:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Angriffssimulationen durch Red Teams Anatomie eines simulierten Cyberangriffs
Ein Red-Team ist eine Gruppe von Security-Experten, die Unternehmen durch Angriffssimulation beim Aufdecken von Schwachstellen unterstützt. Auf Basis der gewonnenen Erkenntnisse können Unternehmen dann adäquate Verbesserungen umsetzen und Abwehrmaßnahmen ergreifen. Am Beispiel des Red-Team von CyberArk zeigen wir, wie ein solches Team bei einer Angriffssimulation im Detail vorgeht!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Ein größeres Unternehmen hat bereits mehrere Millionen US-Dollar in Sicherheit investiert, vor allem in die Perimeter- und Endpunkt-Sicherheit. Die meisten vertraulichen Daten, etwa Finanz-, Personal- und Kundendaten – das heißt seine zentralen Geschäftsdaten – hatte es im Rahmen einer DevOps-Ausrichtung in die Public Cloud migriert. Das Unternehmen hat CyberArks Red-Team beauftragt, einen Angriff auf die Public-Cloud-Infrastruktur zu simulieren, um Zugang zu diesen zentralen Geschäftsdaten zu erhalten. Es bestand darauf, dass CyberArk „praktisch aus dem Nichts“ startet, das heißt von außerhalb des Unternehmens.
Das Red-Team begann mit Phishing und dem Klonen des E-Mail-Portals des Unternehmens. Einige Mitarbeiter gaben daraufhin ihre Zugangsdaten auf der Phishing-Seite ein; damit gelangte CyberArk ins Netzwerk, allerdings noch limitiert hinsichtlich der Zugriffsmöglichkeiten. Deshalb sammelte das Red-Team zunächst Informationen aus dem Active Directory: Welche privilegierten Accounts gibt es? Wer hat welchen Zugang im Unternehmen? Womit sind diese privilegierten Accounts verbunden?
Das Team ermittelte, dass die Zugangsdaten eines von ihm kompromittierten Rechners auch auf anderen Rechnern im Netzwerk genutzt wurden, sodass es sich seitwärts dazu bewegen konnte. Ein Gerät war die Workstation eines IT-Mitarbeiters, auf der ein Domain-Admin-Account vorhanden war. In On-Premises-Unternehmen könnte dies bereits eine „Game-Over"-Situation sein, denn an diesem Punkt könnte ein Angreifer jede andere Maschine im Netzwerk kompromittieren und Zugriff auf alle verfügbaren zentralen Geschäftsdaten erhalten.
Das Unternehmen hatte seine zentralen Geschäftsdaten aber in die Cloud verlagert. Die Herausforderung bestand nun darin, vom On-Premises-Zugang zur Public-Cloud-Infrastruktur zu gelangen.
Unter Nutzung der neu erworbenen Domain-Admin-Privilegien war das nächste Ziel des Red-Teams die Entwicklungsabteilung. Es verwendete dabei einen nativen Remote-Zugang, um Malware auf dem Rechner eines DevOps-Ingenieurs auszuführen. Darauf fanden die Analysten ein Verwaltungstool, das zur Verbindung mit einem Remote-Server genutzt wurde – und zwar mit einem in der Cloud-Infrastruktur. Zudem wurde ein privilegierter Zugang in Form eines SSH-Keys entdeckt, der lokal auf dem Rechner gespeichert war. Diesen SSH-Key nutzte das Red-Team für die Verbindung mit einem Rechner in der Public-Cloud-Infrastruktur des Unternehmens. Es hatte damit zwar immer noch nicht die zentralen Geschäftsdaten, aber bewiesen, auf die Cloud zugreifen zu können – und an diesem Punkt nutzten sie die nächste Schwachstelle.
Cloud-Anbieter ermöglichen Unternehmen, Cloud-Ressourcen bestimmte Berechtigungen zuzuweisen. Dies erlaubt zum Beispiel die Kommunikation eines Rechners mit einem Storage-Gerät. Allerdings werden diese Berechtigungen als Cloud-native API-Keys gespeichert und sind damit zugänglich für jeden User mit Zugriffsmöglichkeit auf das Betriebssystem des Rechners.
Das Red-Team nutzte seinen Zugang zu dem Cloud-Rechner, um auf solche Cloud-APIs zuzugreifen. Das gab ihm die volle Kontrolle über die Umgebung und Zugriff auf das Ziel. Die CyberArk-Mitarbeiter machten ein Back-up von allen Servern, die das Unternehmen nutzte – insgesamt 375 – und verbanden sie mit einem neuen Account, den sie beim selben Public-Cloud-Provider angelegt hatten. Das Unternehmen bekam nicht einmal mit, dass seine gesamte Umgebung „gestohlen“ wurde. Alles, was für das Kopieren der Umgebung benötigt wurde, war der Zugriff auf einen einzigen Server mit dem richtigen API-Zugang.
Doch wie hätte das Red-Team gestoppt werden können? Zu Beginn hätte die Umsetzung von Least-Privilege-Prinzipien auf allen Endpunkten des Unternehmens den „Spielraum“ bereits stark einschränkt. Die mehrfache Verwendung derselben Zugangsdaten in der On-Premises-Umgebung führte dazu, dass eine „Seitwärts-Bewegung“ unterstützt wurde; dies sollte niemals der Fall sein. Die auf dem Anwenderrechner gespeicherten SSH-Keys ermöglichten dann, von der On-Premises-Infrastruktur auf die Cloud-Umgebung zu gelangen. Schließlich erlaubten die Cloud-API-Keys, die uneingeschränkte Zugriffe boten, die Kontrolle über die gesamte Cloud-Infrastruktur zu übernehmen. An diesem Punkt findet sich vielfach ein Trugschluss auf Unternehmensseite: Die Sicherung dieser Keys ist nicht die Aufgabe des Cloud-Providers, sondern des Cloud-Nutzers, der die Cloud-Umgebung als Erweiterung seiner internen Infrastruktur betrachten und entsprechend sichern muss, das heißt, das auslagernde Unternehmen bleibt für den Schutz seiner Daten verantwortlich. Deshalb muss es auch alle privilegierten Zugangsdaten zur Cloud-Infrastruktur – insbesondere auch SSH- und API-Schlüssel – adäquat verwalten, sichern und überwachen. Damit wäre auch der CyberArk-Angriff schnell gestoppt worden.
Der Diebstahl privilegierter Zugangsdaten ist ein entscheidendes Element für die Durchführung von Cyber-Angriffen. Das Red-Team von CyberArk hilft Unternehmen deshalb bei der Ermittlung aller mit privilegierten Accounts verbundenen potenziellen Gefahren und unterstützt bei der Einführung adäquater Sicherheitsmaßnahmen.
Über den Autor: Shay Nahari ist Head of Red-Team Services bei CyberArk.
(ID:45622325)
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932310/original.jpg "Cyberkriminelle erweitern ihren Aktionsradius drastisch und fügen ihrem Angriffswerkzeugkasten Malware hinzu, die auf Linux-basierte Betriebssysteme abzielt. (Alexander Limbach - adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923700/1923707/original.jpg "Cyberkriminalität wird auch 2022 für Unternehmen und Behörden ein zentrales Thema bleiben, weshalb sie ihre Anstrengungen im Bereich IT-Security weiter intensivieren müssen. (©Ar_TH - stock.adobe.com)")