Vectra-Studie
Privilegierter Kontozugriff als Sicherheitsrisiko
Viele Unternehmen können laut einer neuen Studie von Vectra nicht sagen, ob privilegierte Konten und Dienste kompromittiert worden sind. Dabei ist die kontinuierliche Überwachung des Verhaltens von Benutzerkonten, nachdem ihnen der Zugang zu einem Netzwerk gewährt wurde, entscheidend.
Eine neue Studie von Vectra weist auf eine kritische Sicherheitslücke hin, die bisher wenig Beachtung fand: die Unfähigkeit von Unternehmen sagen zu können, ob privilegierte Konten und Dienste kompromittiert wurden. Die Studie basiert auf einer Analyse des aktiven und anhaltenden Angriffsverhaltens in mehr als fünf Millionen Workloads und Geräten aus Clouds, Rechenzentren und Unternehmensumgebungen.
Der potenziell böswillige privilegierte Zugriff von einem unbekannten Host aus war die am häufigsten identifizierte Anomalie, die 74 Prozent aller Erkennungen ausmachte. Finanz- und Versicherungsunternehmen, Gesundheits- und Bildungseinrichtungen wiesen die meisten Anomalien beim privilegierten Zugriff auf (215 Fälle bei 10.000 Hosts). Diese Zahl ist immer noch niedriger als in der ersten Hälfte des Jahres 2019 (282 Fälle pro 10.000 Hosts). Technologieunternehmen (138 Entdeckungen pro 10.000 Hosts) und Bildungseinrichtungen (102 Entdeckungen pro 10.000 Hosts) sind die Branchen, in denen Befehls- und Kontrolloperationen fast dreimal so häufig stattfinden wie in anderen Branchen. Kleine Unternehmen scheinen einem höheren Risiko ausgesetzt zu sein, wenn sich Cyberangreifer seitlich im Netzwerk bewegen (112 Vorfälle pro 10.000 Hosts), fast doppelt so viel wie in mittleren und großen Unternehmen.
Die Angreifer scheinen auf privilegierte Konten abzuzielen, um sich unbefugten Zugang zum ausländischen Netzwerk zu verschaffen und dann zu den wertvollsten Datensätzen überzugehen. Dies unterstreicht die Notwendigkeit, das Verhalten der Benutzerkonten kontinuierlich zu überwachen, sobald der Zugang zu einem Netzwerk gewährt wurde. Die Vectra-Studie betont die entscheidende Rolle des privilegierten Zugangs als kritischer Faktor für die seitliche Bewegung von Cyberangriffen. Angreifer nutzen privilegierte Konten, um unbefugten Zugang zu den wertvollsten Vermögenswerten zu erhalten, von denen eine Organisation abhängig ist.
Kontinuierliche Überwachung
Konventionelle Ansätze der Zugangsrestriktion, die auf vordefinierten Listen mit privilegierten Identitäten basieren, sind angesichts der Ergebnisse der Studie nicht angemessen. Die Studie verdeutlicht den Bedarf für eine kontinuierliche Überwachung von Benutzerkonten, Diensten und Hosts, sobald der Netzwerkzugang erfolgt ist und Netzwerkaktivitäten stattfinden. Dadurch haben Sicherheitsfachkräfte die richtigen Informationen zur Hand, um die Ausnutzung des auf Privilegien basierten Zugangs in Cloud- und hybriden Umgebungen zu unterbinden.
Der detaillierte Einblick in Aktivitäten rund um den privilegierten Zugang verdeutlicht, wie wichtig es ist, das Netzwerk generell auf alle Verhaltensweisen von Angreifern zu überwachen. Solide Informationen liefern Bedrohungsdatenquellen aus der Cloud kombiniert mit aktuellen Netzwerkdaten vor Ort. Dadurch steigt die Chance, bösartige Aktivitäten unmittelbar nach der Ausnutzung einer Schwachstelle zu erkennen und zu priorisieren, bevor ein gravierender Sicherheitsvorfall stattfindet.
Umfassende Beobachtung des privilegierten Zugriffs
Der Missbrauch des privilegierten Zugriffs war für Angreifer bislang oft erfolgreich, weil zu wenig Zeit für eine effektive Reaktion blieb. Musterbasierte Erkennungstechniken führten zu übermäßigen Warnungen, die nicht bearbeitet werden konnten. Die Sicherheitsoperationen müssen sich darauf konzentrieren, wie Benutzerkonten, Dienste und Hosts ihre Berechtigungen im gesamten Netzwerk nutzen. Dies bedeutet nicht nur die Überwachung der Hosts und des Netzwerks, sondern auch das Verständnis, wie der privilegierte Zugriff innerhalb einer Unternehmensumgebung zwischen lokalen Netzwerken, privaten Datenzentren und Cloud-Instanzen stattfindet. Der Einblick in den privilegierten Zugriff und andere Verhaltensweisen von Angreifern hängt von der Implementierung geeigneter Tools ab, die verschiedene Datenquellen nutzen. Bedrohungsdaten aus der Cloud werden kombiniert mit vor-Ort-Netzwerkdaten. Auf diese Weise lassen sich bösartige Aktivitäten erkennen, bevor die Cyberkriminellen größeren Schaden anrichten.
Lesen Sie mehr zum Thema
