Suche

Sprache

Silverfort

DER IDENTITY-UNDERGROUND-BERICHT

Die häufigsten Sicherheitslücken im Identitätsbereich, die zu Kompromittierungen führen

Ihre Abwehrkräfte sind himmelhoch – aber unter der Erde sind Sie ungeschützt.

Wir haben eine Lücke in der Cybersicherheitsforschung festgestellt. Die meisten heute verfügbaren Bedrohungsberichte gehen sehr detailliert auf Malware, Bedrohungsakteure und Angriffsketten ein, enthalten jedoch nur sehr wenige Daten zu Identitätslücken und Schwachstellen, die bei fast jedem Cyberangriff eine Rolle spielen. Wir haben beschlossen, das zu ändern.

 

„Identity Underground“ ist der erste Versuch, die kritischsten Schwachstellen der Identitätssicherheit zu ermitteln, die zu Anmeldedatendiebstahl, Privilegienausweitung oder lateraler Bewegung führen – sowohl vor Ort als auch in der Cloud. Dabei handelt es sich nicht um Schwachstellen oder Angriffe an sich, sondern um inhärente Schwachstellen der Identitätsinfrastruktur, die von Bedrohungsakteuren regelmäßig bei ihren Angriffen genutzt werden. Aus diesem Grund haben wir beschlossen, diese Lücken „Identity Threat Exposures“ (ITEs) zu nennen.

 

Die Daten in diesem Bericht stammen aus Hunderten von Live-Produktionsumgebungen. Wir hoffen, dass Identity Underground Identitäts- und Sicherheitsteams beim Benchmarking ihrer Sicherheitsprogramme unterstützen und sie in die Lage versetzen kann, fundierte Entscheidungen darüber zu treffen, wo in Identitätssicherheit investiert werden soll.

Wussten Sie schon?

31%

aller Benutzer sind Dienstkonten mit hohen Zugriffsrechten und geringer Sichtbarkeit.

13%

der Benutzerkonten sind veraltet und führen keine Aktivität aus.

12%

der Administratorkonten sind für uneingeschränkte Delegierung konfiguriert

Identity Threat Exposures (ITEs) machen Ihr Unternehmen anfällig für Angriffe

Der Identity Underground stellt die kritischsten ITEs dar, die es Angreifern ermöglichen, auf Anmeldeinformationen zuzugreifen, Berechtigungen zu erweitern und sich seitlich zu bewegen, sowohl vor Ort als auch in der Cloud. Wir haben sie in vier Kategorien eingeteilt: Password Exposers, Privilege Escalators, Lateral Mover und Protection Dodgers. ITEs sind schwer zu beseitigen und können auf eine Fehlkonfiguration, Fehlverhalten, eine veraltete Identitätsinfrastruktur oder sogar integrierte Funktionen zurückzuführen sein. Sie sind der Grund für den starken Anstieg des Diebstahls von Zugangsdaten seitliche Bewegung, ein Merkmal fast jedes Angriffs. ITEs in diesem Bericht sind nachweislich weit verbreitet, wirkungsvoll und können von Angreifern ausgenutzt werden. Obwohl es mehrere ITEs unterschiedlicher Art gibt, haben wir nur diejenigen einbezogen, die ein Risiko darstellen, dem jedes Unternehmen wahrscheinlich ausgesetzt ist.

IT 1

Passwort-Exploser

Ermöglicht Angreifern den Zugriff auf das Klartextkennwort eines Benutzerkontos.

Verwandte MITRE ATT&CK-Technik: Zugriff auf Anmeldeinformationen

Beispiele:

  • NTLM-Authentifizierung
  • NTLMv1-Authentifizierung
  • Administratoren mit SPN

IT 2

Privilege-Rolltreppen

Ermöglicht Angreifern, sich unbemerkt seitlich zu bewegen.

Verwandte MITRE ATT&CK-Technik: Privilegieneskalation

Beispiele:

  • Schattenadministratoren
  • Uneingeschränkte Delegation

 

IT 3

Querbeweger

Ermöglicht Angreifern die Ausweitung bestehender Zugriffsrechte.

Verwandte MITRE ATT&CK-Technik: Seitliche Bewegung

Beispiele:

  • Dienstkonten
  • Vielnutzer

 

Es ist gängige Praxis für Active Directory (AD), um Benutzer-Hashes mit dem Cloud-IdP zu synchronisieren, sodass Benutzer mit denselben Anmeldeinformationen wie auf lokale Ressourcen auf SaaS-Apps zugreifen können.

Durch die Synchronisierung von Benutzerkennwörtern auf diese Weise migrieren Unternehmen unbeabsichtigt lokale Identitätsschwachstellen in die Cloud und erstellen eine Password Exposer ITE. Angreifer, darunter die Alphv BlackCat Ransomware-Gruppesind dafür bekannt, Cloud-Umgebungen von lokalen Einstellungen aus zu hacken.

Die NTLM-Authentifizierung lässt sich leicht mit Brute-Force-Angriffen knacken und ist ein Hauptziel für Angreifer, die Zugangsdaten stehlen und tiefer in eine Umgebung eindringen möchten.

Neuere Forschungen von Proofpoint-Sicherheit zeigt den Bedrohungsakteur TA577, der NTLM-Authentifizierungsinformationen stiehlt, um Passwörter zu erhalten. Dies ist ein weiteres Beispiel für eine Password Exposer ITE.

Eine einzelne Fehlkonfiguration in einem Active Directory Das Konto bringt im Durchschnitt 109 neue Schattenadministratoren hervor. 

Schattenadministratoren sind Benutzerkonten mit der Befugnis, Passwörter zurückzusetzen oder Konten auf andere Weise zu manipulieren. Angreifer gelten als Privilege Escalators und nutzen Shadow Admins, um Einstellungen und Berechtigungen zu ändern und sich mehr Zugriff auf Maschinen zu verschaffen, wenn sie tiefer in eine Umgebung vordringen.

Fast ein Drittel aller Benutzerkonten sind hochprivilegierte Dienstkonten. 

Dienstkonten werden für die Maschine-zu-Maschine-Kommunikation verwendet und sind Identitäten mit zahlreichen Zugriffsrechten und Berechtigungen. Ziel der Angreifer Dienstkonten, da sie von Sicherheitsteams oft übersehen werden. Nur 20 % der Unternehmen sind sehr zuversichtlich dass sie Einblick in jedes Dienstkonto haben und diese schützen können. Wir betrachten unbekannte Dienstkonten als Lateral Mover ITEs.

Was Sie heute tun können, um Ihr Unternehmen zu schützen

Identität bleibt ein heimtückischer Teil fast jedes Angriffs. Eine unterirdische Welt voller Identitätsbedrohungsrisiken trägt zum Schutz einer Organisation bei Identitätsangriff Oberfläche. Die gute Nachricht ist, dass Sie heute Maßnahmen ergreifen können, um diese ITEs zu beseitigen und Ihre Identitätssicherheit zu stärken.

1

Wissen Sie, wo Sie gefährdet sind, und eliminieren Sie Risiken nach Möglichkeit

Verschaffen Sie sich Einblick in die ITEs in Ihrer Umgebung, befolgen Sie die Best Practices von Microsoft und beseitigen Sie alle ITEs, die auf Fehlpraktiken oder Fehlkonfigurationen zurückzuführen sind. 
Mehr erfahren Sie hier

2

Bestehende Risiken eindämmen und überwachen

Überwachen Sie ITEs, die nicht entfernt werden können, wie z. B. Dienstkonten oder die Verwendung von NTLM, genau auf Anzeichen einer Kompromittierung.
Mehr erfahren Sie hier

3

Ergreifen Sie vorbeugende Maßnahmen

Wenden Sie Identitätssegmentierungsregeln oder MFA-Richtlinien an, um Benutzerkonten zu schützen und Zugriffsrichtlinien für Ihre Dienstkonten durchzusetzen. 
Mehr erfahren Sie hier

4

Verbinden Sie die Identitäts- und Sicherheitsteams

Kombinieren Sie die Fachgebiete Ihrer Identitäts- und Sicherheitsteams, um Fehlerbehebungen für ITEs zu priorisieren und umzusetzen. 
Mehr erfahren Sie hier

Holen Sie sich den weltweit ersten Bericht, der sich zu 100 % der Aufdeckung von Identitätsbedrohungen widmet.