Active Directory wird Haupteinfallstor für Angreifer

Derek Melber, Chief Technology and Security Strategist bei Tenable, erklärt: „90 Prozent der Fortune 1000-Unternehmen nutzen Active Directory für die Verwaltung von Zugriffen und Berechtigungen. Es ist daher nicht verwunderlich, dass AD der gemeinsame Nenner der größten Sicherheitsangriffe wie SolarWinds, MSFT Exchange und anderer ist. Die Angriffspunkte werden weiterhin variieren, und es werden unweigerlich weitere hinzukommen. Unabhängig davon, wie sich die Angriffstaktiken im kommenden Jahr ändern, wird AD das Hauptziel bleiben, weil es für Angreifer einfach zu lukrativ ist, um darauf zu verzichten. Ransomware-Trends werden kommen und gehen, aber Bedrohungsakteure werden weiterhin ein falsch konfiguriertes AD nutzen, um sich seitlich zu bewegen, Privilegien zu erweitern und Chaos zu verursachen. Unternehmen müssen alle Konfigurationen, die bekanntermaßen ausgenutzt werden können, mit Patches versehen und absichern, da sonst im Jahr 2022 ein Einbruch zu erwarten ist.“

Nathan Wenzler, Chief Security Strategist bei Tenable, fügt hinzu: “Während Bedrohungsakteure in der Vergangenheit Großereignisse genutzt haben, um Angriffe auf ahnungslose, abgelenkte Benutzer zu starten, hat das Jahr 2021 das Spielfeld verändert. Jetzt ist die Telearbeit die perfekte Ablenkung für Angreifer, um Social-Engineering-Angriffe zu starten. Schließlich hält sich nur ein Drittel der Remote-Mitarbeiter strikt an die Sicherheitsrichtlinien ihres Unternehmens. Remote-Mitarbeiter haben im Durchschnitt acht Geräte, die mit ihrem Heimnetzwerk verbunden sind, was für Angreifer eine Fülle von Gelegenheiten bietet, die sie ausnutzen können.

Mit Blick auf das Jahr 2022 werden Bedrohungsakteure weiterhin die Chancen nutzen, die sich in dieser neuen Arbeitswelt bieten, und versuchen, jedes Gerät im Heimnetzwerk zu kompromittieren, um an die wertvollsten Daten im Unternehmensnetzwerk zu gelangen. Alles, was es braucht, ist ein einziger Angestellter, der einem einzigen, gut durchdachten Social-Engineering-Trick zum Opfer fällt. Das macht Endbenutzer zum perfekten Ziel für die heutigen Angreifer, die es auf den Zugang zu Unternehmensnetzwerken, Datenbanken und anderen wertvollen Ressourcen abgesehen haben.“

Marty Edwards, VP, Operational Technology bei Tenable, prognostiziert: „Angriffe wie auf Colonial Pipeline haben das Thema Sicherheit auch für Nicht-Sicherheitsexperten greifbar gemacht. Steigende Benzinpreise und Warteschlangen an den Zapfsäulen, wie sie in den USA der Fall waren, sind etwas, das der normale Bürger, der CEO und das Kongressmitglied verstehen können. Jeder Vorstand interessiert sich jetzt für das Cyber-Risiko, das für sein Unternehmen besteht. Die Stakeholder investieren mehr denn je, und die politischen Entscheidungsträger bilden da keine Ausnahme. Wenn die Regierung und der private Sektor ihre gemeinsamen Prioritäten erkennen und gemeinsam an einer sichereren Welt arbeiten können, wird das Jahr 2022 ein vielversprechendes Klima für Verbesserungen bringen.“

Zum Thema Ransomware glaubt Edwards. „Das Jahr 2022 wird für Ransomware-Betreiber neue Strategien mit sich bringen, anstatt sich auf niedrig hängende Früchte zu konzentrieren und ihre Angriffe auszuweiten. Sie werden bei der Auswahl ihrer Ziele selektiver vorgehen und versuchen, ein Gleichgewicht zwischen Geldverdienen und der Verfolgung durch die Strafverfolgungsbehörden zu finden. Um diese Gleichung zu überlisten, müssen Unternehmen nicht mehr versuchen, die gegnerischen Missionen zu verhindern, sondern stattdessen verhindern, dass sich diese lohnen. Mit anderen Worten: Die Unternehmen müssen dafür sorgen, dass die Durchführung dieser Angriffe zu viel kostet. Wenn die Belohnung die Kosten für die Investition nicht deckt, werden die Bedrohungsakteure sie nicht durchführen.“

Bob Huber, Chief Security Officer bei Tenable, zu Cloud-Migrationen: “Fast die Hälfte der Unternehmen hat als direkte Folge der Pandemie geschäftskritische Funktionen in die Cloud verlagert. Die Cloud-Migration erfordert jedoch spezielle Überlegungen, die im Jahr 2022 wahrscheinlich übersehen werden. Die Erkennung und Verhinderung bösartiger Aktivitäten in der Cloud unterscheidet sich beispielsweise erheblich von der Schadensbegrenzung vor Ort. Hinzu kommen die Feinheiten der Zusammenarbeit mit Cloud-Anbietern und anderen Unternehmensakteuren, die neue Services in der Cloud schnell einführen wollen. Wenn Unternehmen nicht alle ihre Teams – und nicht nur die Sicherheitsteams – über die Absicherung der Cloud aufklären, werden sie unweigerlich den Preis dafür zahlen, wenn sich die Migration beschleunigt.“

James Hayes, VP, Government Affairs bei Tenable: “Sicherheit steht 2021 im Mittelpunkt des Interesses der Behörden. Infolgedessen werden 2022 immer mehr Behörden ihre Sicherheitsvorkehrungen verschärfen – durch die Einführung von Zero Trust, eine bessere Einsicht in Angriffsflächen, eine verstärkte Zusammenarbeit und vieles mehr. Dies wird sich zunehmend in Hochrisikoumgebungen bemerkbar machen, die häufig von ausländischen Angreifern ins Visier genommen werden, wie kritische Infrastrukturen und Betriebstechnologien (OT). Die Sicherung der Infrastruktur des Landes ist wichtiger denn je, und die Behörden werden ihre Prioritäten entsprechend setzen.“

Bernard Montel, EMEA Technical Director and Cybersecurity Strategist bei Tenable: 2Die Angriffe auf SolarWinds und Kaseya haben die Sorge um die Integrität der Software-Supply-Chain verstärkt. Bedrohungsakteure haben schnell erkannt, dass sie aus dem daraus resultierenden Domino-Effekt Kapital schlagen können. Wenn ein System kompromittiert wird, sind viele weitere Opfer gefährdet. Es ist zu befürchten, dass in dem Maße, in dem Unternehmen ihre Innovationsprojekte beschleunigen oder in die Cloud migrieren, um den Anforderungen hybrider Arbeitsmodelle gerecht zu werden, die Abhängigkeiten von Drittanbietern (z. B. Software-as-a-Service) weiter zunehmen werden. Damit werden auch entsprechende Angriffe zunehmen. Unternehmen müssen sich darüber im Klaren sein, dass die Abhängigkeit von Drittanbietern, auch solchen, die Security-as-a-Service anbieten, das Risiko erhöhen kann.

In einer unabhängigen Studie, die von Forrester Consulting im Auftrag von Tenable durchgeführt wurde, gaben 72 Prozent der Befragten in Deutschland an, dass ihr Unternehmen in den letzten zwölf Monaten einen Cyberangriff erlebt hat, der auf die Kompromittierung von Drittanbietersoftware oder -anbietern zurückzuführen ist. 20 Prozent der Befragten gaben an, dass sie nur einen begrenzten oder gar keinen Einblick in die Arbeit von Drittanbietern und Partnern haben.

In der Sicherheitscommunity ist man sich einig, dass die Angriffe im nächsten Jahr wieder zunehmen werden, wie jedes Jahr. Daher müssen Unternehmen unbedingt einen risikobasierten Ansatz verfolgen und sich ein klares Bild von der Kritikalität ihrer Assets machen und wissen, wo sich diese befinden. Unternehmen müssen ihre erweiterte Angriffsfläche verstehen und sicherstellen, dass sie in der Cloud das gleiche Maß an Governance haben, wie sie es vor Ort hätten. Verantwortliche sollten sich die Zeit nehmen, um zu bewerten, was und – vielleicht noch wichtiger – an wen sie Aufgaben delegieren und welche Sicherheitsvorkehrungen getroffen werden. Gleichzeitig sollten Unternehmen bei der Entwicklung von Anwendungen an die Sicherheit denken, bevor etwas in Produktion geht oder in die Cloud hochgeladen wird.“