Bequemlichkeit spielt Cyberkriminellen in die Karten
Klingt simpel, ist es aber offenbar nicht: Bestehende Sicherheitstechnologien müssen im Unternehmen auch umgesetzt werden, damit der Schutz der IT-Umgebung gewährleistet ist. Gemäß dem aktuellen "Active Adversary Report" von Sophos ist aber genau dies offenbar nicht der Fall. Die Kompromittierung von Anmeldedaten ist auch deshalb so attraktiv für Cyberkriminelle, da in vielen Organisationen Multifaktor-Authentifizierung noch ganz fehlt oder nicht konsequent umgesetzt ist.
Bei der forensischen Aufarbeitung von Cyberattacken stellten die SophosLabs im "Active Adversary Report" fest, dass Multifaktor-Authentifizierung (MFA) in 39 Prozent der bisher untersuchten Fälle nicht umfassend konfiguriert war. Problem sei also nicht die Technologie selbst, sondern deren Durchsetzung. Oftmals würden die Authentifizierungsanforderungen gelockert, um ein besseres Benutzererlebnis zu bieten. Dies öffne Angreifern Tür und Tor und wenn es um menschliche Gegner geht, böten diese kleinen Risse bereits beste Chancen, um in Netzwerke einzudringen.
Auch im Bereich MFA findet laut Sophos ein ständiger Wettlauf statt. Da Unternehmen stärkere Authentifizierungsmechanismen einführen, reagieren Kriminelle mit der Entwicklung von Techniken, die die eingesetzten Technologien umgehen. Der Punkt sei überschritten, an dem einfache SMS-Codes, zeitbasierte Einmalpasswörter (TOTP) oder sogar Push-Bashed-Authentifizierungen effektiv sind. Organisationen, die sich vor den neuesten Angriffstechniken schützen möchten, müssen auf Phishing-resistente MFA umsteigen. Und selbst hier sind die Kriminellen nicht untätig. Als Sophos X-Ops die Daten für den aktuellen Report analysierte, entdeckte das Team, dass eine der neuesten Social-Engineering-Taktiken zum Beispiel darin besteht, den Empfänger per SMS dazu zu bewegen, seinen Security Token zu deaktivieren.
Moderne, phishing-resistente MFA-Technologien als Standardauthentifizierungsmodus für alle Dienste innerhalb einer Organisation inklusive entsprechender Schulungen sorgen gemäß Sophos aktuell für maximalen Schutz gegen kompromittierte Anmeldedaten. Dabei müssten die entstehenden Kosten auch an den Kosten einer potenziellen Sicherheitsverletzung und Wiederherstellung gemessen werden, die oft um ein Vielfaches teurer sind. Eine starke Authentifizierung allein könne jedoch nicht jeden Angriff stoppen, weshalb mehrschichtige Verteidigung und Telemetrie-Analyse von entscheidender Bedeutung seien. Beides verschaffe Unternehmen Zeit und Gelegenheit, einen aktiven Angriff zu erkennen und abzuwehren.
Darüber hinaus könnten viele Authentifizierungssysteme für den adaptiven Zugriff konfiguriert werden. Dieses Vorgehen ändert die Zugriffs- oder Vertrauensebene basierend auf Kontextdaten über den Benutzer oder das Gerät, das Zugriff anfordert. Außerdem wird der Zugriff auf diejenigen Benutzer beschränkt, die ihn wirklich benötigen. Mit adaptiven Zugriffsauthentifizierungssystemen können Unternehmen Zugriffsrichtlinien für bestimmte Anwendungen oder Benutzergruppen anpassen und dynamisch auf verdächtige Signale reagieren.