Letzte Woche griff die Ransomware-Gruppe BlackCat (auch bekannt als ALPHV) den Betrieb von MGM Resorts an und zwang sie, ihre IT-Systeme herunterzufahren. Was diesen Angriff von traditionelleren Ransomware-Angriffen unterscheidet, besteht darin, dass Angreifer zu einem bestimmten Zeitpunkt in der Lage waren, ihre Domänendominanz in der lokalen Umgebung auszunutzen, um die Cloud zu gefährden Identitätsinfrastruktur, Sammeln von Klartext-Passwörtern von Okta-Benutzern.
Dem Angriff gesellen sich nun andere – auch gegen Okta, Uber und Cisco – indem ein neues Muster markiert wird, das die Interkonnektivität der lokalen und SaaS-Umgebungen ausnutzt, um SaaS durch die lokale Umgebung zu gefährden. Dies stellt heute ein erhebliches Risiko für alle Organisationen dar, die über eine hybride Umgebung verfügen (d. h. sowohl ein lokales als auch ein Cloud-Verzeichnis verwenden) und unterstreicht die Notwendigkeit einer einheitlichen Umgebung Identitätsschutz Ansatz.
MGM Breach: Ein Spaziergang durch die Phasen des Angriffs
Aus öffentlich verfügbaren Daten können wir den folgenden Ablauf konstruieren:
- Angreifer beschafften sich auf LinkedIn Informationen über einen Mitarbeiter, riefen den Helpdesk an und verschafften sich über Social Engineering Zugriff auf das Netzwerk.
- Anschließend traten sie auf seitliche Bewegung bis sie sich Zugriff auf einen Domänencontroller verschafften (Details zu den genauen Techniken, die in dieser Phase verwendet wurden, bleiben unklar) und dort gespeicherte Benutzerkennwörter stahlen.
- Zu diesem Zeitpunkt verlangten die Angreifer ein Lösegeld und setzten es, als es abgelehnt wurde, anschließend ein Ransomware- auf den ESXi-Servern von MGM und setzten dann ihre seitliche Bewegung fort, bis sie Zugriff auf den Okta-Server erhielten.
- Dort angekommen, extrahierten die Angreifer Klartext-Passwörter von Servern, die ihnen dann die Möglichkeit gaben, sich bei Okta und greifen Sie auf alle von ihm verwalteten SaaS-Apps zu.
Lokale Domänendominanz als Sprungbrett zur SaaS-Umgebung
Das Interessante an diesem Angriff ist, dass Hacker zwar Zugriff darauf hatten Active Directory (AD)-Hashes hatten sie keinen Zugriff auf die Passwörter. Angreifer nutzten AD, um auf Okta umzusteigen, und schafften es, Passwörter im Klartext zu stehlen. Im Wesentlichen, Active Directory diente als Tor zu Okta. Dies unterstreicht die Notwendigkeit für Unternehmen, etwaige Schwachstellen und Fehlkonfigurationen in ihrer Identitätsinfrastruktur zu identifizieren und zu beheben. Viele Organisationen vernetzen sich Active Directory zu Okta, vernachlässigen jedoch häufig die Sicherung dieser Verbindung, was in diesem Fall Angreifern die Möglichkeit bot, die Schwachstelle auszunutzen.
Die kritische Lücke der hybriden Identitätsinfrastruktur: Verbunden, aber nicht geschützt
Dieser Verstoß verdeutlicht eine inhärente Schwäche, die allzu häufig ignoriert wird – die fragmentierte und isolierte Natur der Identitätsinfrastruktur in der Hybridumgebung. Lassen Sie uns nun genauer darauf eingehen.
Die meisten Organisationen verwalten ihre lokalen Benutzer in Active Directory. Parallel dazu verwalten sie dieselben Benutzer in einem Cloud-Verzeichnis eines Verbundservers (z. B. Entra ID, Okta, Ping usw.). Um den Benutzern ein nahtloses Anmeldeerlebnis zu ermöglichen, werden diese beiden unterschiedlichen Identitätsanbieter synchronisiert. Das bedeutet, dass für den Zugriff sowohl auf die lokalen als auch auf die SaaS-Ressourcen dieselbe Kombination aus Benutzername und Passwort verwendet wird. Darüber hinaus hat das für die SaaS-Apps verwendete Verzeichnis häufig einen gewissen Platzbedarf in der lokalen Umgebung (z. B. auf dem Okta-Server im Falle dieses Verstoßes).
Diese Verbindung impliziert, dass ein Angreifer erfolgreich ist kompromittierter Benutzer Wenn sie Anmeldeinformationen in der On-Prem-Umgebung verwenden, können sie diese dann verwenden, um sich direkt bei SaaS-Apps anzumelden sowie sich lateral zu bewegen und die Komponenten der Cloud-Identitätsinfrastruktur in der On-Prem-Umgebung zu gefährden.
Da das On-Prem-System Identitätsbedrohungen ausgesetzt ist, ist es der ultimative Angriffsvektor für die Gefährdung von SaaS
Das kürzlich veröffentlichte Whitepaper von Osterman Forschung, „Der Zustand der Identitätsangriffsfläche: Einblicke in kritische Sicherheitslücken“ zeigt deutlich, dass die lokale Umgebung äußerst anfällig für die Verwendung kompromittierter Anmeldeinformationen für böswillige Zugriffe ist.
Wie der Bericht detailliert beschreibt, traditionell Multi-Faktor-Authentifizierung (MFA) und Privileged Access Management (PAM)-Lösungen bieten für die überwiegende Mehrheit der Unternehmen keinen ausreichenden Echtzeitschutz vor Identitätsbedrohungen.
Bedrohungsakteure sind sich dieser blinden Flecken schmerzlich bewusst und nutzen sie, um laterale Bewegungen innerhalb der On-Premise-Umgebung durchzuführen, wobei sie auf wenig bis gar keinen Widerstand stoßen. Und laterale Bewegung ist der X-Faktor, der ein lokales Ereignis (z. B. eine einzelne kompromittierte Maschine) in einen Vorfall auf Unternehmensebene verwandelt, wie der MGM-Verstoß zeigt.
Fazit: Identitätsschutz für On-Prem ist gleichbedeutend mit Identitätsschutz für die Cloud
Jede Kette ist nur so stark wie ihr schwächstes Glied. Und die Hybridumgebung ist eine Kette, in der On-Prem und Cloud eng miteinander verwoben sind. Daher bedeutet die Stärkung der On-Prem-Umgebung eine Stärkung der gesamten Kette. Unabhängig davon, wie weit Sie bei Ihrer Cloud-Migration bereits fortgeschritten sind: Wenn Sie noch über einen On-Prem-Anteil verfügen, stellt dies ein ernstes Risiko dar, das Sie angehen müssen.
Doch wie genau können Unternehmen diese Lücke schließen? Denn schon bevor es die Cloud gab, gab es keine Sicherheitslösung, die das Risiko von Lateral Movement mindern und in Echtzeit verhindern konnte.
Silverfort Unified Identity Protection Platform: Blockieren von Querbewegungen in Echtzeit
Silverfort hat den ersten Pionierarbeit geleistet Einheitlicher Identitätsschutz Plattform, die speziell dafür entwickelt wurde, Identitätsbedrohungen in Echtzeit für jeden Benutzer, jedes System und jede Umgebung zu verhindern. Silverfort lässt sich in die lokale und Cloud-Identitätsinfrastruktur integrieren, um kontinuierliche Überwachung, Risikoanalyse und Kontrollen wie MFA oder Zugriffsblockierung auf jedem Gerät zu ermöglichen Beglaubigung und Zugriffsversuch.
Auf diese Weise, Silverfort kann Identitätsschutz für Ressourcen ermöglichen, die zuvor nie hätten geschützt werden können. Ein Beispiel ist der Zugriff auf Workstations und Server über die Befehlszeile mit Tools wie PsExec oder Remote PowerShell. Diese Art des Zugriffs ist für Angreifer die Standardmethode zur seitlichen Bewegung und geht über die Abdeckung herkömmlicher MFA-Lösungen hinaus. Silverfort ist die erste Lösung, die MFA erforderlich um böswillige Zugriffe dieser Art zu erkennen und zu blockieren.
Wie Silverfort Hätte ein MGM-ähnliches Angriffsszenario verhindern können
Wie bereits erwähnt, ist unklar, wie genau die Angreifer den Lateral-Movement-Angriff im Netzwerk durchgeführt haben. Aber das ist wahrscheinlich Silverfort hätte diesen Verstoß auf zwei Arten verhindern können:
- Silverfort hätte wahrscheinlich die seitliche Bewegung erkannt Active Directory, um die Angreifer zu stoppen, bevor sie es gefährden können.
- Alternativ Silverfort hätte wahrscheinlich die Angreifer entdeckt, die von AD zu Okta wechselten, und so die Kompromittierung des Okta-Servers verhindert.
Das Diagramm unten zeigt, wie das geht SilverfortDer Schutz von 's hätte den Angriff in seinem Anfangsstadium gestoppt:
Verfügt Ihr Unternehmen über eine hybride Umgebung? Erfahren Sie mehr darüber, wie Silverfort kann dazu beitragen, Ihr Risiko zu verringern. Vereinbare einen Termin mit einem unserer Experten.