![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
In der Sicherheitsdebatte geht es h\u00e4ufig um den Hack von IT-Systemen, bei denen sich Angreifer \u00fcber Sicherheitsl\u00fccken in Konten einklinken. Cyber-Kriminelle nutzen inzwischen aber h\u00e4ufig schlicht Methoden, um sich an Benutzerkonten anmelden zu k\u00f6nnen. Im Blog-Beitrag geht es um die f\u00fcnf Best Practices zum Schutz gegen den Missbrauch von privilegierten Benutzerkonten durch Angreifer (Privileged Access Abuse). <\/p>\n
<\/p>\n
Der Text stammt von Martin Kulendik, Regional Sales Director DACH bei Centrify und ist mir bereits im November letzten Jahres zugegangen. Da das Thema zeitlos, aber recht interessant ist, stelle ich die Informationen hier einfach mal im Blog ein. Vielleicht helfen die Informationen dem einen oder anderen Administrator als Anregung zur Planung der Absicherung weiter.<\/p>\n
F\u00fcr Cyberkriminelle ist der Missbrauch kompromittierter Anmeldedaten heute eine der beliebtesten Angriffstechniken. Statt sich in Systeme einzuhacken, die durch hochentwickelte Sicherheitstechnologien gesch\u00fctzt werden, nehmen Kriminelle mit ausgefeilten Social-Engineering-Attacken Mitarbeiter als das schw\u00e4chste Glied in der Verteidigungskette ins Visier. Mit den erbeuteten Zugangsdaten loggen sie sich anschlie\u00dfend einfach ein. Dabei haben es Angreifer vor allem auf das Kapern von Konten mit umfangreichen Berechtigungen abgesehen. Diese liefern den goldenen Schl\u00fcssel zu Systemen und Netzwerkressourcen und bilden die perfekte Tarnung f\u00fcr Datenexfiltration oder Sabotage.<\/p>\n
![\"live.com](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2017\/05\/Live-Login-IE_thumb.jpg\" "\\"live.com")
<\/p>\n
Einmal eingedrungen, bewegen sich Angreifer lateral, um das Netzwerk zu scannen, erh\u00f6hen gegebenenfalls ihre Privilegien und extrahieren sensibelste Daten wie Bankkonteninformationen, Gesch\u00e4ftsgeheimnisse oder geistiges Eigentum. Zuletzt verwischen sie ihre Spuren, sodass einem Unternehmen unter Umst\u00e4nden nicht einmal bewusst ist, dass sich die Angreifer monatelang im System aufgehalten haben. Dar\u00fcber hinaus k\u00f6nnen Cyberkriminelle privilegierte Zugangsdaten nicht nur f\u00fcr eigene Attacken nutzen, sondern sie auch lukrativ durch Verkauf im Darknet zu Geld machen.<\/p>\n
Laut dem Analystenhaus Forrester spielen kompromittierte privilegierte Zugangsdaten bei 80 Prozent aller Sicherheitsvorf\u00e4lle eine Rolle (The Forrester Wave: Privileged Identity Management, Q4 2018). Um dieser wachsenden Bedrohung Herr zu werden, sollten Unternehmen deshalb ihre Sicherheitsbem\u00fchungen verst\u00e4rkt auf die eigentliche Ursache des Problems konzentrierten: eine fehlende Kontrolle \u00fcber ihre privilegierten Konten.<\/p>\n
Um Angreifern selbst im Fall eines Diebstahls privilegierter Log-in-Daten laterale Bewegung, Datendiebstahl und Sabotage unm\u00f6glich zu machen, ben\u00f6tigen Unternehmen einen mehrschichtigen Sicherheitsansatz aus Best Practices und Technologien. Die folgenden f\u00fcnf grundlegende Ma\u00dfnahmen helfen, den Missbrauch privilegierter Konten durch Cyberkriminelle zu minimieren:<\/p>\n
Cyberkriminelle nutzen oft ausgefeilte Social-Engineering-Taktiken, um beispielsweise durch umfangreich recherchierte Spear-Phishing-Attacken an sensible Zugangsdaten zu gelangen. Regelm\u00e4\u00dfige und umfassende Sicherheitsschulungen, inklusive einer dezidierten Aufkl\u00e4rung der Benutzer \u00fcber die Merkmale und Folgen von Phishing-Angriffen, sind deshalb ein wesentlicher erster Schritt, um das Risiko kompromittierter Anmeldedaten zu reduzieren.<\/p>\n
Dieser Schritt beginnt mit dem Erfassen und Registrieren aller Server, die ein Unternehmen in seiner Umgebung betreibt. Anschlie\u00dfend sollten alle von mehreren Usern verwendeten Konten, Alternate-Administrator-Konten sowie Dienst-Konten durch Passwort-Tresore gesch\u00fctzt sowie eine sichere Administrationsumgebung aufgebaut werden. Dar\u00fcber hinaus sollten Auditing und die \u00dcberwachung von Sessions privilegierter Nutzer implementiert werden.<\/p>\n
\nAnmerkung: Der Knackpunkt sind die Passwort-Tresore und deren Sicherheit. In der Vergangenheit gab es immer wieder F\u00e4lle, wo Passwort-Tresore von Betriebssystemen (macOS-Schl\u00fcsselbund, Passwort-Manager, siehe hier<\/a>) durch Sicherheitsl\u00fccken die gespeicherten Anmeldedaten preisgaben.<\/p>\n<\/blockquote>\n
3. Identit\u00e4tskonsolidierung und geringstm\u00f6gliche Zugriffsberechtigungen <\/strong><\/h3>\n
Zudem kann die Angriffsfl\u00e4che weiter reduziert werden, indem Identit\u00e4ten konsolidiert und lokale Konten so weit wie m\u00f6glich eliminiert werden. Weiterhin sollten Kontrollen f\u00fcr die Berechtigungserweiterung implementiert werden sowie ein Just-in-Time-Privilegien-Zugriff: Dabei werden erforderliche Privilegien nur f\u00fcr einen begrenzten Zeitraum und\/oder einen begrenzten Bereich vergeben.<\/p>\n
4. Multi-Faktor-Authentifizierung (MFA) f\u00fcr privilegierte Benutzer<\/h3>\n
Eine der einfachsten Methoden ist dar\u00fcber hinaus die Implementierung einer Multi-Faktor-Authentifizierung f\u00fcr alle privilegierten Benutzer. MFA ist eine der besten M\u00f6glichkeiten, um zu verhindern, dass unbefugte User auf sensible Daten zugreifen und sich lateral im Netzwerk bewegen k\u00f6nnen. Daher sollte eine MFA-Implementierung f\u00fcr alle Unternehmen Standard sein, insbesondere wenn es um den Schutz von Privilegien geht.<\/p>\n
5. H\u00e4rtung durch Air-Gaping und mit Hilfe von Machine Learning<\/h3>\n
Der letzte Schritt besteht darin, die Umgebung durch Air-Gaping, also einer logischen Isolation der Administrationskonten voneinander, zu h\u00e4rten. Dies schl\u00e4gt auch das Microsoft-Konzept der Enhanced Security Administration Environment (ESAE) vor. <\/p>\n
Um Angreifern keinerlei Umgehungsm\u00f6glichkeiten zu bieten, sollten zudem die \u00dcberwachung von Befehlen und die Verhaltensanalyse privilegierter Nutzer auf Basis von Machine Learning (User Behavior Analytics, UBA) eingesetzt werden. Diese L\u00f6sungen schlagen bei anormalen und verd\u00e4chtigen Aktivit\u00e4ten umgehend Alarm. <\/p>\n
F\u00fcr die sensibelsten Umgebungen kann dar\u00fcber hinaus noch eine Multi-Faktor-Authentifizierung der Sicherheitsstufe 3 hinzugef\u00fcgt werden.<\/p>\n
Privileged Access Management-L\u00f6sungen (PAM)<\/h2>\n
Sicherheitstechnologien wie Privileged Access Management-L\u00f6sungen (PAM) mit dezidiertem Zero Trust-Ansatz erm\u00f6glichen es hier, Nutzern nur den Zugriff mit den unbedingt erforderlichen Berechtigungen (\u201eLeast Privilege\") zu gew\u00e4hren. Dies geschieht, basierend auf der \u00dcberpr\u00fcfung, wer den Zugriff anfordert, dem Kontext der Anforderung und dem Risiko der Zugriffsumgebung. <\/p>\n
Da sich traditionelle Netzwerk-Perimeter zunehmend aufl\u00f6sen, bietet eine PAM-L\u00f6sung mit Least-Privilege- und Zero-Trust-Ansatz sowohl kleinen und mittleren Unternehmen als auch gro\u00dfen Organisationen mit komplexen, heterogenen und agilen Infrastrukturen mit DevOps, Cloud-Instanzen und Containers umfassenden Schutz ihrer privilegierter Konten.<\/p>\n
F\u00fcr Cyberkriminelle ist der Diebstahl privilegierter Anmeldedaten und deren Missbrauch f\u00fcr den Zugriff auf ein Netzwerk in der Regel einfacher, effizienter und weniger riskant als das Ausnutzen einer bestehenden Schwachstelle \u2013 selbst eines Zero-Day-Exploits. Deshalb ist f\u00fcr Unternehmen ein mehrschichtiger Sicherheitsansatz, bestehend aus Sicherheitstrainings und der umfassenden St\u00e4rkung ihrer Authentifizierungssysteme, eine wichtige Voraussetzung, um Cyberangriffe durch Privileged Access Abuse abzuwehren.<\/p>\n","protected":false},"excerpt":{"rendered":"
In der Sicherheitsdebatte geht es h\u00e4ufig um den Hack von IT-Systemen, bei denen sich Angreifer \u00fcber Sicherheitsl\u00fccken in Konten einklinken. Cyber-Kriminelle nutzen inzwischen aber h\u00e4ufig schlicht Methoden, um sich an Benutzerkonten anmelden zu k\u00f6nnen. Im Blog-Beitrag geht es um die … Weiterlesen