In den letzten Wochen waren mehrere große britische Einzelhandelsmarken, darunter M&S, Harrods und die Co-operative Group, Opfer schwerer Cyberangriffe, die den Geschäftsbetrieb beeinträchtigten. Diese Vorfälle sollen von der DragonForce-Ransomware-Gruppe.
Als ehemaliger Leiter von IAM Bei einem großen Einzelhändler war ich an der Reaktion auf Identitätsangriffe beteiligt und habe tiefes Mitgefühl für die Teams, die unermüdlich an der Reaktion und Wiederherstellung arbeiten. Während das volle Ausmaß dieser Sicherheitsverletzungen noch immer ans Licht kommt, deuten erste Anzeichen auf einen Akteur hin, der Identitäten in den Vordergrund stellt. DragonForce ist dafür bekannt, Identitätsschwächen auszunutzen und sich dann lateral durch kompromittierte ZugangsdatenIhre Methodik unterstreicht, was wir seit Jahren sagen: Identität ist das neue Schlachtfeld. Diese Angreifer zielen darauf ab, wer Sie sind, und nicht darauf, was Sie haben.
Auch wenn man nicht alles an einem Tag beheben kann, habe ich meiner Erfahrung nach einige Schritte skizziert, die Identitäts- und Sicherheitsteams jetzt unternehmen können, um ihrem Ziel näher zu kommen.
Den Angreifer verstehen: Ein identitätsorientierter Ansatz
Wer sind diese Angreifer und wie gehen sie vor? DragonForce verwendet ähnliche TTPs wie Scattered Spider und ist dafür bekannt, Phishing-E-Mails zu verwenden, bekannte Schwachstellen auszunutzen und gestohlene Anmeldeinformationen zu nutzen, um sich ersten Zugriff auf die Netzwerke der Opfer zu verschaffen.
Ihr Spielplan beginnt mit dem verwundbarsten Glied in jeder Sicherheitskette: dem Menschen. Sie sind Meister des Social Engineering, entwickeln überzeugende Phishing-Kampagnen, führen SIM-Swaps durch, um Telefonnummern zu kapern, und starten „MFA-MüdigkeitBei diesen Angriffen bombardieren sie Benutzer mit Authentifizierungsanfragen, bis jemand nachgibt und eine davon bestätigt. Besonders gerne zielen sie auf Helpdesk-Mitarbeiter ab, um diese zum Zurücksetzen ihrer Passwörter zu manipulieren und ihnen so den entscheidenden ersten Anlauf zu ermöglichen.
Sobald sie sich im Netzwerk befinden, gehen sie methodisch vor. Sie suchen nach Konten, die nur durch Benutzernamen und Passwörter geschützt sind, und nutzen diese, um sich durch Netzwerke zu bewegen. Service-Konten – nicht-menschliche Identitäten, die Systeme am Laufen halten, aber oft unter dem Radar bleiben – sind oft das Ziel, da sie privilegierten Zugriff mit minimaler Überwachung bieten. Von da an geht es darum, ihre Privilegien zu erweitern und sich so zu positionieren, dass sie Ransomware- Dort, wo es am meisten wehtut. Was diesen Ansatz im Einzelhandel so verheerend macht, ist nicht nur seine Raffinesse; es ist die Tatsache, dass er blinde Flecken ausnutzt, die im Einzelhandelsumfeld besonders häufig vorkommen.
Die komplexe Identitätslandschaft des Einzelhandels
Wenn Sie im Einzelhandelssicherheitsbereich arbeiten, stehen Sie bereits vor einzigartigen Herausforderungen, die Identitätsschutz besonders schwierig.
Sie verwalten Dutzende, Hunderte oder Tausende von Standorten – und Online-Unternehmen –, die alle trotz unterschiedlicher lokaler Bedingungen und betrieblicher Einschränkungen einheitliche Sicherheitskontrollen benötigen.
Ihre Infrastruktur ist ein komplexer Hybrid aus lokalen Systemen und neueren Cloud-Umgebungen, die alle geschützt werden müssen. Ihre kritischen Systeme sind möglicherweise schon seit vielen Jahren im Einsatz und wurden vor der Einführung moderner Identitätssicherheit wurde sogar in Betracht gezogen.
Ihr Betrieb ist wahrscheinlich auf unzählige Drittanbieter und Dienstleister angewiesen, die jeweils spezifischen Zugriff auf Ihre Systeme benötigen. Gleichzeitig ermöglichen Sie Ihren Mitarbeitern im Außendienst, Unternehmenskonten für mehr Effizienz und Sicherheit zu nutzen. Dadurch erhöhen Sie jedoch unbeabsichtigt Ihre Identitätsangriff Die Identitätsverwaltung wird dabei mehrfach angezeigt. Gleichzeitig müssen Sie mit einer Belegschaft umgehen, die aufgrund saisonaler Anforderungen schnell wächst, sodass die Identitätsverwaltung ein sich ständig veränderndes Ziel darstellt.
Diese Realitäten bedeuten eine große Angriffsfläche für identitätsbasierte Bedrohungsakteure, die diese ausnutzen können.
Administratorkonten mangelt es oft an angemessener Aufsicht und Schutz. Nicht-menschliche Identitäten, von Active Directory Service Accounts zu Cloud-Workloads, werden häufig mit umfassendem Zugriff und minimaler Überwachung betrieben. MFA Die Implementierung ist typischerweise inkonsistent, insbesondere bei Backend-Systemen. Und die Vernetzung von Einzelhandelsumgebungen bietet Angreifern unzählige Möglichkeiten, sich zwischen den Systemen zu bewegen, sobald sie sich den ersten Zugriff verschafft haben.
Aufbau eines einzelhandelsspezifischen Identitätsschutzes
Die jüngsten Datenschutzverletzungen im Einzelhandel können Identitäts- und Sicherheitsteams dazu anregen, wichtige Initiativen zu überdenken und zu beschleunigen – insbesondere solche, die möglicherweise bereits auf Widerstand von Teams gestoßen sind, die sich auf betriebliche Effizienz konzentrieren. Solche Momente können dazu beitragen, die Prioritäten im gesamten Unternehmen zu harmonisieren. An ihrer Stelle würde ich mich jetzt auf Folgendes konzentrieren:
1. Schützen Sie die ersten Zugriffspunkte
- Umfassende MFA durchsetzen: Stellen Sie sicher, dass alle externen Zugriffspunkte auf Systeme mit MFA gesichert sind, einschließlich VPNs, SaaS-Anwendungen und anderen internetbasierten Systemen.
- Implementieren Sie Phishing-resistente MFA: Gehen Sie mindestens zum Nummernabgleich über (denken Sie daran, auch nicht Phishing-resistente Faktoren zu entfernen) und ziehen Sie „nicht Phishing-resistente“ FIDO2-Authentifikatoren (wie Yubikeys) für Hauptziele wie IT- und Sicherheitsteams in Betracht.
- Sichere Prozesse zum Zurücksetzen von Passwörtern: Verschärfen Sie die Helpdesk-Verfahren mit strengen Identitätsprüfung Protokolle. Erwägen Sie die vorübergehende Implementierung persönlicher Zurücksetzungen für Ihre wichtigsten Konten.
- Schützen Sie die MFA-Verwaltung: Stellen Sie sicher, dass zweite Faktoren nur mit entsprechender Identitätsprüfung hinzugefügt oder geändert werden können, nicht nur mit Benutzername und Passwort.
2. Verhindern Sie eine seitliche Bewegung nach einem Kompromiss
- Erweitern Sie die MFA-Abdeckung intern: MFA muss über den Perimeter hinaus auf interne Systeme und den Infrastrukturzugriff ausgedehnt werden, insbesondere Active Directory Umgebungen, die Hauptziele für Bedrohungsakteure und Ransomware-Gruppen sind. Der Schutz von RDP allein reicht nicht aus – dies muss für alle Protokolle gelten (PowerShell wird beispielsweise von Angreifern bevorzugt).
- Schützen nichtmenschliche Identitäten (NHIs): Implementieren Sie strenge Kontrollen für Dienstkonten, beschränken Sie deren Verwendung und warnen Sie vor ungewöhnlichen Aktivitätsmustern, die auf eine Gefährdung hindeuten könnten.
- Eindämmung anfälliger Legacy-Protokolle: Legacy einschränken Beglaubigung Protokolle wie NTLMv1 auf die Anwendungen, die sie unbedingt benötigen.
- Implementierung Identitätssegmentierung: Erstellen Sie Sicherheitsgrenzen zwischen verschiedenen Teilen der Einzelhandelsumgebung, um Sicherheitsverletzungen einzudämmen, beispielsweise indem Sie die Serverauthentifizierung von Ihren Einzelhandels-Sites aus untersagen.
3. Achten Sie auf Identitätsbedrohungen
- Bereitstellung von Identity Threat Detection & Response: Implementieren ITDR um anomales Verhalten wie Versuche einer seitlichen Bewegung zu erkennen und Ihr SOC für die Reaktion auszurüsten.
- Konzentrieren Sie sich auf die Aktivität des Servicekontos: Erstellen Sie detaillierte Basislinien des normalen Servicekontoverhaltens und geben Sie bei Abweichungen Warnmeldungen aus.
- Überwachen privilegiertes Konto Verwendung: Verfolgen Sie die Aktivität des Administratorkontos und achten Sie dabei besonders auf die ebenenübergreifende Nutzung, bei der Konten mit hohen Berechtigungen auf Umgebungen mit geringerer Sicherheit zugreifen.
Schutz in der realen Welt in Aktion
Dabei handelt es sich nicht nur um theoretische Ratschläge; sie basieren auf realen Kämpfen gegen genau die Bedrohungen, denen Einzelhändler heute ausgesetzt sind.
Nehmen Sie den Fall von a Silverfort Kunde, der mit einem seitliche Bewegung Angriff ähnlich dem, den M&S jetzt erlebt. Angreifer hatten bereits zwei Administratorkonten und ein Servicekonto kompromittiert, was normalerweise ein Rezept für eine Katastrophe ist. Aber weil sie implementierte MFA über alle internen Systeme hinweg und Automatisierter DienstkontoschutzSie erkannten und blockierten den Angriff in einem frühen Stadium und verhinderten so einen möglicherweise katastrophalen Schaden für ihre Betriebsabläufe. Die vollständige Fallstudie finden Sie hier. hier.
Oder denken Sie an ein anderes Unternehmen, einen führenden Hersteller, der während eines ausgeklügelten Angriffs auf die Lieferkette eine laterale Bewegung verhinderte. Staatliche Akteure hatten ein Fabriknetzwerk kompromittiert und versuchten, über die Laptops der Mitarbeiter in die Domänenumgebung des Unternehmens einzudringen. Durch die Implementierung von Richtlinien, die ungewöhnliche Authentifizierungsversuche erkennen und blockieren, insbesondere solche mit anfälligen Protokollen wie NTLMstoppte ihr Sicherheitsteam den Angriff, bevor er Fuß fassen konnte. Diese detaillierte Fallstudie ist verfügbar hier.
Heute sichern, für morgen bauen
Diese Sofortmaßnahmen tragen zwar dazu bei, Identitätsrisiken schnell einzudämmen, es sind jedoch auch andere Schutzmaßnahmen zu berücksichtigen, bei denen es sich um längerfristige Investitionen handelt.
Identity Security & Posture Management (ISPM) Sie können Identitätsschwächen proaktiv erkennen und beheben, bevor Angreifer sie entdecken. Schaffen Sie einen echten „geschlossenen Kreislauf“ der Identitätssicherheit, bei dem die Kontoeinrichtung und -wiederherstellung in jedem Schritt strenge Überprüfungen erfordern.
Automatisieren Sie Ihren Identitätslebenszyklus und achten Sie dabei besonders auf die oft übersehenen Identitäten von Nicht-Mitarbeitern und Nicht-Menschen. Reduzieren Sie die Abhängigkeit von lokalen Konten, die zentrale Identitätskontrollen umgehen, und beginnen Sie mit der Einführung von Zero Standing Privileges. Der Zugriff wird just-in-time und in genau der richtigen Menge gewährt. Dadurch wird die Angriffsfläche für DragonForce, Scattered Spider und ähnliche Gruppen drastisch reduziert.
Erwägen Sie für Ihre nicht-menschlichen Identitäten die Umstellung auf flüchtige Anmeldeinformationen anstelle statischer, risikoreicher Anmeldeinformationen wie langlebiger Dienstkontopasswörter, Geheimnisse, API-Schlüssel und SSH-Schlüssel. Dadurch wird eines der größten Risiken im Einzelhandel eliminiert: kompromittierte Dienstkontoanmeldeinformationen, die Angreifern dauerhaften Zugriff ermöglichen.
Achten Sie auf die Identitätslücke
Herkömmliche Ansätze zum Schutz von Identitäten reichen gegen die heutigen identitätsorientierten Angreifer einfach nicht aus, da jedes Konto und jede Authentifizierung ein Risiko darstellt.
Für Einzelhändler, bei denen die Systemverfügbarkeit direkte Auswirkungen auf das Endergebnis hat und das Vertrauen der Kunden von größter Bedeutung ist, ist die richtige Identitätssicherheit – die Eindämmung des Risikos von Kontokompromittierung, lateraler Bewegung und letztendlich Ransomware – von größter Bedeutung.
Wenn Sie verstehen, wie Gruppen wie DragonForce vorgehen, und umfassende Maßnahmen zur Identitätssicherheit implementieren, können Sie Ihr Risikoprofil erheblich reduzieren.
Wie wir anhand von Beispielen aus der Praxis gesehen haben, kann die ordnungsgemäße Implementierung der Identitätssicherheit den Unterschied zwischen normalem Geschäftsbetrieb und einem schlagzeilenträchtigen Verstoß ausmachen. Laden Sie unser E-Book „Retail Roulette: Herausforderungen der Identitätssicherheit bewältigen und überwinden“ herunter.