In dieser dreiteiligen Reihe zum Thema „Break the Attack Chain“ (Unterbrechen Sie die Angriffskette) sehen wir uns an, wie Bedrohungsakteure Schutzmaßnahmen kompromittieren und sich lateral in Netzwerken bewegen, um Berechtigungen zu eskalieren und das Endspiel vorzubereiten.
Der aktuelle Stand der Bedrohungslandschaft lässt sich wie folgt zusammenfassen: „Bedrohungsakteure hacken nicht mehr – sie melden sich einfach an“.
Statt mit viel Zeit und Mühe Ihre Sicherheitsmaßnahmen zu umgehen oder sich den Weg durchzukämpfen, konzentrieren sich Cyberkriminelle heute stark auf Ihre Anwender – oder genauer gesagt auf deren wertvolle Anmeldedaten und Identitäten.
Das gilt für fast alle Phasen der Angriffskette. Identitäten sind nicht nur ein äußerst effizientes Einfallstor ins Unternehmen, sondern sie entscheiden auch über den Zugriff auf wertvolle und vertrauliche Daten. Daher gleicht das Katz-und-Maus-Spiel der Cybersicherheit zunehmend einem Schachspiel, bei dem der klassische Einbruch einer methodischen Vorgehensweise weicht.
Cyberkriminelle sind heute sehr geschickt darin, sich lateral in Ihren Netzwerken zu bewegen und weitere Anwender zu kompromittieren, um ihre Berechtigungen zu eskalieren und die Grundlage für das Endspiel zu schaffen.
Dieser taktische Ansatz erhöht zwar die Wahrscheinlichkeit für größeren Schaden, bietet Sicherheitsteams jedoch auch mehr Möglichkeiten, Cyberangriffe zu erkennen und zu stoppen. Wenn Sie die Schritte der Bedrohungsakteure von der Initial-Kompromittierung bis zur Auswirkung verstehen, können Sie sich anpassen und Schutzmaßnahmen für den gesamten Verlauf der Angriffskette einrichten.
Das Eröffnungs-Repertoire
Entsprechend unserer Schach-Analogie aus dem ersten Blog-Beitrag dieser Reihe gilt: Je besser Sie das Eröffnungs-Repertoire Ihrer Gegenspieler kennen, desto besser sind Sie der Lage, wirksam zu kontern.
In Bezug auf laterale Bewegungen können wir davon ausgehen, dass die allermeisten Bedrohungsakteure den Weg des geringsten Widerstands gehen werden. Warum sollten sie Schutzmaßnahmen durchbrechen und eine Erkennung riskieren, wenn es viel einfacher ist, nach Anmeldedaten zu suchen, die auf dem kompromittierten Endpunkt gespeichert sind?
Sie können dazu nach password.txt-Dateien, gespeicherten RDP-Anmeldedaten (Remote-Desktop-Protokoll) und wertvollen Daten im Papierkorb suchen. Das klingt erschreckend einfach, nicht wahr? Für diesen Ansatz sind keine Administratorrechte erforderlich, sodass er höchstwahrscheinlich keinen Alarm auslöst. Und leider ist dieser Ansatz immer wieder erfolgreich.
Laut Untersuchungen von Proofpoint befindet sich auf jedem sechsten Endpunkt ein ausnutzbares identitätsbezogenes Risiko, das Bedrohungsakteuren die Möglichkeit bietet, ihre Berechtigungen zu eskalieren und sich lateral zu bewegen. (Erfahren Sie mehr in unserem Bericht Analyse von identitätsbezogenen Risiken (AIR).)
Bei groß angelegten Angriffen wird heute auch DCSync häufig genutzt, das von staatlich unterstützten Bedrohungsakteuren und vielen Hacker-Gruppen genutzt wird. Genau genommen ist diese Taktik so verbreitet, das Sicherheitsverantwortliche nach einem Patch rufen würden, wenn es eine Zero-Day-Taktik wäre.
Allerdings wird allgemein akzeptiert, dass Active Directory sich äußerst schwer absichern lässt, sodass das Vorhandensein solcher Schwachstellen hingenommen wird.
Einfach ausgedrückt können Bedrohungsakteure bei einem DCSync-Angriff das Verhalten eines Domain-Controllers simulieren und Kennwortdaten zu privilegierten Anwendern aus Active Directory abrufen. Auch dies lässt sich unglaublich einfach durchführen.
Mit einem PowerShell-Befehl können Bedrohungsakteure Anwender finden, die über die gewünschten Berechtigungen verfügen. In Kombination mit einem Standardtool wie Mimikatz können sie anschließend auf jeden Hash und jede Active Directory-Berechtigung im Netzwerk zugreifen.
Effektiver Konter
Wenn sich Bedrohungsakteure in Ihrer Unternehmensumgebung befinden, ist es für herkömmlichen Perimeter-Schutz zu spät. Stattdessen müssen Sie Maßnahmen ergreifen, um die Zugriffe der Angreifer auf weitere Berechtigungen zu begrenzen und sie dazu zu bringen, ihre Bewegungen sichtbar zu machen.
Führen Sie dazu eine Bewertung Ihrer Umgebung durch, um einen vollständigen Überblick zu erhalten, zu Beispiel mit Proofpoint Identity Threat Defense. Dadurch können Ihre Sicherheitsteams die am stärksten gefährdeten Bereiche sehen und die potenzielle Angriffsfläche reduzieren, indem Sie privilegierte Anwender zusätzlich schützen und Endpunkte bereinigen, sodass Cyberkriminellen der Zugriff auf wertvolle Identitäten erschwert wird.
Mit Proofpoint Identity Threat Defense können Sie diese Prozesse automatisch durchführen, um Echtzeit-Schwachstellen kontinuierlich zu beheben – selbst dann, wenn die Angreifer sich bereits lateral in Ihrer Umgebung bewegen.
Wenn sich Cyberkriminelle hinter Ihren Schutzmaßnahmen befinden, dürfen Sie sich natürlich nicht ausruhen. Vielmehr müssen Sie ihre Eskalationsmöglichkeiten begrenzen und böswillige Akteure dazu verleiten, ihre Tools, Techniken und Prozeduren sichtbar zu machen.
Sie können dazu mit Proofpoint Identity Threat Defense mithilfe von mehr als 75 aktiven Täuschungstechniken die scheinbare Angriffsfläche vergrößern, indem Sie Anmeldedaten, Verbindungen, Daten, Systeme und andere Artefakte imitieren, die für Angreifer interessant sein könnten.
Cyberkriminelle gehen bekanntlich den Weg des geringsten Widerstands, sodass Sie ziemlich sicher sein können, dass sie direkt Ihre scheinbar ungeschützte Königin angreifen werden. In diesem Fall würden sie jedoch Ihre Schutzmaßnahmen auslösen und Ihnen kompromittierte Anmeldedaten, Screenshots der böswilligen Aktivitäten sowie weitere Details liefern.
Durch diesen Ansatz können Sicherheitsteams laterale Bewegungen erkennen und stoppen. Zudem erfahren Sie, worauf die Angreifer es abgesehen haben. Sie sehen, wie nah Bedrohungsakteure den kritischen Assets gekommen sind, wie sie dorthin gelangt sind und mit welchen ihrer Täuschungsdaten sie dabei interagiert haben. Mithilfe all dieser Daten können Sie Ihr Schutzkonzept verbessern, sodass Sie auf die unvermeidlichen nächsten Schritte der Angreifer besser vorbereitet sind.
Weitere Informationen
Bei diesem Webinar erfahren Sie mehr darüber, wie Sie die Angriffskette unterbrechen und Ihre Anwender mit personenzentrierten Sicherheitsmaßnahmen schützen können.
Weitere Informationen zu Proofpoint Identity Threat Defense erhalten Sie hier. Und denken Sie daran, nächste Woche wieder vorbeizuschauen, wenn es darum geht, wie Sie die letzte Phase der Angriffskette – Staging und Auswirkung – unterbrechen können.