Privilegierte AccountsMit Privileged Access Management Cyberattacken stoppen
Gesponsert von
Die Folgen eines Cyberangriffs können Unternehmen teuer zu stehen kommen. Laut der neunten Ausgabe der jährlichen Studie „Cost of Cybercrime“ von Accenture haben sich die durchschnittlichen finanziellen Auswirkungen eines Cyberangriffs von 1,4 Millionen US-Dollar auf 13 Millionen US-Dollar erhöht. Wenn man die erste Hälfte des Jahres 2020 als Richtwert nimmt, wird diese Summe noch weiter ansteigen. Die Angreifer verstärken ihre Aktivitäten und nutzen die sich bietenden Gelegenheiten wie veränderte Arbeitsumgebungen aus, um die schwächsten Glieder der Unternehmen ins Visier zu nehmen.

Da immer mehr Unternehmen ihre Workloads in die Cloud verlagern, Collaboration-Tools für die Kommunikation mit Remote-Mitarbeitern einführen und die Automatisierung ausbauen, entwickeln Angreifer konsequent ihre Strategien weiter, um diese Bereiche der Business-Transformation anzugreifen.
Wenn Unternehmen die Business Continuity aufrechterhalten und sich der dynamischen Bedrohungslandschaft widersetzen wollen, müssen sie die Denkweise eines Angreifers verstehen. Die Motivationen können zwar variieren – von finanziellem Profit über Spionage bis hin zur Unterbrechung von Geschäftsabläufen – der Angriffszyklus an sich bleibt aber relativ gleich. Zuerst setzen motivierte Angreifer gängige Mittel wie Phishing ein oder nutzen eine bekannte Software-Schwachstelle aus, um in ein Netzwerk zu gelangen. Sobald sie dies erreicht haben, versuchen sie in der Regel privilegierte Accounts – also solche mit umfassenden administrativen Zugangsrechten – zu missbrauchen, um das Netzwerk zu erkunden, dort zu verbleiben und weitere Angriffe zu starten. Ohne privilegierte Zugänge geht die überwiegende Mehrheit der Angriffe jedoch nicht über das Anfangsstadium hinaus.
Die Übernahme von privilegierten Zugriffsrechten hat für Angreifer Priorität. Der Wandel der Geschäftswelt, angeführt von Investitionen in digitale Technologien, hat dazu beigetragen, dass sich privilegierte Accounts über Cloud- und Hybrid-Umgebungen ausbreiten und dadurch weitere potenzielle Angriffspunkte entstehen. Kritische Geschäftsprozesse, Anwendungen und Cloud-Instanzen beispielsweise verfügen über entsprechende privilegierte Konten, die zur Verwaltung und zum Schutz notwendig sind.
Durch die Sicherung von privilegierten Zugängen wird die Angriffsfläche verkleinert, das Tool-Set des Hackers wirkungslos gemacht und die Ausbreitung des Angriffs eingeschränkt. Die Begrenzung der lateralen Bewegung zwingt die Angreifer zu Taktiken, die "lauter" und leichter identifizierbar sind. Unternehmen können so im Vorfeld gewarnt werden und das Vordringen des Angreifers verhindern.
Auf Basis einer CyberArk-Labs-Analyse zu gängigen Cyber-Angriffsvektoren und -taktiken werden vier Möglichkeiten aufgezeigt, wie sich Unternehmen durch Priorisierung des Privileged-Access-Managements besser vor diesen Angriffen schützen können.
Missbrauch von privilegierten Rechten unterbinden
Sobald die Angreifer erstmalig Zugang zum Netzwerk erhalten haben, versuchen sie mit verschiedenen Techniken, ihre Privilegien zu erweitern. Damit können sie sich höhere Berechtigungen aneignen und die Seitwärtsbewegung einleiten.
Business-Software und -Anwendungen können mit Fehlkonfigurationen und Schwachstellen behaftet sein, besonders wenn Upgrades und Patches nicht konsequent durchgeführt werden. Laut einer Studie des Ponemon-Instituts waren im Jahr 2019 60 Prozent der Datenverstöße auf nicht gepatchte Schwachstellen zurückzuführen. Für einen Hacker sind Schwachstellen das Einfallstor in das Unternehmensnetzwerk. Entscheidend ist danach, wie Angreifer ihre Ausgangsposition nutzen können, um ihre Privilegien zu erweitern und sich seitwärts über zunehmend verteilte und dezentralisierte Netzwerke zu bewegen.
Der Missbrauch von Privilegien ist das entscheidende Glied in der Angriffskette. Damit kann ein Cyberkrimineller verschiedene Maßnahmen ergreifen, darunter Netzwerkpersistenz erlangen, zusätzliche Hintertüren einrichten und schließlich auf wichtige Ressourcen zugreifen. Ein modernes Privileged-Access-Management-Programm setzt das Least-Privilege-Prinzip durch. Es stellt sicher, dass Benutzer nur den für die Ausführung ihrer Aufgaben erforderlichen Zugriff erhalten. Die Berechtigungen von Super-Usern und Administratoren werden eingeschränkt und somit die Angriffsfläche verkleinert.
Laterale Bewegungen verhindern
Die laterale Bewegung ist eine Taktik, oft mit dem Missbrauch von Privilegien verbunden, die es Angreifern ermöglichen soll, in ein Netzwerk einzudringen und die dortigen Systeme zu kontrollieren – mit dem Ziel, Schäden anzurichten oder dort langfristig zu verweilen. Mit der Seitwärtsbewegung kommen Angreifer vom ursprünglichen Ausgangspunkt vorwärts und können so wertvolle Informationen erlangen, Zugang zu geschäftskritischen Systemen erhalten oder einen Angriff ausführen. Dadurch können sich Angreifer effektiv von Ort zu Ort, von On-Premises-Umgebungen in und zwischen Cloud-Umgebungen und umgekehrt bewegen. Privileged Access Management ist eine der effektivsten Methoden, um laterale Bewegungen zu unterbinden, indem die Zugänge gesichert werden, die Angreifer benötigen, um in einem Netzwerk voranzukommen.
Ausbreitung von Ransomware eindämmen
Ransomware-Attacken sind nach wie vor einer der häufigsten und kostenintensivsten Cyberangriffe. Der Angriff beginnt in der Regel an einem Endpunkt, das Ziel von Ransomware-Angriffen ist es, Dateien, Anwendungen oder Systeme zu verschlüsseln. Angreifer nehmen im Grunde das Unternehmen als Geisel, bis ein Lösegeld gezahlt wird. Ein einzelner Laptop kann einem Kriminellen nicht viel einbringen, ein ganzes Netzwerk aber schon.
Der entscheidende Moment einer Ransomware-Strategie ist der Übergang vom Endpunkt zum Netzwerk. Cybersecurity Ventures schätzt, dass das weltweit gezahlte Lösegeld bis zum nächsten Jahr die 20-Milliarden-Dollar-Marke überschreiten wird und prognostiziert, dass auf Unternehmen Ransomware-Attacken alle elf Sekunden verübt werden.
Die heute miteinander vernetzten Unternehmen machen Ransomware-Angriffe zu einem echten Problem für Organisationen jeder Größe. Ransomware kann zwar immer Schaden anrichten, aber mit einer Privileged-Access-Management-Lösung ist zumindest eine Schadensbegrenzung möglich. Die CyberArk Labs haben 2,5 Millionen Varianten von Ransomware-Attacken untersucht. Dabei wurde festgestellt, dass die Entfernung lokaler Administratorrechte in Kombination mit einer Applikationskontrolle auf Endpunkten zu 100 Prozent wirksam waren, um die Verbreitung von Ransomware aufzuhalten.
Übernahme von Accounts verhindern
Account-Übernahme-Angriffe (ATO-Angriffe) sind hochentwickelt, zielgerichtet und darauf ausgelegt, dem Angreifer durch Diebstahl und Missbrauch legitimer User-Credentials so viel Kontrolle über eine Umgebung wie möglich zu geben. Angreifer bevorzugen privilegierte Zugangsdaten in ATOs, besonders bei Konten mit "always on"-Zugriff. Diese Konten ermöglichen es Angreifern, sich durch ein Netzwerk zu bewegen und eine vollständige Kompromittierung des Active Directory, Domain-Controllers und sogar gesamter Cloud-Umgebungen zu erreichen.
Privileged-Access-Management-Lösungen – besonders mit Just-in-Time-Zugriffskontrollen – können die Angriffsfläche deutlich verkleinern, indem sie die Credentials zur Authentifizierung absichern, die in verschiedenen Umgebungen vorhanden sind. Ein Just-in-Time-Ansatz stellt die richtigen Zugriffsebenen für die richtigen Ressourcen für eine bestimmte Zeitspanne bereit und beseitigt so die für Angreifer besonders interessanten, ständig aktiven Konten.
Die Kompromittierung von privilegierten Konten ist der zentrale Aspekt eines Cyberangriffszyklus. Im Gartner 2020 Magic Quadrant for Privileged Access Management1 wird gezeigt, wie Privileged Access Management dazu beitragen kann, den Zyklus zu durchbrechen und die wichtigsten Daten, Infrastrukturen und Vermögenswerte von Unternehmen zu schützen. Hier steht ein kostenloses Exemplar des Gartner 2020 Magic Quadrant for Privileged Access Managemen1 zum Download bereit.
1Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, 4. August 2020
Gartner empfiehlt keine der Lösungsanbieter, Produkte oder Dienstleistungen in seinen Forschungspublikationen und rät den Nutzern der Technologien auch nicht, ausschließlich Anbieter mit den höchsten Bewertungen oder anderen Einstufungen zu wählen. Die Forschungspublikationen von Gartner stellen die Meinung der Forschungsabteilung von Gartner dar und dürfen nicht als Tatsachenbericht verstanden werden. Gartner schließt alle ausdrücklichen oder stillschweigenden Gewährleistungen hinsichtlich dieser Recherche aus, einschließlich jeglicher Gewährleistung in Bezug auf Marktgängigkeit oder Eignung für einen bestimmten Zweck.
(ID:46808200)