Silverfort Revolutioniert den Schutz vor seitlicher Bewegung mit MFA – Überlegungen zum SolarWinds-Angriff

*****Von Yiftach Keshet, Director of Product Marketing, Silverfort *****

MFA verhindert zu 99.9% dass Konten kompromittiert werden. Diese wichtige Sicherheitsmassnahme ist allerdings nicht anwendbar auf zentrale Unternehmensressourcen, in erster Linie die lokalen Endpunkte und Server. Die letzten SolarWinds greifen an zeigt einmal mehr, dass der Schutz vor seitlicher Bewegung zu den schwächsten Punkten im heutigen Sicherheitssystem gehört. Silverfort revolutioniert den Schutz vor Lateral Movement durch die Einführung von MFA für den Zugriff auf Endpunkte und Server in der On-Premise-Umgebung, wodurch bestehende proaktiv verhindert werden seitliche Bewegungstechniken wie sie von den SolarWinds-Bedrohungsakteuren verwendet werden.

Seitliche Bewegung in der SolarWinds-Angriffsübersicht

Das Seitliche Bewegung Die am SolarWinds-Angriff beteiligten Angreifer folgten bekannten Mustern: Nach der anfänglichen Kompromittierung begannen die Angreifer mit der Suche nach Anmeldeinformationen, die schließlich damit endete, Administratoranmeldeinformationen zu erhalten und sich beim eigentlichen Ziel (in diesem Fall beim ADFS-Server) anzumelden. Die Anmeldungen an den verschiedenen Maschinen entlang des Pfades wurden offenbar mit Befehlszeilentools für den Fernzugriff durchgeführt (PSexec, Powershell usw.).

Der Seitenbewegungsschutz ist gebrochen

Es ist erwähnenswert, dass der Initial Access-Teil des SolarWinds-Angriffs extreme Innovation, Raffinesse und Kreativität aufwies. Das ist beim Lateral Movement-Teil nicht der Fall – macht es aber nicht weniger effektiv.

Die traurige Wahrheit ist das Seitliche Bewegungstechniken und Taktiken haben sich seit einem Jahrzehnt nicht viel geändert, einfach weil sie nicht mussten – aus der Sicht der Angreifer gibt es keine Notwendigkeit, etwas zu ändern, das großartig funktioniert. Und leider haben sie in diesem Fall recht. Der Sicherheitsstack des Unternehmens versagt wiederholt gegen Lateral Movement.

Dies liegt daran, dass Lateral Movement im Wesentlichen nichts anderes ist als die Anmeldung bei Computern mit gültigen (wenn auch kompromittierten) Anmeldeinformationen. Die vorhandenen Sicherheitskontrollen, ob direkt auf dem Endpunkt platziert oder den Netzwerkverkehr überwachen, könnten bestenfalls entdecken dass eine anomale Anmeldung aufgetreten ist und eine Warnung auslöst. Sie können jedoch in Echtzeit nichts dagegen tun verhindern der Login tatsächlich stattfindet – was in den meisten Fällen viel zu spät sein wird.

Der Schlüssel zum Verhindern von Lateral Movement liegt darin, die eigentliche Bedeutung dessen zu verstehen, was wir gerade gesagt haben: Lateral Movement ist nichts anderes als das Einloggen in Maschinen mit gültigen Zugangsdaten. Mit anderen Worten, es ist eine ungesicherte Authentifizierung, die wir abschwächen müssen – und es gibt eine speziell entwickelte Technologie, um ein Szenario zu vereiteln, in dem ein Angreifer versucht, mit gültigen Anmeldeinformationen auf Unternehmensressourcen zuzugreifen – die Multi-Faktor-Authentifizierung.

MFA ist gegen Laterale Bewegung nicht verfügbar

Einer der wenigen Konsenspunkte unter Sicherheitspraktikern ist der enorme Wert, den MFA bietet. Laut Microsoft, Die vorhandene MFA verhindert 99.9 % der Kontokompromittierung. Jedoch die Active Directory basierte Endpunkte und Server, die primäre Ziele für Lateral Movement sind, sind vom Schutz, den MFA bietet, ausgenommen.

Es gibt derzeit keine verfügbare Technologie, die MFA auf den Befehlszeilentools für den Fernzugriff erzwingen kann, die Angreifer verwenden, um sich seitlich zwischen Computern zu bewegen. MFA ist die effektivste und bewährteste Technologie, um böswillige Anmeldungen zu verhindern. Das Fehlen von Anmeldungen in der lokalen Umgebung ermöglicht es Lateral Movement, erfolgreich zu sein, wie wir in zahlreichen APTs gesehen haben, einschließlich des neuesten SolarWinds-Angriffs.

Aber was wenn…?

Aber, MFA kann den Angreifern leicht den Spieß umdrehen. Wenn ein MFA vorhanden ist und der Angreifer die Anmeldeinformationen für den neuen Computer bereitstellt, wird die tatsächlicher Benutzer, zu dem diese Anmeldeinformationen gehören erhält eine Benachrichtigung auf seinem Telefon oder Desktop. Die Benachrichtigung würde fragen, ob der Zugriff auf den Computer zugelassen oder verweigert werden soll, und die Anfrage würde letztendlich abgelehnt, da der eigentliche Benutzer diesen Anmeldeversuch nie durchgeführt hat – und der Angreifer nicht in der Lage wäre, auf den Computer zuzugreifen.

Wappnen Sie Ihre On-Prem-Umgebung gegen seitliche Bewegungen mit Silverfort 

Silverfort Einheitlicher Identitätsschutz Platform (UIPP) ist Vorreiter bei der Ausweitung von MFA auf alle Unternehmensressourcen, einschließlich Ressourcen und Zugriffsmethoden. Silverfort ist der erste, der die Durchsetzung von einführt MFA Zugriffsrichtlinie für den Zugriff auf lokale Endpunkte und Server über Remote-Befehlszeilentools.

Eine einfache Richtlinie, die eine MFA-Überprüfung erfordert, wenn sich ein Domänenadministrator über ein Befehlszeilentool für den Fernzugriff anmeldet, würde die Erfolgsraten von Lateral Movements radikal reduzieren. Dies würde sogar in einem SolarWinds-Angriffsszenario gelten, in dem es den Angreifern gelungen ist, die Anmeldeinformationen eines Administrators in die Finger zu bekommen. Während die Angreifer tatsächlich haben die Anmeldeinformationen, sie werden nicht in der Lage sein, die eigentliche auszuführen login zu den Ressourcen, auf die sie abzielen.

Abschließende Überlegungen

Wie kommt es, dass das Fehlen von MFA in der On-Prem-Umgebung die ganze Zeit als selbstverständlich angesehen wurde? Dieses Fehlen ist so tief in der allgemeinen Denkweise verwurzelt, dass die meisten Sicherheitspraktiker, Praktiker und Führungskräfte es wahrscheinlich nicht einmal als Sicherheitslücke betrachten, sondern eher als eine Realität, mit der wir leben müssen. Silverfort ist hier, um diese Realität zu ändern.

Erfahren Sie mehr über Silverfort hier