Suche

Sprache

Cisco Breach: Eine schmerzliche Erinnerung an den toten Winkel der seitlichen Bewegung

August 17th, 2022

Startseite » Blog » Cisco Breach: Eine schmerzliche Erinnerung an den toten Winkel der seitlichen Bewegung

Niemand ist vor Sicherheitsverletzungen gefeit, wie letzte Woche gezeigt wurde, als der Netzwerkgigant Cisco eine Verletzung seiner internen Umgebung meldete. Obwohl Berichten zufolge kein nennenswerter Schaden angerichtet wurde, bietet dieser Verstoß eine Gelegenheit, über die kritischen Lücken in der heutigen Landschaft des Identitätsschutzes in den wichtigsten Phasen eines Angriffsverlaufs nachzudenken: dem ersten Zugriff und den nachfolgenden seitliche Bewegung.

Die auffälligste Lücke ist das Fehlen von Echtzeit MFA-Schutz innerhalb einer internen Umgebung. Dies bedeutet, dass Angreifer, sobald sie sich zum ersten Mal Zugriff auf eine Maschine verschafft und die Anmeldeinformationen des Benutzers erfolgreich kompromittiert haben, ungehindert seitliche Bewegungen ausführen können. Silverfort Behebt diese Lücken mit seiner Unified Identity Protection-Plattform, die erweitert werden kann MFA Schutz für jeden Benutzer, jedes System oder jede Umgebung – auch für diejenigen, die diesen Schutz noch nie zuvor hatten.

Die folgende Zusammenfassung basiert auf Auszügen aus der vom Cisco Talos Threat Intelligence-Team veröffentlichten Angriffsanalyse und konzentriert sich auf die Phasen, die den Angriff veranschaulichen Identitätsschutz Lücken und entsprechende Sicherheitsmaßnahmen Silverfort bietet.

Inhaltsverzeichnis

  • Stufe 1: Erster Zugriff
  • Stufe 2: Seitliche Bewegung
  • Stufe 1A: Erster Zugriff erneut besucht
  • Fazit: Die Lücke schließen

    • Stufe 1: Erster Zugriff

    • Der AngriffBeschäftigung MFA-Müdigkeit um Benutzer dazu zu verleiten, böswilligen Zugriff zuzulassen
      „Nachdem der Angreifer die Anmeldeinformationen des Benutzers erhalten hatte, versuchte er, MFA mit einer Vielzahl von Techniken, einschließlich MFA, zu umgehen Müdigkeit, der Prozess des Sendens einer großen Menge von Push-Anfragen an das mobile Gerät des Ziels, bis der Benutzer akzeptiert, entweder versehentlich oder einfach um zu versuchen, die wiederholten Push-Benachrichtigungen, die er erhält, stumm zu schalten.“
    • Die Lücke: Statische MFA, die nicht dynamisch auf gezielte Aktivitäten reagiert
      In der heutigen Welt müssen Sicherheitsmaßnahmen intelligent sein, was bedeutet, dass sie in der Lage sind, die Bedeutung von Ereignismustern abzuleiten, sie an andere Sicherheitsprodukte zu kommunizieren und entsprechend zu reagieren. MFA-Push-Benachrichtigungen, die mehrmals wiederholt angefordert und in allen Fällen abgelehnt werden, sind ein klarer Hinweis darauf, dass verdächtige Aktivitäten stattfinden. Aufgrund der hohen Effektivität von MFA bei der Verhinderung von Angriffen, bei denen kompromittierte Anmeldeinformationen verwendet werden, um auf gezielte Anmeldeinformationen zuzugreifen, wird nur erwartet, dass Angreifer mit Umgehungstechniken reagieren, was einen Schutz vor ihnen erforderlich macht.
    • Silverfort SchutzAutomatisiert MFA-Müdigkeit Milderung
      Silverfort bietet dedizierten Schutz vor MFA-Müdigkeit, indem Benutzer-Push-Benachrichtigungen danach unterdrückt werden fünf aufeinanderfolgende verweigerte Zugriffsversuche. Darüber hinaus wird die Risikobewertung des Benutzers sofort erhöht, um das Sicherheitsteam darauf aufmerksam zu machen, dass der Benutzer angegriffen wurde, damit es entsprechend handeln kann.

    Stufe 2: Seitliche Bewegung

    • Der AngriffZugriff auf eine Vielzahl von Systemen mit einem kompromittierten Konto
      „Nachdem der Zugriff auf das VPN hergestellt wurde, begann der Angreifer, sich mit dem kompromittierten Benutzerkonto bei einer großen Anzahl von Systemen anzumelden, bevor er begann, weiter in die Umgebung einzudringen. Sie wechselten in die Citrix-Umgebung, gefährdeten eine Reihe von Citrix-Servern und erhielten schließlich privilegierten Zugriff auf Domänencontroller.“
    • Die LückeFehlende MFA für den Befehlszeilenzugriff auf Systeme
      Befehlszeilenzugriffstools – wie z PsExec (wird bei diesem Angriff verwendet), PowerShell und WMI – sind die wichtigsten Dienstprogramme, die Administratoren verwenden, um auf Remote-Maschinen zuzugreifen, sie zu konfigurieren und Fehler zu beheben. Sie sind auch das Werkzeug der Wahl für Angreifer, um sich seitlich innerhalb einer Umgebung zu bewegen. Und es gibt aufgrund der verwendeten Authentifizierungsprotokolle keine Lösung, die den MFA-Schutz auf diesen Schnittstellen durchsetzen kann. Das bedeutet, dass es keine Möglichkeit gibt, einen Angreifer, der Benutzeranmeldeinformationen kompromittiert hat, in Echtzeit zu blockieren. Dies ist die kritischste Lücke im heutigen Sicherheits-Stack und der Hauptgrund dafür, dass Lateral-Movement-Angriffe immer noch häufig vorkommen: Denn die verwendete Technologie musste sich nicht weiterentwickeln.
    • Silverfort SchutzMFA-Schutz für alle Ressourcen in der Umgebung
      Dieser MFA-Schutz gilt unabhängig von der Zugriffsmethode – RDP, PsExec, PowerShell, WMI usw. – und hindert Angreifer daran, irgendeinen Wert aus den kompromittierten Anmeldeinformationen zu ziehen. Immer wenn ein Angreifer versucht, sich böswillig anzumelden, Silverfort sendet eine MFA-Benachrichtigung an den tatsächlichen Benutzer, damit dieser den Zugriff direkt verweigern kann. Und dies ist der erste Echtzeitschutz, der in die interne Umgebung eingeführt wird.

    Stufe 1A: Erster Zugriff erneut besucht

    • Der AngriffVoice-Phishing verleitet Mitarbeiter dazu, MFA-Genehmigungen zu erteilen
      „Der Angreifer führte eine Reihe ausgeklügelter Voice-Phishing-Angriffe unter dem Deckmantel verschiedener vertrauenswürdiger Organisationen durch, die versuchten, das Opfer davon zu überzeugen, vom Angreifer initiierte MFA-Push-Benachrichtigungen zu akzeptieren. Dem Angreifer gelang es schließlich, eine MFA-Push-Akzeptanz zu erreichen und ihm im Kontext des Zielbenutzers Zugriff auf VPN zu gewähren.“
    • Die LückeMFA Single Point of Failure
      Der Mensch ist das schwächste Glied jeder Sicherheitskette. Daher sollten Sicherheitsteams davon ausgehen, dass es einem entschlossenen Angreifer letztendlich gelingt, einen Benutzer zu unsicherem Verhalten zu verleiten. Genau aus diesem Grund muss der Schutz mehrschichtig sein: Denn beim Cisco-Angriff mussten die Angreifer nach der Gefährdung des VPN-Zugangs nie wieder mit dem Benutzer interagieren. Stattdessen unter dem Deckmantel der Kompromittierten Benutzerkontenkonnten sie theoretisch auf jede gewünschte Ressource zugreifen.
    • Silverfort SchutzMehrschichtiger MFA-Schutz für alle Ressourcen
      Silverfort kann MFA auf jeder Ressource erzwingen, einschließlich der Citrix Server und Domänencontroller, die Ziel dieser Verletzung waren. Das bedeutet, dass selbst wenn das Voice-Phishing der Angreifer erfolgreich war, sie diese Aktion jedes Mal wiederholen müssten, wenn sie auf eine neue Ressource zugreifen wollten – was letztendlich den Verdacht selbst des vertrauensvollsten Benutzers weckt.

    Fazit: Die Lücke schließen

    Silverfort Einheitlicher Identitätsschutz Die Plattform schließt eine seit langem bestehende Lücke, auf die Bedrohungsakteure seit über einem Jahrzehnt erfolgreich abzielen – und zuletzt im Fall des Cisco-Verstoßes. Das Fazit ist, dass die Möglichkeit besteht, in Echtzeit und mit mehreren Ebenen arbeiten zu können Schutz vor seitlicher Bewegung ist eine Schlüsselkomponente jeder Sicherheitsarchitektur.

    Erfahren Sie mehr darüber Silverfort's Seitenbewegungsschutz hier.

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    May 6th, 2024

    Verwendung von MITM zur Umgehung des FIDO2-Phishing-Schutzes

    2. Mai 2024

    Silverfort stellt Forschungsergebnisse auf der RSA 2024 vor: Verwendung von MITM zur Umgehung moderner Authentifizierungsmethoden für SSO

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt