegungsmöglichkeiten für einen Bedrohungsakteur dar. Wenn sie legitime Zugangsdaten verwenden können, können ihre Bewegungen unter dem Radar herkömmlicher Sicherheitstools verschwinden oder ihnen Zeit verschaffen, um einen ausgefeilteren Angriff zu starten. Bei den jüngsten Ransomware-Angriffen sind die Bedrohungsakteure dazu übergegangen, Zugangsdaten zu exfiltrieren, da sie wissen, dass sie im Darknet einen hohen Preis erzielen und von anderen Bedrohungsakteuren für zukünftige Angriffe verwendet werden können.
2. Social-Engineering-Angriffe
Diese Angriffe, wie z. B. Phishing oder Smishing, zielen nicht mehr nur auf Einzelpersonen ab, um sich finanzielle Vorteile zu verschaffen (obwohl dies immer noch eine Taktik ist), sondern werden jetzt häufiger eingesetzt, um sich einen ersten Zugang zu einem Unternehmen zu verschaffen, wie es beim Hack von MGM Resorts der Fall war. Wenn ein Bedrohungsakteur bereits über die Zugangsdaten für ein E-Mail-Konto verfügt, kann er dieses Konto nutzen, um einen anderen Benutzer zu phishen und ihn dazu zu bringen, Zugang zu gewähren oder Malware herunterzuladen. Im Bedrohungsbericht 2024 von Arctic Wolf Labs entfielen 11,3 % der Nicht-BEC-Vorfälle auf Social Engineering, einschließlich Phishing. Laut dem Verizon Investigations Report über Datenschutzverstöße wurden 76 % der Social-Engineering-Angriffe zur Kompromittierung von Zugangsdaten genutzt, was zeigt, wie sich Identitätsbedrohungen oft gegenseitig verstärken.
Erfahren Sie mehr über die verschiedenen Arten von Social-Engineering-Angriffen.
3. Passwortbasierte Angriffe
Zu diesen Angriffen gehören Passwort-Spraying, bei dem ein Bedrohungsakteur dasselbe Passwort für mehrere Konten ausprobiert, Brute-Force-Angriffe, bei denen ein Bedrohungsakteur versucht, die Zugangsdaten zu erraten, und Man-in-the-Middle-Angriffe, bei denen ein Bedrohungsakteur Informationen abfängt und entschlüsselt, die zwischen zwei Benutzern oder Geräten gesendet werden. Man-in-the-middle-Angriffe werden häufig verwendet, um sich in Active Directory einzuhacken.
4. Angriffe auf Active Directory
Wenn Zugangsdaten die Schlüssel zum Königreich darstellen, dann ist das Microsoft Active Directory (AD) der Schlüsselring, an dem sie hängen. Die Anwendung ist in Unternehmen und Branchen allgegenwärtig und dient der Konfiguration und Speicherung von Benutzer- und Geräteberechtigungen in einem Netzwerk, was sie zu einem lukrativen Ziel für Bedrohungsakteure macht. Diese Hacker können eine der oben genannten Taktiken oder eine andere, wie z. B. die Ausnutzung einer Schwachstelle, nutzen, um in das AD einzudringen, Zugangsdaten zu stehlen, Berechtigungen zu ändern und sich in der Umgebung zu bewegen. Active Directory-Angriffe sind besonders heimtückisch, denn wenn ein Bedrohungsakteur die Berechtigungen eines Benutzers ändert, erscheinen die nachfolgenden Aktionen normal und erregen keinen Verdacht oder lösen keinen Alarm aus.
5. Technische Taktiken wie Kerberoasting oder Pass-the-Hash-Angriffe
Auch wenn diese Methoden nicht so einfach sind wie ein Brute-Force-Angriff, bedeutet das nicht, dass raffiniertere Bedrohungsakteure sie nicht ausprobieren. Kerberoasting ist ein Netzwerkangriff, der auf Dienstkonten abzielt und den Dienstprinzipalnamen (Service Principal Name, SPN) für ein Benutzerattribut ausnutzt, sodass ein Angreifer den „Passwort-Hash“ für ein Benutzerkonto erhalten und knacken kann. Pass-the-Hash-Angriffe zielen ebenfalls darauf ab, auf diesen Hash zuzugreifen, und verwenden Tools wie MimiKatz, welche das Authentifizierungsprotokoll ausnutzen, um sich als Benutzer auszugeben und Hashes von Zugangsdaten aus dem Speicher abzuladen.
Wie Organisationen eine stärkere Identitätssicherheit implementieren können
Es ist schwieriger, Benutzer abzusichern als beispielsweise eine Firewall auf einem Server oder einem Endgerät zu installieren. Sie kommen und gehen, erhalten zu bestimmten Zeiten Zugang zu bestimmten Ressourcen und Anwendungen und sind oft selbst für ihre Passworthygiene, ihre Fähigkeit, Bedrohungen zu erkennen, und die Sicherheit ihrer persönlichen Geräte verantwortlich. Dies macht die Identitätssicherheit für jede Organisation zu einem schwierigen, kontinuierlichen Prozess. Aber es ist sicherlich nicht unmöglich. Während wir uns mit den verschiedenen Techniken und Prozessen beschäftigen, die ein Unternehmen implementieren kann, um seine Identitätsangriffsfläche zu stärken und identitätsbasierte Angriffe zu reduzieren, ist es wichtig zu beachten, dass eine Lösung nicht alle Probleme lösen kann. Die Multi-Faktor-Authentifizierung (MFA) ist beispielsweise anfällig für MFA-Müdigkeitsangriffe, das Privilege Access Management (PAM) schützt nicht vor AD-Angriffen, und jede Anwendung, die zur Sicherung der Identität verwendet wird, könnte in Zukunft eine Schwachstelle aufweisen.
Im Folgenden finden Sie einige Strategien, Tools und Techniken, die Unternehmen einsetzen können, um Identitätsbedrohungen zu bekämpfen und gleichzeitig ihr Sicherheitsniveau zu verbessern und ihre Angriffsfläche zu stärken.
Identitäts-Bedrohungserkennung und -abwehr (Identity Threat Detection and Response, ITDR) ITDR ist eine umfassendere Taktik, die Unternehmen anwenden können, da sie Threat Intelligence, bewährte Identitätspraktiken, Tools und Prozesse zum Schutz von Identitäten innerhalb einer Organisation kombiniert. ITDR sollte eine regelmäßige Analyse von Berechtigungskonfigurationen, Multi-Faktor-Authentifizierung (MFA), PAM und die Überwachung von Benutzern und Identitätsquellen umfassen. Viele Managed Detection and Response (MDR)-Lösungen können jetzt zusätzlich zu anderen Umgebungskomponenten auch Identitäten überwachen.
Erfahren Sie, wie Arctic Wolf® Managed Detection and Response die Identitätsüberwachung und die anschließende Erkennung ungewöhnlichen Verhaltens nutzte, um einen laufenden Vorfall zu stoppen, bevor er eskalierte.
Identitäts- und Zugriffsmanagement (IAM). Wie ITDR ist auch IAM die umfassendere Taktik, die Unternehmen anwenden sollten, um ihre Identitätsinfrastruktur zu erstellen und zu sichern. Die drei Hauptbestandteile von IAM sind Governance (oder die Festlegung, wer wozu Zugang hat), die Kontrolle dieses Zugangs und die kontinuierliche Überwachung der Benutzer und ihres Zugangs. IAM ist kein einmaliger Prozess, sondern sollte regelmäßig angepasst werden, wenn sich betriebliche und sicherheitsrelevante Anforderungen ändern. IAM folgt häufig einem Zero-Trust-Framework und sollte das Prinzip des am wenigsten privilegierten Zugangs (PloP) anwenden, um zu verhindern, dass Bedrohungsakteure passwortbasierte Angriffe für einen privilegierten Zugang nutzen.
Multi-Faktor-Authentifizierung (MFA). MFA ist eine einfache Zugangskontrolle, die sowohl Teil eines IAM als auch eines Zero-Trust-Frameworks ist und kann einen großen Beitrag dazu leisten, dass Identitätsangriffe nicht erfolgreich sind. Wenn ein Bedrohungsakteur einen Brute-Force-Angriff versucht oder sich gestohlene Zugangsdaten verschafft hat, verhindert MFA nicht nur den Zugriff, sondern alarmiert auch den Benutzer oder die Sicherheitsteams über das ungewöhnliche Verhalten.
Überwachung des Darknet. Wenn Sie wissen, welche Zugangsdaten im Darknet offengelegt werden oder wo möglicherweise Kompromittierungen ihrer Benutzerdaten vorliegen könnten, kann Ihr Unternehmen die Sicherheit von Zugangsdaten und Identitäten verbessern und herausfinden, woher Identitätsbedrohungen kommen könnten.
Härtung von Active Directory. Von der Aktualisierung von Passwortrichtlinien über die Einrichtung von Zugriffskontrollen bis zur Verschlüsselung der Anwendung gibt es viele Möglichkeiten, wie eine Organisation sicherstellen kann, dass das Active Directory so sicher wie möglich ist.
Erfahren Sie mehr über Active Directory.
Umfassende Schulungen zum Sicherheitsbewusstsein. Viele Identitätsangriffe beginnen mit dem Benutzer – sei es, dass er auf eine Phishing-E-Mail hereinfällt oder keine strenge Passworthygiene praktiziert – daher ist die Schulung der Benutzer und die Reduzierung des menschlichen Risikos von größter Bedeutung für eine bessere Identitätssicherheit. Starke Schulungen zum Sicherheitsbewusstsein sollten aktuelle Inhalte, Phishing-Simulationen und Compliance-Schulungen umfassen und die Benutzer mit Taktiken wie Mikro-Lernen zur Erhöhung der Widerstandsfähigkeit anregen.
Rund-um-die-Uhr-Überwachung Ihres Netzwerks und Ihrer Identitätsquellen. Ein Unternehmen kann nicht garantieren, dass jeder Benutzer ein möglichst starkes Passwort hat oder dass die Zugangsdaten nie kompromittiert wurden, aber es kann die Umgebung im Auge behalten und nach ungewöhnlichen Bewegungen und verdächtigem Verhalten Ausschau halten. Eine rund um die Uhr installierte Überwachung der gesamten Umgebung – insbesondere von Identitätsquellen – kann Ihrem Unternehmen helfen, Bedrohungen zu erkennen und zu neutralisieren, bevor sie sich zu Cybervorfällen ausweiten.
Erfahren Sie, wie Schulungen zum Sicherheitsbewusstsein Ihren Benutzerstamm verändern und gleichzeitig das menschliche Risiko verringern kann.
Erfahren Sie, wie eine MDR-Lösung, wie Arctic Wolf Managed Detection and Response, Ihre Identitätsquellen überwachen und Ihrem Unternehmen helfen kann, Identitätsbedrohungen zu erkennen und darauf zu reagieren.
