Risiken bei Maschinenidentitäten
Bedrohungsjagd im Identitätslabyrinth
Sind trickreiche Angreifer ins Unternehmensnetz eingedrungen, verstecken sie sich meist vor der Erkennung. Dazu bleiben sie mitunter lange Zeit inaktiv oder versuchen, ihre Aktivitäten legitim aussehen zu lassen. Beim Threat Hunting wehren IT-Sicherheitsexperten mittels moderner Analysetechniken und automatisierter Tools solche Cyberangriffe ab.
Mit der digitalen Transformation und der Consumerization der IT (Verbreitung von Privatanwendertechnik in der Business-IT) sind in Unternehmen immer mehr Geräte unterschiedlichster Art im Einsatz: von virtuellen Maschinen oder Containern bis hin zu IoT-Gerätschaft (Internet of Things). Die Suche nach Gefahren und deren Quellen gleicht damit der Suche nach der berühmten Nadel im Heuhaufen, vor allem bei großen Unternehmen mit unzähligen Geräten und Anwendungen. Fehlende Aufmerksamkeit für das grundlegende Thema der Maschinenidentitäten verschlimmert die Lage.
In der Studie "Securing the Enterprise with Machine Identity Protection" vertraten 96 Prozent der Befragten in Unternehmen die Ansicht, dass ein wirksamer Schutz der Maschinenidentitäten ebenso wichtig ist wie der Schutz menschlicher Identitäten. 70 Prozent der Teilnehmer mussten jedoch eingestehen, dass sie nicht einmal die Hälfte der häufigsten Arten von Maschinenidentitäten in ihren Netzwerken überwachen. So sagten nur 56 Prozent aus, dass sie die Identitäten von Cloud-Plattform-Instanzen kontrollieren. 49 Prozent der Befragten kontrollieren die Identitäten von Mobilgeräten, ebenfalls 49 Prozent schützen die Identitäten physischer Server. Bei der Absicherung von SSH-Schlüsseln haben lediglich knapp 30 Prozent diese Identitäten auf dem Schirm, und lediglich ein Viertel schützt die Maschinenidentitäten von Micro-Services und Containern.
Was sind Maschinenidentitäten?
Maschinenidentitäten sind unter anderem digitale Zertifikate und kryptografische Schlüssel, die für die Kommunikation via SSL/TLS oder auch für das Code-Signing Verwendung finden. Maschinelle Identitäten lassen sich wie beim Menschen als bestimmte Merkmale beschreiben, die helfen, die Maschinen eindeutig voneinander zu unterscheiden. Eine Maschine benötigt eine Identität, um schnell und unbürokratisch Zugriff auf Systeme, Daten, Verzeichnisse etc. zu regeln. In einer Maschinenidentität sind zahlreiche Informationen enthalten, beispielsweise was dieses Gerät macht, in welchem IP-Bereich es sich befindet etc.
Nicht verwaltete oder unbekannte Maschinenidentitäten sind für eine Vielzahl von Risiken verantwortlich. Zertifikatsbedingte Ausfälle nehmen zu. Eine gänzlich andere Art von Risiken sind Sicherheitsverstöße, bei denen Cyberkriminelle kryptografische Schlüssel und digitale Zertifikate kompromittieren oder fälschen. Cyberkriminelle nutzen dies, um legitim zu erscheinen und sich in verschlüsselten Datenverkehr zu verstecken. Dies verlangsamt die Reaktion auf Vorfälle (Incident Response) und verursacht Schwierigkeiten im Betrieb, etwa wenn Administratoren innerhalb kürzester Zeit Tausende Maschinenidentitäten austauschen müssen. Letzteres kommt beispielsweise vor, wenn Browser-Hersteller einer Zertifizierungsstelle aufgrund von Vorfällen das Vertrauen entziehen. Ein bekannter Fall in jüngster Zeit ist Symantec, die inzwischen ihr gesamtes Zertifikatgeschäft verkauft haben. Letztlich ist aber vor allem der Missbrauch von Maschinenidentitäten durch Angreifer, die sich in Verschlüsselungstunneln verstecken, die größte unmittelbare Gefahr für Unternehmen. In der neueren Vergangenheit haben Kriminelle diese Einfallstore zum Beispiel für Angriffe auf Equifax und Ericsson genutzt.
Die drei Hauptrisiken
Die drei größten Gefahren bei Maschinen-identitäten gehen erstens von gefälschten vertrauenswürdigen Identitäten aus, zweitens von etablierten gefälschten - und dadurch scheinbar vertrauenswürdigen - Identitäten sowie drittens von versteckten Eindringlingen in Verschlüsselungstunneln. Cyberkriminelle nutzen vertrauenswürdige Maschinenidentitäten zum Beispiel, um Phishing-Websites zu erstellen. Sie hosten dort Schadsoftware, um sie beim Klick auf eine Phishing-E-Mail automatisch auf das Gerät des Opfers herunterzuladen. Beim Aufrufen einer nicht-vertrauenswürdigen Maschinenidentität warnt der Browser des Opfers vor dem Besuch der Website. Deshalb nutzen Cyberkriminelle vertrauenswürdige Identitäten und kaufen unter anderem im Darknet gestohlene oder gefälschte Maschinenidentitäten. Die Preise für Zertifikate variieren auf einschlägig bekannten Marktplätzen zwischen 260 und 1.600 Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen.
Cyberkriminelle nutzen Maschinenidentitäten nicht nur für Phishing, sondern auch Code Signing für Maschinenidentitäten. Code ist die ultimative "Maschine", die eine autorisierte vertrauenswürdige Identität benötigt: Computer vertrauen der Maschinenidentität eines Codes, wenn diese mit einem gültigen Code-Signing-Zertifikat (also einer zertifizierten Maschinenidentität) signiert ist. Die Rechner führen den Code dann bedingungslos aus. Die gültige Codesignatur zeigt an, dass der Code von der vertrauenswürdigen Quelle stammt, die ihn signiert hat und die ein Dritter nicht verändern kann. Ist dieser Prozess gefährdet, gibt es keinen besseren Weg für Cyberkriminelle, um Malware in den Code einzuschleusen und den Eindruck zu erwecken, der Schadcode sei legitim und vertrauenswürdig. Das wohl bekannteste Beispiel für einen solchen Vorfall ist Stuxnet. Bei diesem Angriff auf das iranische Atomprogramm, um die Urananreicherung zu behindern, kamen legitime digitale Zertifikate erstmals als Cyberwaffe zum Einsatz. Nach der Entdeckung 2010 fanden Sicherheitsforscher heraus, dass die Technik in einer Handvoll anderer Malware-Varianten Verwendung findet. Inzwischen gehören sie weltweit zum Standardwerkzeug von Cyberkriminellen und Angreifern.
Eine ganz andere Gefahr geht von sogenannten "Orphaned SSH Keys" aus: Administratoren vergessen verwaiste SSH-Schlüssel zumeist. Deshalb stellen diese eine einfache Möglichkeit für Angreifer dar, sie als Hintertüren einzusetzen.
Verwaiste SSH-Schlüssel
Die Gefahr besteht darin, dass diese Maschinenidentitäten bereits im Unternehmensnetzwerk etabliert sind und mit anderen interagieren. Das Netzwerk stuft sie als vertrauenswürdig ein. Die Verantwortlichkeiten für die Erkennung und Deaktivierung sind verteilt: SOC-Teams, aber auch die Unix-Administratoren müssen sich darum kümmern. Das bekannteste Beispiel, bei dem SSH-Schlüssel für einen Angriff im Einsatz waren, ist der Angriff auf das ukrainische Stromnetz in den Jahren 2014 und 2015. Sicherheitsforscher entdeckten bei der Aufarbeitung des Angriffs das Ausnutzen dieser Hintertür.
Ein weiteres Beispiel für den Missbrauch von SSH-Schlüsseln ist der Linux-Cryptominer Skidmap. Er fügt einen SSH-Schlüssel zu der autorisierten Schlüsseldatei unter Linux hinzu, was eine einfache, aber effektive Form einer Hintertür ermöglicht. Dies funktioniert oft, weil Unternehmen diese Art von Dateien nicht überwachen. Die Angriffstaktik zielt beispielsweise auf kritische Infrastrukturen ab. Sicherheitsabteilungen verfügen nur selten über einen Überblick über die im Unternehmen verwendeten SSH-Schlüssel. Diese Schlüssel laufen nicht irgendwann einfach ab, deshalb entsteht eine Hintertür, die ein Angreifer nutzen kann.
Besonders SSL/TLS-Verbindungen sind bevorzugte Verstecke für Cyberkriminelle. Mit dieser Methode umgehen Angreifer traditionelle Sicherheitssysteme, denn Firewall oder Anti-Bot-Software untersuchen nicht automatisch den SSL-Datenverkehr. Die Welt konnte bei Equifax sehen, was Angreifer erreichen, wenn sie sich in verschlüsselten Datenverkehr verstecken und die Verschlüsselungstunnel für ihre Aktivitäten ausnutzen. Deshalb sollten IT-Sicherheitsverantwortliche nach abgelaufenen Maschinenidentitäten suchen und diese so schnell wie möglich ersetzen. Cyberkriminelle nutzen jedoch auch kostenlose Zertifikate wie jene von Let?s Encrypt, um ihre Aktivitäten legitim aussehen zu lassen. Die Verantwortlichen müssen deshalb wissen, welche Maschinenidentitäten ihre Systeme einsetzen, um Abweichungen oder neue Maschinenidentitäten zu erkennen.
So wie es drei große Gefahren gibt, die von Maschinenidentitäten ausgehen, gibt es auch drei mehr oder weniger komplexe Möglichkeiten, um Angreifer zu jagen, die diese Identitäten missbrauchen. Zum einen können Security-Administratoren in die Certificate Transparency Logs schauen. Das Auffinden und die Analyse durch den Abgleich der Maschinenidentitäten ist mit dieser Übersicht am leichtesten. Der einfachste Fall ist ein unbekannter SSH-Schlüssel, den das SOC-Team als Netzwerkeinbruch erkennt und dann von der Liste der vertrauenswürdigen Schlüssel entfernt. Maschinenidentitäten sind dagegen schwieriger aufzuspüren, wenn sie auf fremden Websites für Phishing Verwendung finden. Sicherheitsverantwortliche müssen solche Funde festhalten und in einen Report überführen.
Gefälschte Domains im Internet abzuschalten, kann eine lange Zeit dauern und erfordert eine Zusammenarbeit mit den Hosting-Providern und anderen Drittparteien, eventuell sogar mit Strafverfolgungsbehörden. Eine erste Hilfestellung finden die Zuständigen beim Projekt VirusTotal. Bei SSL-Verschlüsselungstunneln wiederum ist die Suche schwieriger. Mangelt es hier an Sichtbarkeit und Automatisierung, ist es sehr schwer, Eindringlinge zu finden. Normalerweise sind bei Phishing-Attacken die Threat-Intelligence-Teams verantwortlich, bei der Suche nach Eindringlingen in Verschlüsselungstunneln kontrollieren jedoch Firewall-Administratoren diesen Verkehr. Diese Art des Threat Huntings (Bedrohungsjagd, Verfolgung von Eindringlingen) im Umfeld der Maschinenidentitäten ist wohl der schwierigste und längste Weg, den die Bedrohungsjäger zurücklegen müssen. Alle drei Arten der "Jagd" sollten sie kontinuierlich an das SOC kommunizieren, um Unternehmen und deren Partner sowie Kunden zu schützen.
Fazit: Noch zu oft unter dem Radar
Maschinenidentitäten sind immer noch ein recht unbekanntes Sicherheitsproblem und bleiben bei zu vielen Unternehmen unter dem Radar. So mussten Organisationen wie Equifax auf die harte Tour lernen, welche Bedrohungen davon ausgehen. Das Problem ist allzu oft, dass die verantwortlichen Abteilungen nicht über die automatisierten Tools verfügen, um abgelaufene Maschinenidentitäten schnell und unbürokratisch zu ersetzen. Eine automatisierte Software löst diese Probleme und verschafft den Teams einen Überblick über alle im Unternehmen genutzten Maschinenidentitäten. Solche Werkzeuge sollten die Intelligenz besitzen, nach Anomalien zu suchen und diese in einem automatisch generierten Bericht festzuhalten. Und schließlich müssen sie es ermöglichen, abgelaufene Maschinenidentitäten durch neue, vertrauenswürdige zu ersetzen.
Lesen Sie mehr zum Thema
