Social Engineering und VPN-Zugang:So entsteht eine moderne Sicherheitslücke
8. Dezember 2023
Wenn Unternehmen Details über einen Sicherheitsvorfall bekannt geben, kann die Security-Community meist etwas über die bei dem Angriff angewandten Taktiken lernen und ist so in der Lage, ihre eigenen Unternehmen in Zukunft besser zu schützen.
Im Jahr 2022 erfuhr das Fahrdienstunternehmen Uber von einer erfolgreichen Dateninfiltration und schrieb den Angriff der berüchtigten Lapsus$-Gruppe zu. Nachrichtenberichten und Ubers eigenem Blog zufolge wurden die Zugangsdaten eines Drittanbieters entweder durch Social Engineering (laut Lapsus$), oder durch den Kauf der Zugangsdaten im Dark Web (laut Uber) kompromittiert.
In jedem Fall bombardierte ein Angreifer einen Benutzer mit Anfragen zur Multi-Faktor-Authentifizierung (MFA) und konnte ihn unter dem Vorwand, ein IT-Mitarbeiter von Uber zu sein, davon überzeugen, den Login zu akzeptieren. Sobald der Angreifer eingeloggt war, bewegte er sich „seitlich“ und fand privilegierte Zugangsdaten, die in einem Automatisierungsskript hartkodiert waren. Von dort aus verschaffte er sich zusätzlichen Zugang zu einer Vielzahl von Cloud-Anwendungen und Daten im Netzwerk des Unternehmens.
Uber ist nur ein Beispiel, die Bedrohungslandschaft entwickelt sich ständig weiter. Dieser Angriff veranschaulicht die Taktiken, die nach wie vor wirksam sind, was IT-Abteilungen und Sicherheitsteams auf der ganzen Welt hilft, besser zu verstehen, welche proaktiven Schritte sie durchführen können, um nicht die nächsten zu sein.
Daraus lassen sich einige Aspekte erkennen: Heutzutage muss eine Vielzahl von Benutzern überall auf die Unternehmensinfrastruktur zugreifen können – egal ob es sich um Mitarbeiter, Partner oder Auftragnehmer handelt. Die Standardmethode, um sie zu verbinden, sind oft virtuelle private Netzwerke (VPN). Dies kann jedoch ein Problem darstellen – und das bezieht sich nicht nur auf die schlechte Benutzererfahrung, die durch das „Network Hairpinning“ entsteht.
Einfache Authentifizierungsmethoden sind anfällig für Social Engineering
VPN stützt sich auf grundlegende Sicherheitskontrollen: Passwörter und MFA. Nur, weil jemand den richtigen Benutzernamen eingegeben hat und ein MFA-Token vorweisen kann, heißt das noch lange nicht, dass er legitim ist. Ohne zusätzliche Telemetrie, wie z. B. die Analyse des Benutzerverhaltens, haben Unternehmen keine Möglichkeit festzustellen, ob ein Konto kompromittiert wurde.
Da Angreifer nur den Anmeldevorgang überwinden müssen, um eine Infrastruktur zu kompromittieren, ist Social Engineering sehr effektiv geworden. Dies gilt insbesondere für die zunehmende Nutzung mobiler Geräte, für die es unzählige Kanäle gibt, über die Phishing-Angriffe zum Diebstahl von Zugangsdaten durchgeführt werden können, darunter SMS und iMessage, Messaging-Apps von Drittanbietern und soziale Plattformen wie Social Media und Dating-Apps.
Netzwerkweiter Zugriff macht „seitliche“ Bewegungen leicht
Ein weiteres Risiko, das von VPNs ausgeht, besteht darin, dass sie Nutzern mehr Zugang gewähren, als diese benötigen, was auch als Overprovisioning bezeichnet wird. Sobald sich jemand bei einem VPN-Profil anmeldet, hat er oft Zugriff auf eine Vielzahl von Systemen innerhalb dieses Netzwerks. Wenn das Profil kompromittiert wird, kann der Angreifer Erkundungsoperationen durchführen, um herauszufinden, welche anderen Möglichkeiten es gibt, und sich in einer so genannten „Land-and-Expand“-Operation seitwärts bewegen.
Es ist schwierig, auf jeden Sicherheitsvorfall eine Antwort zu finden, aber aus jedem Vorfall lässt sich lernen.
VPN-Zugang beschränken, insbesondere für Dritte
Die nahtlose Zusammenarbeit mit Dritten ist für jedes Unternehmen von entscheidender Bedeutung, aber dabei gilt es, die Sicherheit im Auge zu behalten. Um Sicherheitsvorfälle zu minimieren, sollten Unternehmen dafür sorgen, dass ihre Benutzer nur Zugriff auf das haben, was sie für ihre Arbeit benötigen, auch bekannt als „gerade genug Rechte“. Möglicherweise ist es sinnvoll, auch die Zeitspanne begrenzen, in der eine Person Zugriff auf die Daten hat, z. B. durch „Just-in-time“-Zugriff.
Um diesen Grad der Segmentierung zu erreichen, sollten Unternehmen über VPN und seine Alles-oder-Nichts-Zugangskontrollen hinausgehen. Dies schränkt nicht nur die Möglichkeiten eines Angreifers ein, sich seitlich zu bewegen, sondern verringert auch das Risiko von Phishing-Angriffen. Sinnvoll sind Technologien wie Zero Trust Network Access (ZTNA), die diese zusätzlichen Anforderungen erfüllen können.
Sich nicht nur auf Passwörter und MFA verlassen
Starke Passwörter und MFA sind solide Sicherheitsgrundlagen, aber sie allein reichen nicht aus. Angesichts der Vielzahl von Geräten, Netzwerken und Standorten, von denen aus sich Benutzer möglicherweise verbinden, ist es für herkömmliche Sicherheitstools unglaublich schwierig, zwischen legitimen Benutzern und Angreifern zu unterscheiden.
An dieser Stelle müssen zusätzliche Telemetriedaten berücksichtigt werden, z. B. das Benutzerverhalten oder die Risikostufe des verwendeten Geräts. Wenn sich ein Benutzer beispielsweise von einem ungewöhnlichen Standort aus auf einem Gerät anmeldet, das er normalerweise nicht verwendet, oder wenn er mehrmals versucht, sich von verschiedenen Netzwerken aus anzumelden, sollten diese Fälle gekennzeichnet werden. Sicherheitsverantwortliche müssen auch erkennen, wenn sich die Berechtigungen ändern, denn das ist eines der ersten Dinge, die ein Angreifer versuchen wird, um den Zugang zum Netzwerk auszuweiten.
Mitarbeiter vor Social Engineering schützen
Eine ganze Angriffskette kann oft nicht ohne einen ersten Ansatzpunkt ausgeführt werden, der am häufigsten mit einem kompromittierten Zugangscode erreicht wird. Vorbei sind die Zeiten der Brute-Force-Angriffe. Es ist viel einfacher, ein Phishing-Kit im Dark Web zu kaufen oder einen Proxy zu erstellen, der den anvisierten Benutzer zu einer gefälschten Version seiner Unternehmensanmeldung umleitet.
Da Angreifer immer besser darin werden, Social-Engineering-Betrügereien zu starten, müssen Unternehmen ihre Mitarbeiter auf allen Geräten schützen. Der erste Schritt besteht darin, sicherzustellen, dass die Benutzer richtig geschult sind, insbesondere im Hinblick auf moderne Phishing-Angriffe, die über mobile Kanäle erfolgen. Als Nächstes müssen Unternehmen in der Lage sein, Phishing-Angriffe und bösartigen Netzwerkverkehr über ihre mobilen Geräte, Laptops und Desktops zu blockieren. Wenn sie in der Lage sind, ein- und ausgehende Internetverbindungen zu erkennen, können sie verhindern, dass bösartige Websites zu ihren Benutzern gelangen und dass Daten nach außen dringen.
Sicherheitsprobleme lassen sich nicht isoliert lösen
Sicherheitsanbieter sind darauf konditioniert worden, verschiedene Sicherheitsaspekte als eigenständige Probleme zu betrachten. In Wirklichkeit kann ein Sicherheitsvorfall nur dann verhindert werden, wenn jeder der oben genannten Schritte im Einklang funktioniert.
So sollten Sicherheitsteams beispielsweise in der Lage sein, den Zugriff eines Benutzers von einem beliebigen Endpunkt aus einzuschränken oder zu sperren, wenn dieser gefährdet ist. Wenn ein Konto übernommen wird, sollten sie in der Lage sein, das Verhalten des Benutzers aktiv zu überwachen, damit sie den Zugriff schnell einschränken oder unterbinden können. Um diese konsistenten und dynamischen Richtlinien durchzusetzen, müssen Sicherheitsverantwortliche die Reaktionen auf der Grundlage der Telemetrie von Gerät, Benutzer, Anwendung und Daten automatisieren.
So wie keine Cloud-Anwendung auf einer Insel lebt, lassen sich auch keine Sicherheitsprobleme isoliert lösen. Um Risiken wirklich zu reduzieren und Daten zu schützen, benötigen Unternehmen eine einheitliche Plattform, die ihre Sicherheit ganzheitlich angeht.
Sascha Spangenberg ist Global MSSP Solutions Architect beim IT-Sicherheitsanbieter Lookout.
