Identitätsbasierte Angriffe werden immer beliebter – dies geht aus dem Threat Hunting Report 2023 von Crowdstrike hervor. Dieser Bericht zeigt weiterhin auf:
- 62 % der Cyberangriffe setzten auf die Kompromittierung von Identitäten, wie zum Beispiel dem Diebstahl von Benutzerkonten.
- 160% Anstieg beim Diebstahl von Anmeldeinformationen von Cloud-Instanzen über deren Metadaten-APIs (Schnittstellen), die unter anderem zur Verwaltung, Überwachung und für Analysen über die Cloud benötigt werden.
- 583 % Zunahme von Kerberoasting, eine Angriffstechnik, bei der Angreifer das weit verbreitete Kerberos-Protokoll zur Authentisierung missbrauchen, um sich gültige Anmeldedaten für Active Directory-Konten zu verschaffen und sich anschließend unerkannt frei durch die komplette Infrastruktur zu bewegen.
Warum haben diese Angriffe einen solchen Erfolg?
Das werden Sie sich sicher fragen, wo doch Virenschutz, Firewalls und weitere Sicherheitsmaßnahmen auf den Systemen und Endgeräten selbst standardmäßig überall implementiert sind.
Leider sind diese in vielen Fällen nicht ausreichend, unter anderem greifen sie nicht, wenn Benutzernamen und Passwort über Social Engineering-Angriffe abgegriffen werden oder durch die hohe Vernetzung der Systeme die APIs, also die Schnittstellen dazwischen, missbraucht werden.
Wie kann man sich schützen?
Sie benötigen eine gute Identitätssicherheitsstrategie, die alle Arten von Identitäten schützt, wie zum Beispiel Benutzer- und Systemkonten in allen lokalen, hybriden und Cloud-Umgebungen. Diese Strategie muss in der Lage sein, identitätsbasierte Angriffe zu erkennen, um die Sicherheitsmaßnahmen auf den Systemen und Endgeräten gut zu ergänzen.
Welche Maßnahmen beinhaltet eine Identitätssicherheitsstrategie?
Zunächst müssen alle privilegierten Service Accounts identifiziert werden: Auch wenn das Kerberoasting auf Konten aller Berechtigungsebenen erfolgt, so sind nach wie vor Konten mit administrativen Rechten das primäre Ziel für Angriffe, denn sie erlauben einen umfassenderen Zugriff auf Ihre Infrastruktur. Die Erfahrung zeigt, dass gerade alte und ungenutzte Konten gerne in Vergessenheit geraten.
Dann muss das bestehende Identity Access Management (IAM) weiter ausgebaut und ein Privileged Access Management (PAM) eingeführt und darin integriert werden. Das PAM dient dabei der Verwaltung von Anmeldedaten, Steuerung, Kontrolle und Überwachung privilegierter Aktivitäten und Benutzerzugriffe sowie der Überwachung und Analyse von Bedrohungen.
Durch das zielgerichtete Management privilegierter Konten sowie Überwachung und Auswertung der Anmeldedaten und Benutzerzugriffe wird die Lücke, die die Sicherheitsmaßnahmen auf Systemen und Endgeräten nicht abdecken können, weiter geschlossen.
Sprechen Sie uns an!
Wenn Sie Fragen haben oder Unterstützung zu IAM/PAM benötigen, um Ihr Unternehmen besser vor identitätsbasierten Angriffen zu schützen, unsere Experten beraten Sie gerne. Schreiben Sie uns: info@advisori.de.
