Thought Leadership
Seit Adversary-in-the-Middle (AiTM)-Phishing-Angriffe im vergangenen Jahr ins Radar von Security Operations Centers (SOCs) gerückt sind, haben sie sich schnell zu einer gefürchteten Angriffsform entwickelt. Mit klassischen Sicherheitstools können Unternehmen sich nicht ausreichend vor diesen Echtzeit-Attacken schützen.
Ontinue, Experte für Managed Extended Detection and Response (MXDR), gibt vier Tipps, mit denen SOCs ihren Schutzpanzer verstärken können.
Der Angriff beginnt wie viele klassische Phishing-Attacken. Mit gefakten E-Mails oder per Social Engineering locken Cyberkriminelle ihre Opfer auf täuschend echt aussehende Duplikate von Login-Seiten. Beim Anmeldeversuch werden die Daten durch die Sitzungscookies abgefangen und manipuliert. So können sich Angreifer trotz einer bestehenden Multi-Faktor-Authentifizierung (MFA) Zugriff auf das Nutzerkonto verschaffen. Das ist aus mehreren Gründen äußerst gefährlich. Erstens passiert der Angriff in Echtzeit, zweitens erhalten Kriminelle direkten Zugriff auf die sensibelsten Unternehmensdaten und drittens schädigen sie dauerhaft das Vertrauen der Nutzer in die IT-Infrastruktur. Grund genug, sich durch eine zielgerichtete Strategie wirksamer gegen diese Attacken zur Wehr zu setzen.
Biometrische Authentifizierung
Im Vergleich zum Einfach-Passwort bietet bereits eine MFA ein signifikant erhöhtes Sicherheitsniveau gegen Phishing-Versuche. Bei AiTM-Attacken kommt sie jedoch an ihre Grenzen. Um die Authentifizierungs- und Login-Systeme zu härten, sollten SOCs die Zahl der Sicherheitsschichten erweitern. Durch den Einsatz von Tools zur biometrischen Authentifizierung oder physischen Token entstehen weitere Barrieren, die Kriminellen den Zugriff deutlich erschweren und den Verteidigern Zeit verschaffen.
Login Detection Rules
Für eine erfolgreiche AiTM-Abwehr müssen Unregelmäßigkeiten im Login-Prozess möglichst in Echtzeit erkannt und an das SOC gemeldet werden. Durch die Integration von Login-spezifischen Detection Rules in den Security-Stack werden SOCs automatisch über Anomalien informiert – beispielsweise wenn neue Geräte verwendet werden oder Logins von ungewöhnlichen Standorten erfolgen.
Lückenloses Monitoring
An die deutschen Geschäftszeiten halten sich international agierende Banden nicht. Eine dauerhaftes Monitoring, das 24/7 die IT-Systeme überwacht und durch Playbooks dazu befähigt ist, Gegenreaktionen einzuleiten, ist für einen Schutz gegen Echtzeit-Attacken besonders wichtig. Damit lassen sich Zugriffe so frühzeitig eindämmen, dass der Schaden in vielen Fällen gering bleibt.
Kontinuierliche Mitarbeitersensibilisierung
Ein regelmäßiges Training der Mitarbeitenden ist auch für den Schutz gegen AiTM-Attacken essentiell. Das Risiko von erfolgreichen Attacken kann deutlich reduziert werden, wenn Mitarbeitende Phishing-Versuche als solche erkennen; beispielsweise weil ihnen Fehler oder Unregelmäßigkeiten auffallen und sie in der Folge die schadhaften Links gar nicht erst anklicken. Das Schulungsangebot muss dabei stets aktuell gehalten werden und sollte regelmäßig den Wissensstand aller Mitarbeitenden abprüfen.
„Jedes System ist nur so gut wie sein schwächstes Element – diese Weisheit gilt auch für den Schutz gegen AiTM-Attacken“, erklärt Jochen Koehler, VP EMEA Sales bei Ontinue. „Eine strategische Kombination von Technologien und Maßnahmen ermöglicht SOC-Teams ein proaktives Vorgehen gegen Angriffe. Dadurch können Unternehmen die Kontrolle über ihre Systeme zurückgewinnen und müssen Cyberkriminellen nicht mehr gefühlte zwei Schritte hinterherlaufen – ein entscheidender Faktor für ein resilientes Vorgehen in Krisensituationen.“
(pd/Ontinue)
