:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Privilegierte Accounts Mit Privileged Access Management Cyberattacken stoppen
Gesponsert von
Die Folgen eines Cyberangriffs können Unternehmen teuer zu stehen kommen. Laut der neunten Ausgabe der jährlichen Studie „Cost of Cybercrime“ von Accenture haben sich die durchschnittlichen finanziellen Auswirkungen eines Cyberangriffs von 1,4 Millionen US-Dollar auf 13 Millionen US-Dollar erhöht. Wenn man die erste Hälfte des Jahres 2020 als Richtwert nimmt, wird diese Summe noch weiter ansteigen. Die Angreifer verstärken ihre Aktivitäten und nutzen die sich bietenden Gelegenheiten wie veränderte Arbeitsumgebungen aus, um die schwächsten Glieder der Unternehmen ins Visier zu nehmen.
Da immer mehr Unternehmen ihre Workloads in die Cloud verlagern, Collaboration-Tools für die Kommunikation mit Remote-Mitarbeitern einführen und die Automatisierung ausbauen, entwickeln Angreifer konsequent ihre Strategien weiter, um diese Bereiche der Business-Transformation anzugreifen.
Wenn Unternehmen die Business Continuity aufrechterhalten und sich der dynamischen Bedrohungslandschaft widersetzen wollen, müssen sie die Denkweise eines Angreifers verstehen. Die Motivationen können zwar variieren – von finanziellem Profit über Spionage bis hin zur Unterbrechung von Geschäftsabläufen – der Angriffszyklus an sich bleibt aber relativ gleich. Zuerst setzen motivierte Angreifer gängige Mittel wie Phishing ein oder nutzen eine bekannte Software-Schwachstelle aus, um in ein Netzwerk zu gelangen. Sobald sie dies erreicht haben, versuchen sie in der Regel privilegierte Accounts – also solche mit umfassenden administrativen Zugangsrechten – zu missbrauchen, um das Netzwerk zu erkunden, dort zu verbleiben und weitere Angriffe zu starten. Ohne privilegierte Zugänge geht die überwiegende Mehrheit der Angriffe jedoch nicht über das Anfangsstadium hinaus.
Die Übernahme von privilegierten Zugriffsrechten hat für Angreifer Priorität. Der Wandel der Geschäftswelt, angeführt von Investitionen in digitale Technologien, hat dazu beigetragen, dass sich privilegierte Accounts über Cloud- und Hybrid-Umgebungen ausbreiten und dadurch weitere potenzielle Angriffspunkte entstehen. Kritische Geschäftsprozesse, Anwendungen und Cloud-Instanzen beispielsweise verfügen über entsprechende privilegierte Konten, die zur Verwaltung und zum Schutz notwendig sind.
Durch die Sicherung von privilegierten Zugängen wird die Angriffsfläche verkleinert, das Tool-Set des Hackers wirkungslos gemacht und die Ausbreitung des Angriffs eingeschränkt. Die Begrenzung der lateralen Bewegung zwingt die Angreifer zu Taktiken, die "lauter" und leichter identifizierbar sind. Unternehmen können so im Vorfeld gewarnt werden und das Vordringen des Angreifers verhindern.
Auf Basis einer CyberArk-Labs-Analyse zu gängigen Cyber-Angriffsvektoren und -taktiken werden vier Möglichkeiten aufgezeigt, wie sich Unternehmen durch Priorisierung des Privileged-Access-Managements besser vor diesen Angriffen schützen können.
Missbrauch von privilegierten Rechten unterbinden
Sobald die Angreifer erstmalig Zugang zum Netzwerk erhalten haben, versuchen sie mit verschiedenen Techniken, ihre Privilegien zu erweitern. Damit können sie sich höhere Berechtigungen aneignen und die Seitwärtsbewegung einleiten.
Business-Software und -Anwendungen können mit Fehlkonfigurationen und Schwachstellen behaftet sein, besonders wenn Upgrades und Patches nicht konsequent durchgeführt werden. Laut einer Studie des Ponemon-Instituts waren im Jahr 2019 60 Prozent der Datenverstöße auf nicht gepatchte Schwachstellen zurückzuführen. Für einen Hacker sind Schwachstellen das Einfallstor in das Unternehmensnetzwerk. Entscheidend ist danach, wie Angreifer ihre Ausgangsposition nutzen können, um ihre Privilegien zu erweitern und sich seitwärts über zunehmend verteilte und dezentralisierte Netzwerke zu bewegen.
Der Missbrauch von Privilegien ist das entscheidende Glied in der Angriffskette. Damit kann ein Cyberkrimineller verschiedene Maßnahmen ergreifen, darunter Netzwerkpersistenz erlangen, zusätzliche Hintertüren einrichten und schließlich auf wichtige Ressourcen zugreifen. Ein modernes Privileged-Access-Management-Programm setzt das Least-Privilege-Prinzip durch. Es stellt sicher, dass Benutzer nur den für die Ausführung ihrer Aufgaben erforderlichen Zugriff erhalten. Die Berechtigungen von Super-Usern und Administratoren werden eingeschränkt und somit die Angriffsfläche verkleinert.
Laterale Bewegungen verhindern
Die laterale Bewegung ist eine Taktik, oft mit dem Missbrauch von Privilegien verbunden, die es Angreifern ermöglichen soll, in ein Netzwerk einzudringen und die dortigen Systeme zu kontrollieren – mit dem Ziel, Schäden anzurichten oder dort langfristig zu verweilen. Mit der Seitwärtsbewegung kommen Angreifer vom ursprünglichen Ausgangspunkt vorwärts und können so wertvolle Informationen erlangen, Zugang zu geschäftskritischen Systemen erhalten oder einen Angriff ausführen. Dadurch können sich Angreifer effektiv von Ort zu Ort, von On-Premises-Umgebungen in und zwischen Cloud-Umgebungen und umgekehrt bewegen. Privileged Access Management ist eine der effektivsten Methoden, um laterale Bewegungen zu unterbinden, indem die Zugänge gesichert werden, die Angreifer benötigen, um in einem Netzwerk voranzukommen.
Ausbreitung von Ransomware eindämmen
Ransomware-Attacken sind nach wie vor einer der häufigsten und kostenintensivsten Cyberangriffe. Der Angriff beginnt in der Regel an einem Endpunkt, das Ziel von Ransomware-Angriffen ist es, Dateien, Anwendungen oder Systeme zu verschlüsseln. Angreifer nehmen im Grunde das Unternehmen als Geisel, bis ein Lösegeld gezahlt wird. Ein einzelner Laptop kann einem Kriminellen nicht viel einbringen, ein ganzes Netzwerk aber schon.
Der entscheidende Moment einer Ransomware-Strategie ist der Übergang vom Endpunkt zum Netzwerk. Cybersecurity Ventures schätzt, dass das weltweit gezahlte Lösegeld bis zum nächsten Jahr die 20-Milliarden-Dollar-Marke überschreiten wird und prognostiziert, dass auf Unternehmen Ransomware-Attacken alle elf Sekunden verübt werden.
Die heute miteinander vernetzten Unternehmen machen Ransomware-Angriffe zu einem echten Problem für Organisationen jeder Größe. Ransomware kann zwar immer Schaden anrichten, aber mit einer Privileged-Access-Management-Lösung ist zumindest eine Schadensbegrenzung möglich. Die CyberArk Labs haben 2,5 Millionen Varianten von Ransomware-Attacken untersucht. Dabei wurde festgestellt, dass die Entfernung lokaler Administratorrechte in Kombination mit einer Applikationskontrolle auf Endpunkten zu 100 Prozent wirksam waren, um die Verbreitung von Ransomware aufzuhalten.
Übernahme von Accounts verhindern
Account-Übernahme-Angriffe (ATO-Angriffe) sind hochentwickelt, zielgerichtet und darauf ausgelegt, dem Angreifer durch Diebstahl und Missbrauch legitimer User-Credentials so viel Kontrolle über eine Umgebung wie möglich zu geben. Angreifer bevorzugen privilegierte Zugangsdaten in ATOs, besonders bei Konten mit "always on"-Zugriff. Diese Konten ermöglichen es Angreifern, sich durch ein Netzwerk zu bewegen und eine vollständige Kompromittierung des Active Directory, Domain-Controllers und sogar gesamter Cloud-Umgebungen zu erreichen.
Privileged-Access-Management-Lösungen – besonders mit Just-in-Time-Zugriffskontrollen – können die Angriffsfläche deutlich verkleinern, indem sie die Credentials zur Authentifizierung absichern, die in verschiedenen Umgebungen vorhanden sind. Ein Just-in-Time-Ansatz stellt die richtigen Zugriffsebenen für die richtigen Ressourcen für eine bestimmte Zeitspanne bereit und beseitigt so die für Angreifer besonders interessanten, ständig aktiven Konten.
Die Kompromittierung von privilegierten Konten ist der zentrale Aspekt eines Cyberangriffszyklus. Im Gartner 2020 Magic Quadrant for Privileged Access Management1 wird gezeigt, wie Privileged Access Management dazu beitragen kann, den Zyklus zu durchbrechen und die wichtigsten Daten, Infrastrukturen und Vermögenswerte von Unternehmen zu schützen. Hier steht ein kostenloses Exemplar des Gartner 2020 Magic Quadrant for Privileged Access Managemen1 zum Download bereit.
1Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, 4. August 2020
Gartner empfiehlt keine der Lösungsanbieter, Produkte oder Dienstleistungen in seinen Forschungspublikationen und rät den Nutzern der Technologien auch nicht, ausschließlich Anbieter mit den höchsten Bewertungen oder anderen Einstufungen zu wählen. Die Forschungspublikationen von Gartner stellen die Meinung der Forschungsabteilung von Gartner dar und dürfen nicht als Tatsachenbericht verstanden werden. Gartner schließt alle ausdrücklichen oder stillschweigenden Gewährleistungen hinsichtlich dieser Recherche aus, einschließlich jeglicher Gewährleistung in Bezug auf Marktgängigkeit oder Eignung für einen bestimmten Zweck.
(ID:46808200)
:quality(80)/p7i.vogel.de/wcms/14/a5/14a5a8f9760d919d39a2332bb2ce9f95/0112825909.jpeg "Zur Absicherung von Netzwerken sollte man erst dann über die Einführung von speziellen Security-Tools nachdenken, wenn alle Bordmittel ausgeschöpft und die Grundlagen priviligierter Benutzerkonten umgesetzt sind. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/f6/bcf62e564cca19cb682a0471175b8be5/0104987236.jpeg "In der Sicherheits-Community ist es schon seit einigen Jahren ein Thema: das Risiko der Shadow-IT. Aber was ist eigentlich ein Shadow-Administrator? (Bild: jariyawat - stock.adobe.com)")