Der neue heiße Name bei Ransomware-Angriffen ist Lapsus$. Wenn Sie noch nie von ihnen gehört haben, haben Sie wahrscheinlich schon von einigen der Unternehmen gehört, die sie angegriffen haben, darunter Nvidia, Samsung, Okta und Microsoft - um nur einige zu nennen. Für die Uninformierten: Lapsus$ ist eine Hackergruppe, die sich auf Datendiebstahl und Erpressung konzentriert. Die Gruppe hat es vor allem auf Unternehmen abgesehen und hat weltweit eine beunruhigende Anzahl bemerkenswerter Opfer zu beklagen.
Oftmals nutzte LAPSUS$ menschliche Schwachstellen in Unternehmen aus, wie z.B. die IT-Abteilung oder den Kundensupport. In anderen Fällen kauften sie bereits gehackte Login-Tokens von Dark-Web-Marktplätzen. In der Regel sehen einige Cybersicherheitsexperten diese Bedrohungen als geringfügig an. In Wirklichkeit ist es nicht nur die Raffinesse, die einen Hacker bedrohlicher macht, sondern auch seine Dreistigkeit.
Abbildung 1: Skyhigh Security: Erkennung von Anomalien, die verdächtige Aktivitäten anzeigen
Von der Anwendung von Social-Engineering-Taktiken und dem Austausch von SIM-Karten bis hin zu raffinierten Phishing-Angriffen und dem offensichtlichen Anlocken interner Mitarbeiter nutzen die Lapsus$-Betreiber die angebotenen Ressourcen, um über die beliebten Mittel VPN und Virtual Desktop Infrastructure (VDI) in das Unternehmensnetzwerk einzudringen.
Dies unterstreicht anschaulich die Tatsache, dass Sie, wenn Menschen für Sie arbeiten, anfällig für Social Engineering sind. Niemand sollte als unbestechlich angesehen werden. Die unmittelbare Konsequenz für Cloud-Ressourcen ist, dass Sie die Zugriffsberechtigungen der Mitarbeiter auf das Minimum beschränken sollten, das sie für ihre Arbeit tatsächlich benötigen. Da in der Cloud in der Regel sehr sensible Ressourcen gespeichert werden, kann die Gewährung übermäßiger Zugriffsrechte für jeden, der verletzt werden könnte (praktisch jeder!), zu einer ungerechtfertigten Gefährdung der Kronjuwelen des Unternehmens führen.
Wie kam es zu diesen Verstößen?
Die Gruppe Lapsus$, die vor allem groß angelegte Social Engineering- und Manipulationstechniken einsetzt, hat eine beeindruckende Liste von Opfern auf der ganzen Welt angehäuft. Interessanterweise haben die Vorfälle einen gemeinsamen Ansatz: Bei allen wurden gültige Anmeldedaten verwendet und schließlich die Rechte missbraucht, die dieser Identität zugestanden wurden. Diese Angriffe erinnern uns eindringlich daran, dass Authentifizierung (wer sind Sie?) und Autorisierung (was können Sie tun?) für die Sicherheit entscheidend sind. Die Prinzipien der geringsten Privilegien und des Null-Vertrauens waren noch nie so wichtig wie heute.
Was kann man tun?
Trotz Ihrer besten Bemühungen um Authentifizierung und Autorisierung kann es durch motivierte Insider zu einem Einbruch kommen.
Das wirft die Frage auf: "Wie stellen Sie fest, ob die Aktionen einer vertrauenswürdigen, autorisierten Entität bösartig sind?" Berechtigungssätze haben die unangenehme Angewohnheit, sich mit der Zeit auszubreiten und zu wachsen.
Abbildung 2: Skyhigh Security: Benutzer-Risiko-Scoring mit Hervorhebung potentieller Insider-Bedrohungen
Im Rahmen eines Zero Trust Network Access (ZTNA)-Ansatzes werden Unternehmen ermutigt, ihre Netzwerke zu segmentieren, ihre anfragenden Geräte zu bewerten und den Zugriff auf Anwendungen und Ressourcen kontextabhängig zu ermöglichen (unter Verwendung von DLP- und Remote Browser Isolation -Funktionen).
Im unglücklichen Fall einer Insider-Bedrohung können anomaliebasierte Erkennungsfunktionen und Verhaltensanalysen dabei helfen, abnormales und potenziell gefährliches Verhalten zu erkennen und zu entschärfen, indem eine Basislinie "normaler Aktivitäten" für den jeweiligen Kontext erstellt wird, um schließlich alle Anomalien oder Abweichungen hervorzuheben, damit schnell gehandelt werden kann.
Abbildung 3: Skyhigh Security: Benutzer-Risiko-Attribute und Aktivitätsgewichtung
Aber natürlich ist Sicherheit mehr als nur eine Ansammlung von technischen Kontrollen. Sicherheitsexperten müssen die Berechtigungen, Prozesse und Verfahren überprüfen, die von ihren Stakeholdern und vertrauenswürdigen Stellen - sowohl intern als auch von Dritten - verwendet werden. Die oben erwähnten Angriffe haben die Sicherheitswelt dazu veranlasst, diese Grundlagen zu beachten.