Missbrauch legitimer IT-Werkzeuge durch KriminelleGefahrenpotenzial richtig einschätzen
22. Dezember 2020
Cyber-Angriffe auf US-Ministerien wie das Handels- und das Finanzministerium haben verdeutlicht: Die Angreifer sind in der Lage, an sich legitime IT-Werkzeuge zu missbrauchen, um sich unbemerkt Zugang zu sensiblen Bereichen der IT-Infrastruktur zu verschaffen.
Diese Angriffe auf die amerikanischen Ministerien gelten als ein signifikantes Beispiel für einen gut ausgeführten Supply-Chain-Angriff, bei dem ein beliebtes IT-Management-Tool als Penetrationsmechanismus kompromittiert wurde. Die anschließende Ausnutzung der Authentifizierungskontrollen ermöglichte es dem Angreifer, sich in die Cloud zu verlagern und für längere Zeit unentdeckt in Microsoft 365 zu operieren, um Informationen zu sammeln.
Die Cybersecurity and Infrastructure Security Agency (CISA) der US-Regierung hat eine Notfallanweisung herausgegeben, in der sie „alle zivilen US-Bundesbehörden auffordert, ihre Netzwerke auf Anzeichen einer Kompromittierung zu überprüfen und Solarwinds Orion-Produkte sofort vom Netzwerk zu trennen oder zu deaktivieren.
Problemfall Hybrid Cloud
Da Unternehmen zunehmend Hybrid-Cloud-Umgebungen einsetzen, beobachten Security-Experten, dass sich Angreifer auf privilegierten Zugriff und die Nutzung legitimer Tools für bösartige Aktionen konzentrieren. In einer kürzlich durchgeführten Studie mit vier Millionen Microsoft 365-Konten wurde bei Vectra beispielsweise festgestellt, dass 96 Prozent der Unternehmen ein laterales Bewegungsverhalten aufweisen, einschließlich Multifaktor-Authentifizierung (MFA) und eingebetteter Sicherheitskontrollen, die umgangen werden.
Ein Bedrohungsakteur kann dann mit wenigen Klicks E-Mail-Regeln umkonfigurieren, Sharepoint- und Onedrive-Dateispeicher kompromittieren und mithilfe integrierter M365-Tools wie eDiscovery und Power Automate anhaltende Erkundungs- und Exfiltrationsfunktionen einrichten. Die Möglichkeiten für diese Art von Angriffen sind groß und nehmen weiter zu.
Host- und Account-Interaktionen kontrollieren
Dies unterstreicht die Notwendigkeit, dass Sicherheitsteams in der Lage sein müssen, alle Host- und Account-Interaktionen beim Wechsel zwischen Cloud- und On-Premises-Umgebungen in einer konsolidierten Ansicht zusammenzufassen. Sicherheitsteams müssen außerdem das Gesamtrisiko einer Sicherheitsverletzung drastisch reduzieren, indem sie sofortige Transparenz und ein Verständnis dafür erlangen, wer und was auf Daten zugreift oder Konfigurationen ändert. Dies gilt unabhängig davon, wie und von wo aus dies geschieht.
Willem Hendrickx ist Senior Vice President International beim Cybersecurity-Anbieter Vectra AI.
