Ausgenutzte Maschinenidentitäten als Gefahr

Es ist derzeit ein Anstieg beim Missbrauch von Maschinenidentitäten beobachtbar, mit dem Ziel, schwere Angriffe auf Unternehmen zu starten. Bei den jüngsten Sicherheitsvorfällen, die u. a. SolarWinds und Kaseya betrafen, wurde die Software-Lieferkette als Angriffsfläche missbraucht. Dies ist auf ein mangelhaftes Management von Maschinenidentitäten und Codesignaturen zurückzuführen.

Bei der Datenpanne von Equifax im Jahr 2018 wurden die persönlichen Daten von Millionen von US-Verbrauchern offengelegt, was dem Ruf des Unternehmens einen schweren Schlag versetzte und dazu führte, dass die US-Regulierungsbehörden eine Strafe in Höhe von 575 Millionen US-Dollar verhängten. All dies wurde durch ein abgelaufenes Zertifikat verursacht: eine einfach zu übersehendes Detail, das jedoch verheerende Folgen hatte.

Die COVID-19-Pandemie hat die Nutzung und Verwaltung von Maschinenidentitäten noch komplexer gemacht. Die Verlagerung in die Cloud, die weitreichende Einführung von Home-Office, die zunehmende Abhängigkeit von IoT-Geräten und Mobilität haben die Unternehmenslandschaft verändert – möglicherweise dauerhaft.

Da schnelle technologische Innovationen für viele Unternehmen während der Pandemie überlebenswichtig wurden, geriet die Sicherheit leider oft ins Hintertreffen. Eine stabile Verwaltung von Maschinenidentitäten stellt jetzt ein entscheidendes Instrument für Unternehmen dar, um den Rückstand aufzuholen und ihre Kunden und Assets zu schützen.

Die Bedeutung von Maschinenidentitäten

Maschinen kontrollieren alles, von der Konnektivität bis zum Datenfluss. PCs, IoT- und Mobilgeräte, Apps, Bürogeräte wie Drucker und Faxgeräte, Container und Microservices spielen alle eine Rolle in modernen Unternehmensumgebungen.

Jede Maschine benötigt eine eindeutige Identität, um die Verbindungen von Maschine zu Maschine und die Kommunikation über ein Netzwerk zu verwalten und zu sichern. Diese Geräte erhalten über SSL-, TLS- und Code-Signing-Sicherheitszertifikate, Authentifizierungstoken und SSH-Schlüssel eine Art digitale „ID“, die dann als ihre Maschinenidentität fungiert.

Sie werden benötigt, um Milliarden von Transaktionen zu ermöglichen, die jeden Tag weltweit stattfinden – vom Routing bis zur Verarbeitung von Finanztransaktionen. Es ist also kein Wunder, dass Cyberangreifer ständig versuchen, sie zu kompromittieren.

Maschinenidentitäten: Möglichkeiten für Angriffe

Schon eine einzige falsch verwaltete oder ungeschützte Maschinenidentität kann einen Sicherheitsvorfall verursachen. Sobald eine Identität gestohlen oder manipuliert wurde, können Angreifer bösartige Aktivitäten verschleiern, Daten stehlen, Überwachungen durchführen, Ransomware einsetzen und noch vieles mehr.

Dies ist ein bedeutender Risikofaktor, den viele Unternehmen noch nicht vollständig verstanden haben. Die Zahl der Vorfälle im Zusammenhang mit Maschinenidentitäten nimmt jedoch von Jahr zu Jahr zu. Zwischen 2015 und 2019 gab es einen Anstieg der gemeldeten Vorfälle um 700 %, zwischen 2018 und 2019 allein waren es 400 %.

Eine von Venafi und AIR Worldwide durchgeführte Studie schätzt, dass die Wirtschaft weltweit aufgrund des mangelhaften Schutzes von Maschinenidentitäten jährlich Verluste in Höhe von 51 bis 72 Milliarden US-Dollar erleidet. Die größten Unternehmen mit einem Jahresumsatz von mehr als 2 Mrd. US-Dollar sind am stärksten betroffen, mit schätzungsweise 14 % bis 25 % des Gesamtverlusts.

Wege zur Ausbeutung

Cyberkriminelle suchen nach Schwachstellen in Unternehmensnetzwerken und den zugrunde liegenden Protokollen zur Maschinenidentität. Während sich die Angriffstechniken ständig weiterentwickeln, sind die beliebtesten beobachtbaren Angriffsvektoren folgende:

• Kompromittierung von SSL/TLS-Sicherheitszertifikaten: Gestohlene oder gefälschte Zertifikate können verwendet werden, um Websites oder Aktivitäten legitim erscheinen zu lassen. Auch abgelaufene Zertifikate können ausgenutzt werden, um die Kommunikation zu belauschen oder in Transaktionen einzugreifen.
• Ausnutzung unzureichender Schutzmaßnahmen für Code Signing-Zertifikate: Obwohl sie für die Überprüfung der Authentizität und Integrität von Software von entscheidender Bedeutung sind, können Code Signing-Zertifikate auch für das Signieren von Malware ausgenutzt werden.

Ein Beispiel hierfür ist die Sicherheitslücke bei SolarWinds im Jahr 2019. Angreifer konnten in das Netzwerk des Softwareanbieters eindringen und fehlende Code-Signierungs- und Überprüfungsrichtlinien ausnutzen, um ein bösartiges Orion-Update zu installieren, das die Sunburst-Backdoor enthält. Die Schadsoftware wurde an etwa 18.000 Kunden verteilt, von denen ein Teil für weitere Angriffe ausgewählt wurde.

• Missbrauch von SSH-Schlüsseln: SSH-Schlüssel werden verwendet, um auf verschlüsselte und sichere Kanäle zuzugreifen und Vertrauen zu schaffen. Wenn diese Schlüssel jedoch preisgegeben, vergessen, nicht überprüft oder durch Handel im Dark Web erworben werden, können Assets und Konten des Unternehmens entführt werden.

Viele Malware-Stämme sind inzwischen in der Lage, SSH-Schlüssel zu missbrauchen. Das Erzwingen von schwachen Anmeldeinformationen auf öffentlichen Servern und das Hinzufügen von Schlüsseln zu autorisierten Schlüsselprotokollen kann den Diebstahl von Anmeldeinformationen, Lateral Movement und die Persistenz auf infizierten Systemen ermöglichen. Trickbot, CryptoSink und Skipmap sind Varianten, die über diese Fähigkeiten verfügen.

In den fünf Jahren vor 2019 ist die Entwicklung von Standard-Malware mit Funktionen zum Missbrauch von Maschinenidentitäten um 300 % gestiegen.

Wie lassen sich Maschinenidentitäten schützen?

Die Verwaltung von Maschinenidentitäten kann ein zeitaufwändiges und schwieriges Unterfangen sein. Die Mehrheit der Unternehmen weiß nicht, wie viele Zertifikate und Schlüssel sie besitzen. In Kombination mit einer größeren Angriffsfläche, die durch die rasche Umstellung auf hybrides Arbeiten und die hohe Anzahl von Geräten in Unternehmensnetzwerken verursacht wird, müssen Unternehmen dem Schutz von Maschinenidentitäten mehr Bedeutung beimessen, um ihre Netzwerke zu sichern.

Unternehmen sollten nun Lösungen für das Management von Maschinenidentitäten einführen, um Geräte zu schützen und den IT-Teams einen besseren Einblick in die zu schützenden Systeme zu gewähren, ohne ihnen zusätzliche Lasten aufzubürden. Automatisierung kann diesen Prozess rationalisieren und das Risiko menschlicher Fehler, die zu einer Datenverletzung führen, verringern.

Das allein reicht jedoch nicht aus: Sicherheit muss in jeder Phase des Softwareentwicklungszyklus eingeführt werden, um das Risiko der Kompromittierung von Maschinenidentität, Zertifikaten und Schlüsseln zu verringern.

Insgesamt ist es notwendig, dass sich die Unternehmen auf eine sicherheitsorientierte Denkweise einstellen, von der Geschäftsleitung bis hin zu den IT-Fachleuten an der vordersten Verteidigungslinie.