{"id":289602,"date":"2023-12-28T00:01:00","date_gmt":"2023-12-27T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289602"},"modified":"2023-12-23T10:32:58","modified_gmt":"2023-12-23T09:32:58","slug":"social-engineering-und-vpn-zugang","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/28\/social-engineering-und-vpn-zugang\/","title":{"rendered":"Social Engineering und VPN-Zugang"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Hier im Blog berichte ich ja h\u00e4ufig \u00fcber Cyberangriffe auf Unternehmen. Generell scheinen sich die Schlagzeilen \u00fcber Sicherheitsvorf\u00e4lle in gro\u00dfen Unternehmen zu h\u00e4ufen. Wenn Unternehmen Details \u00fcber den Vorfall bekannt geben, kann die Sicherheits-Community zum Gl\u00fcck etwas \u00fcber die bei dem Angriff angewandten Taktiken lernen und ist so in der Lage, ihre eigenen Unternehmen in Zukunft besser zu sch\u00fctzen. Allerdings bleibt vieles unter dem Tisch und der \u00d6ffentlichkeit wird nicht mitgeteilt, wie der Angriff erfolgen konnte.<\/p>\n

<\/p>\n

Sicherheitsanbieter Lookout hat mir k\u00fcrzlich eine Analyse, die sich mit der Entstehung und Ausnutzung einer modernen Sicherheitsl\u00fccke befasst, zukommen lassen: Es dreht sich um das Thema, dass Angreifer h\u00e4ufig per VPN-Zugang, dessen Zugangsdaten per Social Engineering erbeutet wurden, in die Unternehmen eindringen k\u00f6nnen.<\/p>\n

Der LAPSUS$-Uber-Hack<\/h2>\n

Ein Beispiel ist Uber. Im Jahr 2022 erfuhr das Fahrdienstunternehmen von einer erfolgreichen Dateninfiltration und schrieb den Angriff der ber\u00fcchtigten Lapsus$-Gruppe zu. Nachrichtenberichten und Ubers eigenem Blog zufolge wurden die Zugangsdaten eines Drittanbieters entweder durch Social Engineering (laut Lapsus$) oder durch den Kauf der Zugangsdaten im Dark Web (laut Uber) kompromittiert. In jedem Fall bombardierte ein Angreifer einen Benutzer mit Anfragen zur Multi-Faktor-Authentifizierung (MFA) und konnte ihn unter dem Vorwand, ein IT-Mitarbeiter von Uber zu sein, davon \u00fcberzeugen, den Login zu akzeptieren. Sobald der Angreifer eingeloggt war, bewegte er sich seitlich und fand privilegierte Zugangsdaten, die in einem Automatisierungsskript hartkodiert waren. Von dort aus verschaffte er sich zus\u00e4tzlichen Zugang zu einer Vielzahl von Cloud-Anwendungen und Daten im Netzwerk des Unternehmens.<\/p>\n

Uber ist nur ein Beispiel, die Bedrohungslandschaft entwickelt sich st\u00e4ndig weiter. Dieser Angriff veranschaulicht die Taktiken, die nach wie vor wirksam sind, was IT-Abteilungen und Sicherheitsteams auf der ganzen Welt hilft, besser zu verstehen, welche proaktiven Schritte sie durchf\u00fchren k\u00f6nnen, um nicht die n\u00e4chsten zu sein.<\/p>\n

Erkenntnisse von Lookout<\/h2>\n

Sascha Spangenberg, Global MSSP Solutions Architect beim IT-Sicherheitsanbieter Lookout, beschreibt die Entstehung und die Ausnutzung einer modernen Sicherheitsl\u00fccke: Heutzutage muss eine Vielzahl von Benutzern \u00fcberall auf die Unternehmensinfrastruktur zugreifen k\u00f6nnen \u2013 egal ob es sich um Mitarbeiter, Partner oder Auftragnehmer handelt.\u00a0 Die Standardmethode, um sie zu verbinden, sind oft virtuelle private Netzwerke (VPN). Dies kann jedoch ein Problem darstellen \u2013 und das bezieht sich nicht nur auf die schlechte Benutzererfahrung, die durch das Network Hairpinning entsteht.<\/em><\/p>\n

Einfache Authentifizierungsmethoden sind anf\u00e4llig f\u00fcr Social Engineering<\/h3>\n

VPN st\u00fctzt sich auf grundlegende Sicherheitskontrollen: Passw\u00f6rter und MFA. Nur, weil jemand den richtigen Benutzernamen eingegeben hat und ein MFA-Token vorweisen kann, hei\u00dft das noch lange nicht, dass er legitim ist. Ohne zus\u00e4tzliche Telemetrie, wie z. B. die Analyse des Benutzerverhaltens, haben Unternehmen keine M\u00f6glichkeit festzustellen, ob ein Konto kompromittiert wurde.<\/p>\n

Da Angreifer nur den Anmeldevorgang \u00fcberwinden m\u00fcssen, um eine Infrastruktur zu kompromittieren, ist Social Engineering sehr effektiv geworden. Dies gilt insbesondere f\u00fcr die zunehmende Nutzung mobiler Ger\u00e4te, f\u00fcr die es unz\u00e4hlige Kan\u00e4le gibt, \u00fcber die Phishing-Angriffe zum Diebstahl von Zugangsdaten durchgef\u00fchrt werden k\u00f6nnen, darunter SMS und iMessage, Messaging-Apps von Drittanbietern und soziale Plattformen wie Social Media und Dating-Apps.<\/p>\n

Netzwerkweiter Zugriff macht laterale Bewegungen leicht<\/h3>\n

Ein weiteres Risiko, das von VPNs ausgeht, besteht darin, dass sie Nutzern mehr Zugang gew\u00e4hren, als diese ben\u00f6tigen, was auch als Overprovisioning bezeichnet wird. Sobald sich jemand bei einem VPN-Profil anmeldet, hat er oft Zugriff auf eine Vielzahl von Systemen innerhalb dieses Netzwerks. Wenn das Profil kompromittiert wird, kann der Angreifer Erkundungsoperationen durchf\u00fchren, um herauszufinden, welche anderen M\u00f6glichkeiten es gibt, und sich in einer so genannten \"Land-and-Expand\"-Operation seitw\u00e4rts im Netzwerk bewegen.<\/p>\n

Wie sich Unternehmen sch\u00fctzen k\u00f6nnen \u2013 drei wichtige Ma\u00dfnahmen<\/h3>\n

Es ist schwierig, auf jeden Sicherheitsvorfall eine Antwort zu finden, aber aus jedem Vorfall l\u00e4sst sich lernen.<\/p>\n

1. VPN-Zugang beschr\u00e4nken, insbesondere f\u00fcr Dritte<\/strong><\/p>\n

Die nahtlose Zusammenarbeit mit Dritten ist f\u00fcr jedes Unternehmen von entscheidender Bedeutung, aber dabei gilt es, die Sicherheit im Auge zu behalten. Um Sicherheitsvorf\u00e4lle zu minimieren, sollten Unternehmen daf\u00fcr sorgen, dass ihre Benutzer nur Zugriff auf das haben, was sie f\u00fcr ihre Arbeit ben\u00f6tigen, auch bekannt als \u201egerade genug Rechte\". M\u00f6glicherweise ist es sinnvoll, auch die Zeitspanne begrenzen, in der eine Person Zugriff auf die Daten hat, z. B. durch \u201eJust-in-time\"-Zugriff.<\/p>\n

Um diesen Grad der Segmentierung zu erreichen, sollten Unternehmen \u00fcber VPN und seine Alles-oder-Nichts-Zugangskontrollen hinausgehen. Dies schr\u00e4nkt nicht nur die M\u00f6glichkeiten eines Angreifers ein, sich seitlich zu bewegen, sondern verringert auch das Risiko von Phishing-Angriffen. Sinnvoll sind Technologien wie Zero Trust Network Access (ZTNA), die diese zus\u00e4tzlichen Anforderungen erf\u00fcllen k\u00f6nnen.<\/p>\n

2. Sich nicht nur auf Passw\u00f6rter und MFA verlassen<\/strong><\/p>\n

Starke Passw\u00f6rter und MFA sind solide Sicherheitsgrundlagen, aber sie allein reichen nicht aus. Angesichts der Vielzahl von Ger\u00e4ten, Netzwerken und Standorten, von denen aus sich Benutzer m\u00f6glicherweise verbinden, ist es f\u00fcr herk\u00f6mmliche Sicherheitstools unglaublich schwierig, zwischen legitimen Benutzern und Angreifern zu unterscheiden.<\/p>\n

An dieser Stelle m\u00fcssen zus\u00e4tzliche Telemetriedaten ber\u00fccksichtigt werden, z. B. das Benutzerverhalten oder die Risikostufe des verwendeten Ger\u00e4ts. Wenn sich ein Benutzer beispielsweise von einem ungew\u00f6hnlichen Standort aus auf einem Ger\u00e4t anmeldet, das er normalerweise nicht verwendet, oder wenn er mehrmals versucht, sich von verschiedenen Netzwerken aus anzumelden, sollten diese F\u00e4lle gekennzeichnet werden. Sicherheitsverantwortliche m\u00fcssen auch erkennen, wenn sich die Berechtigungen \u00e4ndern, denn das ist eines der ersten Dinge, die ein Angreifer versuchen wird, um den Zugang zum Netzwerk auszuweiten.<\/p>\n

3. Mitarbeiter vor Social Engineering sch\u00fctzen<\/strong><\/p>\n

Eine ganze Angriffskette kann oft nicht ohne einen ersten Ansatzpunkt ausgef\u00fchrt werden, der am h\u00e4ufigsten mit einem kompromittierten Zugangscode erreicht wird. Vorbei sind die Zeiten der Brute-Force-Angriffe. Es ist viel einfacher, ein Phishing-Kit im Dark Web zu kaufen oder einen Proxy zu erstellen, der den anvisierten Benutzer zu einer gef\u00e4lschten Version seiner Unternehmensanmeldung umleitet.<\/p>\n

Da Angreifer immer besser darin werden, Social-Engineering-Betr\u00fcgereien zu starten, m\u00fcssen Unternehmen ihre Mitarbeiter auf allen Ger\u00e4ten sch\u00fctzen. Der erste Schritt besteht darin, sicherzustellen, dass die Benutzer richtig geschult sind, insbesondere im Hinblick auf moderne Phishing-Angriffe, die \u00fcber mobile Kan\u00e4le erfolgen. Als N\u00e4chstes m\u00fcssen Unternehmen in der Lage sein, Phishing-Angriffe und b\u00f6sartigen Netzwerkverkehr \u00fcber ihre mobilen Ger\u00e4te, Laptops und Desktops zu blockieren. Wenn sie in der Lage sind, ein- und ausgehende Internetverbindungen zu erkennen, k\u00f6nnen sie verhindern, dass b\u00f6sartige Websites zu ihren Benutzern gelangen und dass Daten nach au\u00dfen dringen.<\/p>\n

Sicherheitsprobleme lassen sich nicht isoliert l\u00f6sen<\/h3>\n

Sicherheitsanbieter sind darauf konditioniert worden, verschiedene Sicherheitsaspekte als eigenst\u00e4ndige Probleme zu betrachten. In Wirklichkeit kann ein Sicherheitsvorfall nur dann verhindert werden, wenn jeder der oben genannten Schritte im Einklang funktioniert.<\/p>\n

So sollten Sicherheitsteams beispielsweise in der Lage sein, den Zugriff eines Benutzers von einem beliebigen Endpunkt aus einzuschr\u00e4nken oder zu sperren, wenn dieser gef\u00e4hrdet ist. Wenn ein Konto \u00fcbernommen wird, sollten sie in der Lage sein, das Verhalten des Benutzers aktiv zu \u00fcberwachen, damit sie den Zugriff schnell einschr\u00e4nken oder unterbinden k\u00f6nnen. Um diese konsistenten und dynamischen Richtlinien durchzusetzen, m\u00fcssen Sicherheitsverantwortliche die Reaktionen auf der Grundlage der Telemetrie von Ger\u00e4t, Benutzer, Anwendung und Daten automatisieren.<\/p>\n

So wie keine Cloud-Anwendung auf einer Insel lebt, lassen sich auch keine Sicherheitsprobleme isoliert l\u00f6sen. Um Risiken wirklich zu reduzieren und Daten zu sch\u00fctzen, ben\u00f6tigen Unternehmen eine einheitliche Plattform, die ihre Sicherheit ganzheitlich angeht.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Hier im Blog berichte ich ja h\u00e4ufig \u00fcber Cyberangriffe auf Unternehmen. Generell scheinen sich die Schlagzeilen \u00fcber Sicherheitsvorf\u00e4lle in gro\u00dfen Unternehmen zu h\u00e4ufen. Wenn Unternehmen Details \u00fcber den Vorfall bekannt geben, kann die Sicherheits-Community zum Gl\u00fcck etwas \u00fcber die bei … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-289602","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=289602"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289602\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=289602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=289602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=289602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}