Die Okta-Verletzung – Lektionen, die nur die Angreifer erteilen können

„Es gibt keinen Lehrer außer dem Feind. Niemand außer dem Feind wird dir sagen, was der Feind tun wird. Niemand außer dem Feind wird dir jemals beibringen, wie man zerstört und erobert. Nur der Feind zeigt dir, wo du schwach bist. Nur der Feind zeigt dir, wo er stark ist. Und die Spielregeln sind, was Sie ihm antun können und was Sie ihn davon abhalten können, Ihnen etwas anzutun.“
(Enders Spiel, Orson-Scott-Karte)

Während die kürzlich offenbart Angriff auf Okta Obwohl der Umfang und die Auswirkungen begrenzt zu sein scheinen, liefert es dennoch wichtige Einblicke in die entscheidende Rolle, die die Verwendung kompromittierter Zugangsdaten bei diesem Verstoß gespielt hat. Wenn man diesen Verstoß in den Gesamtkontext der heutigen Bedrohungslandschaft einordnet, wird deutlich, dass Benutzeridentitäten zu einem der Hauptangriffsziele geworden sind Angriffsfläche. Wie sollte sich diese Änderung im Handlungsspielraum der Bedrohungsakteure auf unsere Sicherheitsarchitektur und -praktiken auswirken, damit wir gegen Angriffe gewinnen können, die diese nutzen? Benutzerkonten als ihre Hauptangriffsvektoren? In diesem Artikel untersuchen wir die wichtigsten Lehren, die uns die Bedrohungsakteure von Lapsus$ aus diesem Verstoß gezogen haben, und wie wir diese Lehren nutzen können, um die Widerstandsfähigkeit unserer Umgebungen gegenüber Identitätsbedrohungen zu verbessern.

Eine kurze Zusammenfassung des Okta-Verstoßes

Angreifern der Lapsus$-Angriffsgruppe gelang es, einen Endpunkt eines Supporttechnikers eines Drittanbieters über RDP zu kompromittieren. Nach der Kompromittierung des Endpunkts deaktivierten die Angreifer den Endpoint Protection Agent und luden verschiedene Tools wie ProcessHacker und Mimikatz herunter. Anschließend verwendeten sie diese Tools auf dem kompromittierten Endpunkt, um Anmeldeinformationen für das O365-Konto zu erhalten, das mit einem Unternehmen verbunden ist, das der Drittanbieter im August 2021 erworben hat. Sobald dieser Zugriff erlangt wurde, erstellten die Angreifer ein neues Konto und konfigurierten eine Regel, um alle weiterzuleiten E-Mail an dieses Konto, was sich möglicherweise auf 366 Okta-Kunden auswirkt.

Wichtige Erkenntnisse für Sicherheitsbeteiligte:

Lektion Nr. 1: Angreifer zielen auf Ihre Schwächen ab

Was hat uns der Feind durch diesen Bruch gelehrt? Wir glauben… viel. Zuallererst wurden wir daran erinnert (nichts Neues), dass die Kette nur so stark ist wie ihr schwächstes Glied und dass Angreifer zunächst auf diese schwachen Glieder abzielen, um schließlich auf das zuzugreifen, was sich hinter den stärkeren befindet. Sehen wir uns basierend auf dem beschriebenen Angriffsfluss die schwächeren Glieder an Lapsus$-Bedrohungsakteure haben gezielt ihren Angriff gestartet:

Schwäche Nr. 1: Hinzufügung neuer M&A-Umgebungen

Nichts Neues hier, aber immer noch eine nützliche Erinnerung. Fusionen und Übernahmen sind ein integraler Bestandteil des Geschäftslebenszyklus. Allerdings gibt es keine einfache Möglichkeit, eine Live-IT-Umgebung in eine andere zu integrieren. Auch wenn es hier keine einfachen Lösungen gibt, sollten Sicherheitsteams eine Seite aus dem Spielbuch der Angreifer nehmen und diesen neuen Teilen ihrer Netzwerke erhöhte Aufmerksamkeit widmen, da sie am wahrscheinlichsten angegriffen werden.

Schwachstelle Nr. 2: Lieferkette und Zugriff durch Dritte

Die moderne Unternehmens-IT-Umgebung ist ein Ökosystem, keine eigenständige Einheit. Das bedeutet, dass sich Personen absichtlich von Computern aus mit Ihrer Umgebung verbinden, die Sie nicht mit Sicherheitspraktiken verwalten, die möglicherweise nicht mit Ihren übereinstimmen, während Sie für eine Verletzung verantwortlich bleiben, die aufgrund dieser erfolgt. Letztendlich ist der einzige Aspekt des Lieferketten-Ökosystems, den Sie kontrollieren können, die Zugriffsrichtlinie und die Anforderungen, die Drittanbieter erfüllen sollten, um vertrauenswürdig zu sein.

Schwachstelle Nr. 3: Cloud-Ressourcen in einer Hybridumgebung sind Angriffen ausgesetzt, die von lokalen Maschinen ausgehen

Selbst wenn Sie Cloud-nativ und digital transformiert sind, wird es am Ende des Tages Nicht-Web-Ressourcen geben, die entweder mit Ihrer Umgebung verbunden sind oder ein tatsächlicher Teil davon sind. Das intuitivste Beispiel sind die Workstations, die Ihre Mitarbeiter verwenden, um sich mit SaaS-Anwendungen und Cloud-Workloads zu verbinden. Wenn eine solche Workstation kompromittiert wird, können Angreifer leicht an die gespeicherten Anmeldeinformationen gelangen und ihre Präsenz erweitern, nicht nur auf zusätzliche Computer vor Ort, sondern auch auf SaaS-Anwendungen und Cloud-Workloads.

Die Untersuchung dieser Schwachstellen zeigt, dass sie nicht das Ausmaß einer ungepatchten Schwachstelle oder einer falsch konfigurierten Richtlinie haben. Sie lassen sich nicht einfach per Knopfdruck beseitigen und sind nicht das Ergebnis eines Sicherheitsvergehens. Vielmehr sind sie der Infrastruktur jeder IT-Umgebung inhärent.

Lektion Nr. 2: Kompromittierte Zugangsdaten waren das Rückgrat des Angriffs

Während jede der ersten beiden Schwachstellen die Umgebung für mehrere Arten von Angriffen öffnet, verstärkt die dritte Schwachstelle – die Gefährdung von Cloud-Ressourcen durch Angriffe aus der lokalen Umgebung – ihre Auswirkungen radikal. Kompromittierte Anmeldeinformationen spielte bei diesem Angriff eine doppelte Rolle. Erstens beim ersten Zugriff auf die kompromittierte Maschine und zweitens beim Zugriff auf O365. Es ist also das Identitätsbasierter Angriff Vektor, der die drei Schwachstellen in einen äußerst effektiven Angriff verwob, der Ressourcen gefährdet, die scheinbar unter hohem Schutz stehen.

Lektion Nr. 3: Eine Angriffsfläche für Identitäten kann nur geschützt werden, wenn sie vereinheitlicht wird

Dispergiert Identitätsschutz schafft blinde Flecken. Wenn der Fernzugriff über RDP durch den VPN-Anbieter geschützt ist, werden die SaaS-Anmeldung durch CASB und die interne Verbindung zwischen lokalen Maschinen durch einen EDR-Angreifer diese nacheinander umgehen. Die bessere Alternative besteht darin, jeden Authentifizierungs- und Zugriffsversuch zentral zu überwachen und zu schützen, sodass ein erkanntes Risiko bei der Anmeldung eines Benutzers bei einer Ressource auch die Einschränkung des Zugriffs dieses Benutzers auf alle anderen Ressourcen ermöglicht.

Jeder Sicherheitsbeteiligte kann aus dieser Analyse eine einfache Wahrheit mitnehmen: In der heutigen Unternehmensumgebung ist die Identität die wichtigste Angriffsfläche. Und unsere Sicherheitsarchitekturen müssen sich an diese Erkenntnis anpassen, darauf reagieren und sich an diese Erkenntnis gewöhnen, wenn wir im Kampf gegen Cyber-Angreifer die Oberhand gewinnen wollen.

Den Feind aufhalten

Der Okta-Verstoß verdeutlicht einen Trend, der in den letzten Jahren langsam zugenommen hat. Angreifer bevorzugen identitätsbasierte Angriffe und verwenden kompromittierte Anmeldedaten, um auf gezielte Ressourcen zuzugreifen. Und sie tun dies, weil dieser Angriffsvektor in der heutigen Unternehmensumgebung am wenigsten geschützt ist. Die Antwort von unserer Seite sollte darin bestehen, anzuerkennen, dass die Identität eine kritische Angriffsfläche ist, und sie entsprechend zu schützen – mit Echtzeit-Prävention, Erkennung und Reaktion darauf Identitätsbedrohungen On-Prem und in der Cloud, das gilt gleichermaßen für RDP-Verbindungen zu Remote-Workstations, Web-Login bei einer SaaS-Anwendung und Befehlszeilenzugriff auf einen On-Prem-Server.

Über uns

Silverfort hat den ersten Pionierarbeit geleistet Schutz vor Identitätsbedrohungen Plattform, die speziell für die Echtzeit-Prävention, -Erkennung und -Reaktion auf identitätsbasierte Angriffe entwickelt wurde, die kompromittierte Anmeldeinformationen für den Zugriff auf Zielressourcen verwenden. Silverfort verhindert diese Angriffe durch kontinuierliche Überwachung, Risikoanalyse und Durchsetzung in Echtzeit Zero Trust Zugriffsrichtlinien für jeden Benutzer, jedes System und jede Umgebung vor Ort und in der Cloud.

Erfahren Sie mehr darüber Silverfort Schutz vor Identitätsbedrohungen.