Identitätsrisiken verstehen und beherrschen

Ein Artikel von Wade Lance, Field CTO bei Illusive Networks | 05.05.2022 - 06:30
GI_news__89084330_1146bde195.jpg

© Eisenhans - Fotolia

Der Missbrauch von Anmeldeinformationen ist eine der vorrangigen Ursachen für Datenschutzverletzungen. Advanced Persistent Threats (APTs) durch staatlich unterstützte Angreifer und finanziell motivierte kriminelle Ransomware-Banden mögen unterschiedliche Ziele verfolgen, aber sie haben eines gemeinsam: Sie nutzen Identitätsrisiken aus. Diese sind keine unbekannte Größe. Trotzdem hinken Unternehmen hinterher, wenn es um den richtigen Umgang mit ihnen geht. Und das, obwohl Analysten wie Gartner eindringlich warnen: Identitäts-zentrierte Sicherheitsmaßnahmen hätten inzwischen eine kritische Masse erreicht. 

Das Problem mit der Zufälligkeit

Einer der Gründe warum es so schwierig ist, Identitätsrisiken in den Griff zu bekommen, liegt darin, dass sie kontinuierlich und zufällig im täglichen IT-Betrieb entstehen. Sie sind quasi ein natürliches Nebenprodukt von Unternehmensprozessen.

Und, sie sind der häufigste Angriffsvektor. Aus einer aktuellen Studie geht hervor, dass 79 % der befragten Unternehmen bereits 2021 Opfer eines Identitätsdiebstahls geworden sind. Die mit Identitäten verbundenen Risiken sind allgegenwärtig. Nicht verwaltete, falsch konfigurierte und offengelegte Identitäten finden sich auf einem von sechs untersuchten Systemen und zwar auch dann, wenn das betreffende Unternehmen eine IAM (Identity and Access Management)-Lösung nutzt. Angreifer halten gezielt nach solchen anfälligen Systemen Ausschau, um im Unternehmensnetzwerk Fuß zu fassen und im nächsten Schritt Privilegien auszuweiten. Selbst große, global agierende Finanzdienstleister, Retailer oder Dienstleister im Gesundheitswesen, die über umfassende Cybersicherheits- und Risikomanagementprogramme sowie Tools verfügen, sind nach wie vor anfällig für Identitätsrisiken.

Das grundlegende Problem ist die mangelnde Transparenz. Trotz SOC- oder ISO-Zertifizierung sind Unternehmen nicht in der Lage, die dynamische Nutzung der Identitäten zu kontrollieren.

Für einen großen Finanzdienstleister ein sehr reales Problem. Hier hatte man große Bedenken hinsichtlich veralteter App-Service-Konten, die sich im Rahmen der bestehenden PAM-Lösung eines der marktführenden Unternehmen nicht  modernisieren ließen. Aufgrund der mangelnden Transparenz kam das Schwachstellen-Management zusehends an seine Grenzen. Solche Risiken automatisiert aufzudecken, zu priorisieren und zu beheben, sollte aber das Ziel sein. Laut Einschätzung des Kunden, „braucht es nur eine einzige solche Schwachstelle, um die gesamte Netzwerkumgebung in die Knie zu zwingen. Hunderttausende solcher Türen verriegeln zu können, das ist ein immenser Zugewinn an Sicherheit.“

Nicht verwaltete Identitätsrisiken

Lokale Administratoren, die im Identity Management-Systemen nicht auftauchen, veraltete lokale Administratoren-Passwörter (oder sogar solche, für die erst gar kein Passwort festgelegt wurde) und temporäre oder Test-Administratorenkonten - alles Beispiele für nicht verwaltete Identitätsrisiken. Jeder einzelne dieser Fälle ermöglicht es einem Angreifer, auf kritische Server zuzugreifen und sensible Systeme zu verändern - ohne einen Alarm auszulösen.

Schließlich handelt es sich bei dem Konto, mit dem sich der Angreifer durch das Netzwerk bewegt, um ein legitimes, vom Unternehmen ausgestelltes. Besonders besorgniserregend ist, dass laut einem kürzlich veröffentlichten Bericht (erstellt auf Grundlage von Tausenden von Assessments von Zehntausenden Systemen) 87 Prozent der lokalen Administratoren nicht in einer Privileged Account Management (PAM)-Lösung registriert sind. Und dies, obwohl sie Zugriff auf die wichtigsten Systeme und Prozesse haben. Dazu kommt, dass fast jeder fünfte lokale Administrator Passwörter verwendet, die älter als fünf Jahre sind.

Die elementaren Grundsätze der Cybersicherheitshygiene sehen vor, dass man Administrator-Passwörter alle 90 Tage ändern sollte. Nur, wenn ein Administratorkonto nicht in einer PAM-Lösung registriert ist, wissen IT- und Sicherheitsteams nicht, dass diese Konten überhaupt existieren, geschweige denn, dass ein Passwort geändert werden müsste. Potenzielle Angreifer wie APT38, eine Abteilung der nordkoreanischen Lazarus-Gruppe, wissen das und benutzen Brute-Force-Angriffe, um ihre Kampagnen zu starten.

Schatten-Admins sind leichte Beute für Angreifer, die solche Konten mit automatisierten Erkennungstools identifizieren und ausnutzen können. Administratorkonten sollten direkt in einer privilegierten Gruppe angelegt werden.

Wade Lance, Illusive

Identitätsrisiko Schatten-Admins

Ein zusätzliches Risiko liegt in den sogenannten Schatten-Administratoren. Vergleichbar der Schatten-IT, sind Schatten-Admins jene Identitäten, denen außerhalb der Sichtbarkeit der IT-Teams erweiterte Privilegien zugewiesen wurden. Meist, um bestimmte Prozesse zu beschleunigen. Ein typisches Beispiel sind Mitarbeiter am Helpdesk. Betraut mit der Aufgabe Passwörter zurückzusetzen, werden ihnen oftmals Privilegien für Objekte, Gruppen oder Benutzer zugewiesen – in manchen Fällen mit Zugriff auf den Domain Level. Dies kommt weit häufiger vor, als IT-Teams glauben möchten, und kann zu schwerwiegenden Datenschutzverletzungen führen. Sollte sich ein Angreifer Zugang zu solch einem Helpdesk-Konto verschaffen, kann er problemlos seine Privilegien ausweiten und selbst ein Domain-Admin werden.

In 40 Prozent der Fälle lassen sich diese Schatten-Admins in nur einem Schritt ausnutzen, d. h. ein Angreifer ist buchstäblich nur einen Passwort-Reset davon entfernt, selbst Domain Admin zu werden. In zehn Prozent der Fälle verfügen Schatten-Admins bereits über Administratorenrechte. Leichte Beute für Angreifer, die solche Konten mit automatisierten Erkennungstools identifizieren und ausnutzen können. Administratorkonten sollten direkt in einer privilegierten Gruppe angelegt werden. Allerdings fehlt IT-Teams meist die nötige Transparenz, sowohl was die Kenntnis der Benutzerrechte anbelangt als auch die tatsächlich damit verbundenen Aktivitäten. Dazu kommt, dass mit einem in die Jahre gekommenen Active Directory die Entropie zwangsläufig steigt, weil Mitarbeiter gerne den Weg des geringsten Widerstands gehen, um ihre täglichen Aufgaben zu erledigen.  

Exponierte Identitätsrisiken

Mitarbeiter speichern Anmeldeinformationen aus dem Cache, in der App, in den Passwortspeichern des Betriebssystems und in bereits getrennten oder „hängenden“ Remote Desktop Protocol (RDP) Sessions. Das macht Systeme anfällig für Angriffe. Dennoch sind solche Praktiken weit verbreitet und für IT-Teams kaum nachzuverfolgen. Exponierte Identitäten betreffen allerdings nicht nur durchschnittliche Benutzer – auch die Passwörter für privilegierte Konten sind bei 13 % aller Systeme exponiert. Von diesen Zugangsdaten geht zum einen ein Risiko für potenzielle Ransomware-Angriffe aus. Zum anderen werden solche Daten aber auch gewinnbringend verkauft: RDP- und VPN-Anmeldeinformationen sind die gängigsten und wertvollsten Zugriffslisten, die in Darknet- und Ransomware-Foren angeboten werden.

Das Problem exponierter Anmeldeinformationen ist weit verbreitet, lässt sich aber leicht beheben. Man muss die Anmeldeinformationen lediglich vom System entfernen. Die Schwierigkeit liegt immer in der Transparenz: Unternehmen ist nicht ausreichend bewusst, dass Anmeldeinformationen unsachgemäß gespeichert wurden, weshalb sie nicht die nötigen Schritte ergreifen können, um die Systeme zu bereinigen.

Die Antwort: Risiken automatisiert und kontinuierlich erkennen und beseitigen

Wade Lance.png

Autor: Wade Lance, Field CTO bei Illusive Networks.

Es ist eines der gängigsten Sicherheitsmantras, dass Unternehmen "nicht wissen, was sie nicht wissen". Das gilt besonders, wenn es um Identitätsrisiken geht. Nicht verwaltete, falsch konfigurierte und exponierte Identitäten überschneiden und vermischen sich häufig. Dabei werden falsch konfigurierte Admin-Anmeldeinformationen exponiert und bleiben aktiv ausnutzbar.

Die Herausforderung für Sicherheitsteams besteht genau in dieser fehlenden Transparenz über das bestehende Identitätsrisiko. Jährliche Audits und Red-Team-Übungen sind bis zu einem gewissen Grad hilfreich, aber sie decken die sich dynamisch verändernde Angriffsfläche von heute nicht ab. Beim Management von Identitätsrisiken sollte man deshalb denselben Ansatz wählen wie er inzwischen beim Schwachstellen-Management üblich ist - nämlich die kontinuierliche Überprüfung der gesamten Oberfläche. Ähnlich wie beim Schwachstellenmanagement laufen die Scans automatisch und geben Warnungen aus, sobald ein Problem gefunden wurde. Sicherheitsteams sind auf die Automatisierung angewiesen, wenn sie Identitätsrisiken und damit den Angriffsvektor Nummer eins im Blick behalten wollen.