2017 waren die meisten „erfolgreichen“ Cyber-Attacken auf die missbräuchliche Nutzung privilegierter Zugangsdaten zurückzuführen. Die Situation wird sich weiter verschärfen. Als Angriffsziele rücken verstärkt Service-Accounts, SSH-Keys und Authentifizierungsservices ins Blickfeld.

2018 werden wir eine verstärkte Nutzung von Automation sowie Hybrid-Cloud- und DevOps-Umgebungen sehen. Die Folge ist eine wachsende Anzahl verwendeter privilegierter Zugangsdaten, die mit Personen, Services oder Applikationen verbunden sind und unweigerlich zusätzliche lukrative Ziele für Angreifer darstellen.

Zu solchen Zugangsdaten gehören etwa Service-Accounts, API-Keys, SSH-Keys und eingebettete Passwörter. Wir gehen deshalb auch davon aus, dass die Zugangsdaten-basierten Attacken zunehmen und die Bedrohungslandschaft 2018 dominieren werden. Vor allem drei Bereiche sind dabei extrem gefährdet.

Service-Accounts
Verstärkt werden im Identitätsmanagement föderierte Identitäten eingesetzt, also über mehrere Systeme hinweg genutzte und verwaltete Identitäten. Dadurch verschwinden Identitätsgrenzen zwischen Geräten, und es entstehen zusätzliche Risikobereiche. Die Anzahl von Identitäten wird in den kommenden Jahren durch die Einführung Service-orientierter Umgebungen ohnehin steigen.

Eine Konsequenz ist, dass die Angriffsfläche vergrößert ist, eine andere, dass die Zugangsdaten von Domain-Administratoren nicht mehr ausschließlich das primäre Angriffsziel sind. Sicherheits-Verantwortliche müssen deshalb nicht nur bestimmen „wer“, sondern auch „was“ vertrauenswürdig ist.

Durch den Diebstahl von Service-Account-Zugängen, die für die Authentifizierung der verschlüsselten Kommunikation zwischen Services genutzt werden, können Angreifer unauffällig im Netzwerk agieren und die Zugangsdaten nutzen, um Prozesse und sogar Sicherheitsrichtlinien zu manipulieren.

So werden zum Beispiel CI/CD-Tools zu sicherheitskritischen Elementen – und zwar zu den gefährlichsten im Netzwerk. Wenn ein Angreifer in den Besitz der Zugangsdaten für diese Tools gelangt, erhält er Kontrolle über den gesamten DevOps-Workflow und kann diese Tools nutzen, um Schadcode zu verbreiten.

Schlüsselmanagement
Der hohe Verbreitungsgrad von SSH-Keys beim Zugriff auf Cloud-Ressourcen und die vielfach fehlende PKI-Nutzung in DevOps-Umgebungen sind zentrale Faktoren für steigende Sicherheitsrisiken. Über unverwaltete oder verwaiste SSH-Keys ist ein unkontrollierter privilegierter Zugriff auf die jeweiligen Zielsysteme möglich.

IT-Verantwortliche müssen deshalb das Management der Schlüssel entscheidend verbessern, um zu verhindern, dass sie leichte Ziele für Angreifer werden. Neben dem Schlüsselmanagement sollte auch die Verwendung temporärer Token in Betracht gezogen werden.

Sie stellen im Vergleich zu statischen Keys eine Verbesserung dar, da sie nach einer gewissen Zeit ihre Gültigkeit verlieren und für die Vergabe dynamischer Privilegien genutzt werden können. Sie bieten eine höhere Sicherheit, allerdings nur, wenn sie richtig provisioniert und verwaltet werden.

Authentifizierungsservices
Die Cloud geht in Richtung Identitätskonsolidierung, da mehr „Services“ und weniger „reine“ Technologien genutzt werden. Die Konsolidierung von Identitäten ermöglicht Anwendern eine komfortable „Seitwärtsbewegung“ über Services hinweg, bedeutet aber auch, dass es im Falle der Kompromittierung eines Authentifizierungsservices zu einem Totalverlust der Identität kommen kann.

Aktuelle Authentifizierungsmethoden wie Zweifaktor oder Single-Sign-On müssen deshalb im Hinblick auf neue Sicherheitsbedrohungen angepasst werden, ansonsten werden sie selbst zum leichten Angriffsziel. Wenn diese Authentifizierungstools kompromittiert werden, gewähren sie Angreifern nämlich eine beispiellose Flexibilität und einen uneingeschränkten Zugriff auf Netzwerke. Zentrales Sicherheitsproblem vieler Unternehmen ist überdies, dass ein „Single Point of Trust and Failure“ vorhanden ist.

Hier könnte künftig die sich entwickelnde Blockchain-Technologie Abhilfe schaffen. So ist es denkbar, mit der Blockchain-Authentifizierung typische Active-Directory-Aufgaben auf ein dezentrales Netzwerk zu verlagern. Angreifer wären dadurch gezwungen, eine sehr große Anzahl von Assets zu kompromittieren, bevor sie sich authentifizieren können.

Die verschiedenen – teilweise neuen – Angriffsszenarien zeigen eines ganz deutlich: den Kampf gegen Cyber-Angreifer kann ein Unternehmen nur gewinnen, wenn es zumindest die Basisarbeiten zum Schutz aller privilegierten Zugangsdaten leistet.

Weitere Beiträge....