Vor nicht allzu langer Zeit, inmitten der Angriffe auf Microsoft Exchange Server, haben wir uns damit beschäftigt, warum Cloud-Apps sicherer sind als ihre On-Premises-Pendants. Das ist wichtig zu bedenken und ein erster Schritt zu mehr Sicherheit.
Der zweite liegt in dedizierter Sicherheit für Cloud-Infrastruktur und Apps.
Produktivitäts-Suites wie Microsoft 365 oder Google Workspace sind unverzichtbar, wenn wir remote annähernd so produktiv sein wollen wie sonst. Dieser Komfort hat allerdings seinen Preis. Denn er ist, wie wir alle wissen, nicht ohne Risiken zu haben. Eines davon sind sogenannte Account-Takeover-Angriffe (also Kontoübernahmen). Laut MSSP Alert waren über 70 Prozent der Microsoft 365-Implementierungen 2020 durchschnittlich von sieben Account-Takeover-Angriffen betroffen.
Das Problem ist dabei nicht allein die Kontoübernahme an sich, sondern vor allem die fehlende Transparenz. Jeder Mitarbeiter kann heute jedes beliebige Gerät und Netzwerk nutzen, um sich mit den Cloud Apps des Unternehmens zu verbinden. Dabei sollte man nicht vergessen, dass es sich um Netzwerke und Endpunkte handelt, die Sie als Unternehmen wahrscheinlich nicht verwalten. Wer Daten und Nutzer besser schützen will, der braucht zwangsläufig die Art von Transparenz und Kontrolle wie er sie früher innerhalb des Perimeters hatte.
Account-Takeover: Wie Angreifer Cloud-basierte Konten übernehmen
Bei solchen Kontoübernahmen stiehlt der Angreifer die Anmeldeinformationen eines Benutzers, um Zugriff auf die Daten und Berechtigungen zu bekommen, die mit diesem Konto verknüpft sind. Mittel der Wahl ist in der Regel eine Social-Engineering-Kampagne. Oft ist es so, dass der Angreifer zunächst Mitarbeiter der unteren Hierarchieebenen ins Visier nimmt. Hat er es in die Infrastruktur des Unternehmens geschafft, bewegt er sich dort in der typischen lateralen Bewegung weiter, erkundet die Umgebung und stiehlt letztendlich Daten.
Ein hochkarätiges Beispiel sind die Twitter Account Takeovers im August 2020. Mithilfe einer Spear-Phishing-Attacke via Handy bahnte sich ein Angreifer mit Social Engineering seinen Weg in das Backend von Twitter. Dort bewegte er sich lateral weiter und verschaffte sich Zugang zu 130 Twitter-Konten von Prominenten und hochrangigen Persönlichkeiten wie Barack Obama, Kanye West, Bill Gates und Elon Musk.
Der Verlauf des Angriffs war nur zu sichtbar, denn viele Inhaber kompromittierter Konten twitterten den betreffenden Bitcoin-Phishing-Scam. Solche Scams beschränken sich aber bei weitem nicht auf Promis, sondern können jedes Unternehmen treffen. Ohne kontinuierliche Transparenz über die laufenden Aktivitäten, findet man möglicherweise nie heraus, dass ein Konto übernommen wurde.
Cloud-Anwendungen schützen, aber wie?
1. Komplette Transparenz in Echtzeit. Wie wir aus den SolarWinds-Angriffen
2. Dynamische Zero Trust-Zugriffskontrolle. Transparenz ist der erste Schritt. Im zweiten Schritt sollte man für eine granulare und dynamische Vergabe von Zugriffsberechtigungen sorgen. Immer noch arbeiten große Teile der Belegschaft außerhalb des Perimeters. Im Sinne des Zero-Trust-Modells sind Endpunkte und Benutzer erst dann als vertrauenswürdig einzustufen, wenn ihr Risikolevel überprüft wurde.
Eine integrierte Endpoint-to-Cloud-Plattform verspricht hier Abhilfe. Die Endpunktsicherheit übernimmt die kontinuierliche Risikobewertung der Geräte, die von den Benutzern am häufigsten verwendet werden. Cloud-Sicherheit gibt Ihnen Einblick in das Verhalten der Benutzer. Wenn man beide Systeme integriert, schafft das die nötige Transparenz, um Mitarbeitern einen präzisen und nahtlosen Zugriff zu gewähren, ohne den Rest der Infrastruktur zu gefährden.
Wo anfangen?
Endpoint-to-Cloud-Transparenz und eine dynamische Zero-Trust-Zugriffskontrolle sind letztendlich das Ziel. Die Frage ist, kann man diese Ziele mit den aktuell genutzten Tools erreichen oder nicht. Sie nutzen vermutlich eine Cloud-Sicherheitslösung ebenso wie Sicherheitstools für On-Premises-Apps und solche für das Endpoint-Monitoring. Aber greifen diese Lösungen auch ineinander? Stand-alone-Tools erfüllen sicherlich in ihrem Einsatzgebiet die notwendigen Kriterien. Aber sie machen Cybersicherheit unnötig komplex und oft ineffizient. Zudem schleichen sich menschliche Fehler ein oder es werden Schwachstellen übersehen, weil ein Team mit unterschiedlichen Diensten jonglieren muss.
Mitarbeiter brauchen nahtlosen Zugriff auf die Daten und Anwendungen, mit denen sie täglich arbeiten. Wenn man diesen granularen Zugriff gewähren und gleichzeitig die übrigen Daten schützen will, kommt man um eine integrierte Endpoint-to-Cloud-
Chris Hazelton, Director Security Solutions, Lookout, https://www.lookout.com/