Es ist keine Überraschung, dass moderne Cyberangriffe nach Möglichkeiten suchen, sich sowohl innerhalb einer lokalen Umgebung als auch auf die Cloud-basierten Dienste, Anwendungen und Ressourcen eines Unternehmens auszubreiten. Da fast jede Umgebung eine Form von Hybridkonfiguration nutzt, bieten alle Identitätsdaten, die für Hackertechniken anfällig sind, einem Angreifer potenziell uneingeschränkten Zugriff sowohl auf die Cloud als auch auf die lokale Umgebung.
Und warum ist es so einfach, eine erhöhte Identität zu kompromittieren? Die Ursache sind wahrscheinlich Schwächen in der Identitätskonfiguration, -verwaltung und -überwachung.
Denken Sie über ein unsicheres Passwort hinaus – nicht dokumentierte oder vergessene Konten, Berechtigungen und Delegationen; ein Mangel an zusätzlichen AD-Authentifizierung Faktoren, Privilegien und mehr sind die Plage der meisten Organisationen (weil wir alle so darauf konzentriert sind, das „nächste“ Problem zu lösen). Es sind diese Schwachstellen, nach denen Cyberkriminelle suchen und die sie ausnutzen … und das alles, weil sie wissen, dass Sie sie nicht behoben haben.
In diesem Webinar spricht Yiftach Keshet, VP of Product Marketing bei Silverfort, taucht tiefer in die gemeinsame Identity-Security-Lücken Lücken in lokalen Umgebungen, die es Bedrohungsakteuren ermöglichen, auch auf SaaS-basierte Anwendungen und Plattformen zuzugreifen.
Zunächst erläutert der viermalige Microsoft MVP Nick Cavalancia, warum Identität weiterhin ein vorrangiges Angriffsfläche, wobei das MITRE ATT&CK Framework verwendet wird, um zu demonstrieren, wie nahezu jede durchgeführte Aktion unweigerlich auf eine schwache Identitätsangriffsfläche zurückzuführen ist.
Als nächstes befasst sich Yiftach mit den häufigsten Sicherheitslücken und zeigt, wie diese genutzt werden können, um sowohl Zugriff auf lokale als auch auf Cloud-Umgebungen zu ermöglichen. Dazu gehören:
- Wie Angreifer Schwachstellen vor Ort ausnutzen, um sich seitlich in die Cloud-Umgebung zu bewegen und diese zu kompromittieren, indem sie zunächst Zugriff auf eine Maschine erhalten und dann entweder einen NTLM-Pfad verwenden oder Kerberos- Pfad, um Zugriff auf Cloud-Umgebungen zu erhalten.
- Identifizieren Sie Benutzer mit übermäßigen Zugriffsrechten: 1 von 7 Benutzern (im Durchschnitt) hat ähnliche Zugriffsrechte wie Administratoren, obwohl er keiner Administratorgruppe angehört. Natürlich gibt es auch für diese Benutzer keinen Schutz, da niemand weiß, dass sie de facto privilegiert sind. Angreifer können ihre Chance nutzen und diese Benutzer „unter dem Radar“ ins Visier nehmen. lateraler Bewegung ausnutzen.
- Veraltete Konten und gemeinsam genutzte Konten: gängige Missstände, die eine riesige Angriffsfläche schaffen. Veraltete Konten sind nicht geschützt (in vielen Fällen mehr als 15 % aller Benutzer). Gemeinsam genutzte Konten können nicht geschützt werden mit MFA. Beide Typen werden umfassend gezielt eingesetzt.
Yiftach zeigt auch, wie diese Art von Angriffen erkannt werden kann, und bespricht Best Practices zur Minderung von Identitätsschwächen durch Sicherheitskontrollen, die eine Multi-Faktor-Authentifizierung umfassen, und Identitätssegmentierung.