Office365-Bedrohungen und Angriffe auf das UnternehmensnetzwerkPotential der Analyse von Verhaltensweisen und Nutzungsmustern heben
3. Februar 2021Das Jahr 2020 brachte eine Flutwelle von Herausforderungen für Unternehmen in jedem Sektor – vom Gesundheitswesen über das Gastgewerbe bis hin zur Luftfahrt. Jedes Unternehmen war gezwungen, irgendeinen Aspekt seiner Strategie anzupassen, sei es durch Ausgabenkürzungen, Personalabbau, Neueinstellungen oder Änderung der Betriebsmodelle.
Obwohl die Auswirkungen der COVID-19-Pandemie im Jahr 2020 auf die Technologiebranche im Vergleich zu anderen Sektoren hinterherhinken, gab es dennoch ein erhebliches Maß an Veränderungen. Viele Unternehmen waren gezwungen, digitale Transformationsinitiativen zu implementieren und zu beschleunigen, um sich auf eine schnell einsetzbare Fernbelegschaft einzustellen. Vectra AI erläutert, welche Folgen hier im speziellen für die Sicherheit im Kontext von Office365 zu beobachten waren bzw. zu erwarten sind.
Als direkte Folge der beschleunigten Work-from-Home-Initiativen stieg die Akzeptanz und tägliche Nutzung von Cloud- und SaaS-Anwendungen im Jahr 2020 sprunghaft an, was viele neue Bedrohungen mit sich brachte. Zu den am schnellsten wachsenden und am häufigsten auftretenden Problemen für Unternehmen gehörten Angriffe, die auf SaaS- und Cloud-Benutzerkonten abzielen. Das war bereits der Fall, ehe COVID-19 die enorme und schnelle Verlagerung zur Fernarbeit erzwang.
Mit der zunehmenden Nutzung von Cloud-Software durch Unternehmen dominieren Anwendungen wie Office365 den Bereich der Produktivität. Die Office365-Plattform verzeichnete zuletzt mehr als 250 Millionen aktive Benutzer pro Monat und wurde zur Grundlage für die gemeinsame Nutzung, Speicherung und Kommunikation von Unternehmensdaten. Dies machte sie auch zu einer unglaublich reichen Fundgrube für Angreifer.
Angreiferfokus liegt auf Office365
Es war also keine Überraschung, dass Office365 im Jahr 2020 in den Fokus von Cyber-Angreifern geriet und zu einigen massiven finanziellen und Reputationsverlusten führte, trotz der verstärkten Einführung von Multifaktor-Authentifizierung und anderen Sicherheitskontrollen, die Angreifern als Hindernis dienen sollten. Unter den Sicherheitsverletzungen, die Office365 betrafen, waren Kontoübernahmen die am schnellsten wachsende und am weitesten verbreitete Angriffstechnik.
Angreifer konzentrieren sich mittlerweile eher auf Kontoübernahmen als auf die Kompromittierung von E-Mails, um einen ersten Zugang zu einer Umgebung zu erhalten. Laut einer aktuellen Studie sind laterale Bewegungen die häufigste Kategorie verdächtigen Verhaltens in Office365-Umgebungen, dicht gefolgt von Versuchen, eine Command-and-Control-Kommunikation aufzubauen. Zwei Office365-Tools, die sich als wertvoll für Angreifer erwiesen haben, sind Power Automate und eDiscovery Compliance Search.
Microsoft Power Automate, ehemals Microsoft Flow, automatisiert alltägliche Benutzeraufgaben sowohl in Office 365 als auch in Azure und ist standardmäßig in allen Office365-Tenants aktiviert. Es kann den Zeit- und Arbeitsaufwand für die Erledigung bestimmter Aufgaben für Benutzer reduzieren. Ähnlich wie bei PowerShell neigen jedoch auch Angreifer dazu, Aufgaben automatisieren zu wollen. Mit über 350 verfügbaren Anwendungskonnektoren sind die Möglichkeiten für Cyberangreifer, die Power Automate nutzen, enorm. Office365 eDiscovery Compliance Search ermöglicht die Suche nach Informationen über alle Office365-Inhalte mit einem einfachen Befehl. Alle diese Techniken werden jetzt aktiv genutzt, und sie werden häufig zusammen über den gesamten Angriffslebenszyklus hinweg eingesetzt.
Die Zahl der Bedrohungen, die auf Office365-Benutzer und andere ähnliche Plattformen abzielen, wird im Jahr 2021 zweifelsohne weiter zunehmen. Die Identifizierung von Missbrauch des Benutzerzugriffs wurde traditionell mit präventionsbasierten, richtlinienzentrierten Ansätzen angegangen.
Sicherheitsadministratoren verließen sich auf Warnungen, die potenzielle Bedrohungen beim Auftreten identifizierten, wodurch wenig Zeit blieb, um angemessen zu reagieren. Diese herkömmlichen Ansätze werden weiterhin versagen, da sie nur zeigen, dass ein genehmigtes Konto für den Zugriff auf Ressourcen verwendet wird. Sie geben keinen tieferen Einblick, wie oder warum Ressourcen genutzt werden und ob das beobachtete Verhalten für einen Angreifer nützlich sein könnte.
Daher sollten sich die Sicherheitsteams in diesem Jahr darauf konzentrieren, Maßnahmen umzusetzen, die einen detaillierteren Überblick darüber geben, wie ihre Benutzer privilegierte Aktionen – bekannt als „observed privilege“, also „beobachtete Berechtigung“ – innerhalb von SaaS-Anwendungen wie Office365 nutzen. Sprich sie müssen verstehen, wie Benutzer auf Office365-Ressourcen zugreifen und von wo aus. Es geht darum, die Nutzungsmuster und Verhaltensweisen zu verstehen, nicht darum, statische Zugriffsrichtlinien zu definieren.
In diesem Kontext kann es nicht hoch genug eingeschätzt werden, wie wichtig es ist, ein wachsames Auge auf den Missbrauch des Benutzerzugriffs auf SaaS-Daten zu haben, wenn man bedenkt, wie häufig Angriffe in der realen Welt vorkommen. SaaS-Plattformen sind ein Paradies für Angreifer, weshalb die Überwachung des Benutzerzugriffs auf Konten und Dienste von größter Bedeutung ist.
Weitere Sicherheitsaspekte für 2021
Die Inversion des Unternehmensnetzwerks wird weiterhin vorherrschend sein. Viele Unternehmen weltweit konzentrieren sich darauf, eine dauerhafte hybride oder vollständig dezentrale Arbeitsstruktur einzuführen, um die Produktivität zu steigern, den Aufwand zu reduzieren und den Mitarbeitern mehr Flexibilität zu bieten. Es ist nicht mehr der Fall, dass hochsensible und vertrauliche Daten nur vor Ort aufbewahrt werden, wo einige wenige Ausnahmen in den schützenden Firewall-Richtlinien gemacht werden, um die ausgehende Kommunikation zu ermöglichen.
Im Jahr 2021 wird die De-Perimeterisierung der Unternehmensnetzwerke endgültig als Norm akzeptiert, was seit Jahren erwartet wurde und sich nun beschleunigt hat. Einer der führenden Indikatoren dafür ist, dass Unternehmen Active Directory (eine herkömmliche On-Premises-Architektur) über Bord werfen und alle ihre Identitäten auf Azure AD (eine moderne Cloud-fähige Technologie) verlagern.
Eines der besten Dinge, die ein Unternehmen tun kann, um sich auf die Sicherheitsherausforderungen im Jahr 2021 vorzubereiten, ist die Investition in Network Detection and Response (NDR) und die Bereitstellung des Benutzerzugangs über eine Zero Trust-Architektur. Unternehmen sollten darüber nachdenken, wo sich ihre wichtigsten Daten befinden – höchstwahrscheinlich in der Cloud und in SaaS-Anwendungen. Sie sollten ermitteln, wie effizient ihr Sicherheitsteam Angreifer an all diesen Orten aufspüren kann, bevor sie erheblichen Schaden anrichten.
Andreas Müller ist Director DACH bei Vectra AI.