Identitäten im Visier

Privilegierte Identitäten besser schützen

| Autor / Redakteur: Zoltan Bakos / Peter Schmitz

Wer Angriffe auf privilegierte Konten verhindern will, der muss als erstes wissen, welche Konten überhaupt gefährdet sind und muss dann verstehen, wie Angriffe darauf ablaufen.
Wer Angriffe auf privilegierte Konten verhindern will, der muss als erstes wissen, welche Konten überhaupt gefährdet sind und muss dann verstehen, wie Angriffe darauf ablaufen. (Bild: gemeinfrei / Pixabay)

Bei vielen der größten Datendiebstähle des 21. Jahrhunderts konnten externe Angreifer die Anmeldeinformationen von Usern mit Zugriff auf privilegierte Konten erlangen. Das sind beispielsweise IT-Administrator- und Service-Konten oder Betriebs-Accounts. Und damit hatten die Angreifer die Möglichkeit, in quasi industriellem Maßstab an Daten zu gelangen, diese zu sammeln und heraus zu schleusen.

Die Analysten von Gartner haben erst kürzlich privilegierte Konten als eine der wichtigsten Prioritäten für IT-Sicherheitsabteilungen gelistet. Schon allein deshalb, weil privilegierte Konten eines der populärsten Ziele für Angreifer sind. Obwohl es schwierig ist, die Auswirkungen von Angriffen auf privilegierte Konten vollständig zu messen, liegen die Gesamtschadenszahlen der aufgedeckten Datenschutzverletzungen in Milliardenhöhe. Tendenz weiter steigend. Zu den betroffenen Daten gehören sensible Informationen wie unter anderem Kreditkartendaten, personenbezogene Daten, Patientendaten und so weiter.

Eine wachsende Anzahl von Personen und externen Dritten hat mittlerweile Zugriff auf privilegierte Konten, und genau diese Entwicklung hat den Angriffsvektor zusätzlich vergrößert. Was also sollten IT-Sicherheitsverantwortliche tun, um solche Angriffe zu verhindern oder wenigstens in ihren Auswirkungen zu begrenzen? Wenn privilegierte Identitäten gestohlen werden, steht einiges auf dem Spiel: Neben den verlorenen Dateien und Daten auch der Ruf eines Unternehmens. Von den potenziellen Kosten ganz abgesehen. Im Prinzip sind es drei große Bereiche auf die man sich konzentrieren sollte will man sich besser als bisher vor Identitätsdiebstahl schützen: Erstens: „Denken wie ein Hacker“, zweitens „unzureichende Sicherheitspraktiken beheben“ und drittens „die richtigen Tools für den individuellen Bedarf auswählen“.

Digitale Identitäten im Zentrum vieler Geschäftsprozesse

Neues eBook „Neue Aufgaben des IAM“

Digitale Identitäten im Zentrum vieler Geschäftsprozesse

20.09.19 - Identity and Access Management (IAM) wird immer anspruchsvoller, aber auch wichtiger. Die Zunahme an Schnittstellen, die Migration in die Cloud und die steigende Zahl mobiler Mitarbeiter müssen in einem IAM-System ebenso abgebildet werden können wie Kundenbeziehungen und Lieferketten. Das neue eBook beschreibt, wie IAM diesen neuen Aufgaben gerecht wird. lesen

Denken wie ein Hacker

Wer Angriffe auf privilegierte Konten verhindern will, der muss zunächst einmal verstehen, wie sie ablaufen. Im Prinzip sind es drei wesentliche Phasen. Wenn privilegierte Identitäten missbraucht werden, besteht ein häufiges Problem darin, dass man nicht weiß, wo der Angriff begonnen hat. Oft rücken sofort die Nutzer privilegierter Konten in den Fokus, obwohl die Attacken nicht unbedingt bei diesen Accounts beginnen.

Externe Erkundung/Sondierungsphase: Die meisten Angriffe richten sich zunächst nicht gegen privilegierte Benutzer. Stattdessen werden eher weniger technisch versierte, durchschnittliche Benutzer in Visier genommen. Üblicherweise stoßen Angreifer hier auf deutlich geringeren Widerstand. Und von diesen Konten aus haben sie die Möglichkeit sich in der typischen lateralen Bewegung im Netz weiter durch zu arbeiten. Nicht selten nutzen Angreifer Schwachstellen in den Netzen Dritter aus, wie etwa von Partner, Händlern oder Auftragnehmern mit Netzwerkzugriff. Ist dann das eigentliche Ziel identifiziert führt nicht selten die altbekannte und bewährte Methode des Spear Phishing zum Erfolg. Benutzer werden dazu gebracht Informationen (wie Anmeldedaten) weiterzugeben oder auf einen Link zu klicken und erlauben so einer Malware sich auf dem betreffenden Gerät zu installieren und von dort aus weiter zu verbreiten.

Interne Sondierung: Sobald ein Angreifer in der IT-Umgebung Fuß gefasst hat, durchforscht er die internen Systeme und Dateien. Während dieser Phase versucht ein Hacker so viele Informationen wie möglich über die IT-Umgebung zu sammeln und sich mithilfe verschiedener Netzwerkdiagnose-Tools einen Überblick über Netzwerk und Systeme zu verschaffen.

Privilegien-/Rechteerweiterung: Ausgestattet mit einem umfassenden Verständnis des Netzwerks ist es einem versierten Angreifer jetzt möglich sich weitere Rechte und Privilegien zu verschaffen. Ziel ist es letztendlich auf den Domain Controller oder ein ähnliches Ziel zuzugreifen. Eine gebräuchliche Methode ist ein "Pass-the-Hash"-Angriff. Mit dieser Technik greift der Angreifer auf zwischengespeicherte Passwort-Hashes zu und lädt diese herunter, um auf weitere Computer und Systeme zuzugreifen. Und zwar ohne, dass er privilegierte Anmeldeinformationen entschlüsseln muss. In anderen Fällen dient eine Malware dazu an einen SSH-Schlüssel zu kommen. Das heißt an Anmeldeinformationen, die den Zugriff auf gängige Linux/Unix-Betriebssysteme ermöglichen. Über diese Hintertür kann der Angreifer auf weitere Systeme zugreifen und in einigen Fällen komplette Netzwerke kompromittieren. Auch bekannte oder unbekannte (Zero-Day-) Schwachstellen auszunutzen ist eine gängige Methode. Hierbei wird über eine nicht gepatchte Sicherheitslücke in der Software beispielsweise ein Virus in das Betriebssystem eines Geräts eingeschleust. Ziel ist es auch hier das System zu übernehmen und sich gegebenenfalls sogar einen Superuser-Zugriff zu verschaffen.

Systeme besser schützen

Wenn man die Vorgehensweise eines Hackers versteht, ist klar, dass Firmen ihre bestehenden Sicherheitsrichtlinien und teilweise veralteten Technologien wie Netzwerkfirewalls oder traditionelle Security Information and Event Management (SIEM)-Lösungen überdenken müssen.

Um die Zugriffe auf privilegierte Konten besser zu kontrollieren sollten Unternehmen mindestens Methoden und Tools für das Privileged Password Management nutzen. Über solche Systeme werden sichere Passwörter generiert, randomisiert und in einem gehärteten, zentralen Passwort-Vault sicher gespeichert. Passwort Management allein kommt allerdings schnell an seine natürlichen Grenzen. Sobald ein Angreifer Anmeldeinformationen für privilegierte Konten kompromittiert hat, bewegt er sich frei im Netzwerk. Das Passwort-Management-Tool erlaubt keinerlei Einblick darin was ein Angreifer tut, wenn er mithilfe scheinbar legitimer Anmeldeinformationen im Netzwerk agiert.

An dieser Stelle kommt das Privileged Session Management ins Spiel. Es greift sehr viel weiter. Eine effektive Session- Management-Lösung überwacht privilegierte Sessions in Echtzeit und zeichnet sie auf. Die Logins erfolgen automatisch über privilegierte Anmeldeinformationen und Richtlinien lassen sich zentral durchsetzen. Bei Verstößen gegen diese Richtlinien wird automatisch eine Benachrichtigung versendet und die betreffende Session abgebrochen. Die Kombination aus Passwort-Vault und Session Recording sorgt dafür, dass Anmeldeinformationen verwendet werden, die dem Benutzer unbekannt sind, und dessen Aktivitäten aufgezeichnet werden.

Das dritte Puzzleteil um sich besser vor Privileged Identity Theft zu schützen, ist, frühzeitig zu erkennen, dass Anmeldeinformationen zu solchen Konten überhaupt abgegriffen wurden. Das war früher in vielen Fällen schwierig zu erkennen. Ein vergleichsweise neuer Ansatz ist das auf maschinellem Lernen basierende User Behavior Analytics. UBA-Tools schließen eine Lücke. Sie nutzen Daten um das Verhalten eines privilegierten Benutzers innerhalb des Netzwerks zu analysieren. Zwei zentrale Faktoren sind die Analyse von benutzertypischen Tastatur­anschlägen bis in den Bereich von Millisekunden hinein und die Analyse typischer Mausbewegungen. Die zugrunde liegenden Algorithmen sollen dabei ein möglichst detailliertes Verständnis des „digitalen Fußabdrucks“ eines Users erlauben. Maschinelles Lernen dient dann zusätzlich dazu, dass sich die Algorithmen anhand der gewonnenen und korrelierten Informationen anpassen und weiterentwickeln. So erkennen Behavior-Analytics-Lösungen relativ schnell, ob eine Aktivität tatsächlich verdächtig oder ungewöhnlich ist und schützen proaktiv mit Hilfe einer kontinuierlichen Authentifizierung.

Chancen und Risiken von Blockchain-Lösungen

Neues eBook „Blockchain und digitale Identitäten“

Chancen und Risiken von Blockchain-Lösungen

16.07.19 - Manche sehen in Blockchain-Technologien die Zukunft der digitalen Identitäten, andere halten die Blockchain für das Ende des Datenschutzes. Bevor Unternehmen mit Blockchain-Projekten starten, sollten sie die Vorteile und Einschränkungen für digitale Identitäten kennen. Das neue eBook will dabei helfen und nennt neben Beispiel­anwendungen auch den Bedarf an zusätzlicher Sicherheit. lesen

Das Vorgehen macht den Meister

Für das Privileged Access Management ist der richtige Ansatz entscheidend. Wer die Risiken von Privileged Identity Theft möglichst schnell senken will, der sollte sich darauf konzentrieren unzureichende Sicherheitspraktiken, -prozesse und -richtlinien zu beseitigen:

  • Stellen Sie sicher, dass Ihre Liste privilegierter Konten aktuell ist: Große Unternehmen, die Netzwerke mit Tausenden von Servern und Netzwerkgeräten betreiben, verfügen häufig nicht über eine präzise Aufstellung aller Systeme.
  • Beschränken Sie die Rechte und den Zugriff für jedes einzelne Konto: Erzwingen Sie das Prinzip der minimalen Rechtevergabe (Principle of Least Privilege). Jedes Konto sollte nur die Rechte besitzen, die zur Ausführung der daran gekoppelten Aufgaben erforderlich sind.
  • Löschen Sie nicht mehr genutzte Konten und die zugehörigen Rechte: Wenn Mitarbeiter ein Unternehmen verlassen oder sie Position oder Abteilung wechseln, müssen die Zugriffsberechtigungen entsprechend entzogen werden. Ansonsten entstehen schwerwiegende Sicherheitslücken. Bei externen Auftragnehmern sollte man die Zugriffsberechtigungen sofort entziehen, wenn das Projekt abgeschlossen ist.
  • Implementieren Sie eine formale Passwortrichtlinie: Eine Richtlinie für sichere Passwörter sollte das routinemäßige Ändern von Standardpasswörtern und das Implementieren sicherer Passwörter umfassen. Die Weitergabe von Passwörtern bei privilegierten Konten (eine durchaus gängige Praxis) sollte niemals gestattet sein. Das klingt selbstverständlich, ist es aber nicht. Selbst in großen Unternehmen ist der laxe Umgang mit solchen Passwörtern nicht selten. Eine vermeidbare Praxis, die Hackern das Leben unnötig erleichtert.
  • Verhindern Sie, dass Benutzer in Sachen Sicherheit „Abkürzungen“ nehmen: Privilegierte Benutzer wollen so effizient wie möglich arbeiten. In vielen Fällen ist die Versuchung deshalb groß hinsichtlich der Sicherheit eine Abkürzung zu nehmen. Mitarbeiter zu schulen und angemessenes Sicherheitsverhalten zu trainieren reduziert die Gefahr.

Eines ist sicher: Privilegierte Anmeldeinformationen bleiben eines der wichtigsten Ziele für Hacker. Wenn man den gängigen Ablauf eines privilegierten Angriffs kennt, kann man die richtigen, präventiven Schritte unternehmen: Strenge Richtlinien für die privilegierten Zugriffe durchsetzen, Benutzer schulen und ein Privileged Account Management System (bestehend aus Password Management, Session Management und Behavior Analytics) einsetzen. Damit sind IT-Abteilungen auf einem guten Weg, die Risiken eines Privileged Identity Theft zu minimieren oder ihn ganz zu verhindern.

Über den Autor: Zoltan Bakos ist Senior Privileged Specialist Architect bei One Identity. Mit mehr als 10 Jahren Erfahrung in der IT, mehrheitlich mit Fokus auf IT-Sicherheit, verfügt Zoltan Bakos über ein solides Wissen zu Angriffsmöglichkeiten und potentiellen Sicherheitsrisiken in einer Unternehmens-Infrastruktur. Als Senior Architect setzt er dieses Wissen Tag für Tag ein, um unter der Flagge von One Identity Risiken innerhalb der Kundenumgebungen zu minimieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46212439 / Benutzer und Identitäten)