Gastkommentar von Fabian Gentinetta, Vectra
Wenn der Identity-Provider kompromittiert ist
Der jüngste Sicherheitsvorfall bei Okta zeigte, wie schnell eine Software-Lieferkette kompromittiert sein kann. Laut Okta betraf der Angriff der Lapsus$-Gruppe zwar nur 2,5 Prozent der Kundenbasis; dennoch stehen nun Fragen im Raum: Wie würde ein Angriff auf einen Identity Provider (IDP) in meiner Lieferkette auf mein Unternehmen auswirken? Welche Maßnahmen sind nun zu ergreifen? Diese Fragen diskutiert Fabian Gentinetta, Country Manager Alpine beim IT-Sicherheitsanbieter Vectra AI, im nachfolgenden Gastkommentar.
Die Angriffstaktiken auf die Lieferkette selbst sind nicht neu, wenn man nur an die jüngsten, viel beachteten Sicherheitsverletzungen bei Kaseya und SolarWinds denkt. Aber die Vorstellung eines Angriffs auf die Lieferkette, der auf die Kontenverwaltung fokussiert, ist beängstigend. Man führe sich nur vor Augen, wie gigantisch die daraus resultierenden Aufgaben für das Sicherheitsteam wären.
Der Zugriff auf Konten hat bei 85 Prozent der jüngsten Angriffe eine Rolle gespielt. Er verschafft den Angreifern den Zugang zu fast allem in einem Unternehmen: von in der Cloud verwalteten Ressourcen in öffentlichen Cloud-SaaS-Anwendungen bis hin zu Netzwerkressourcen – ohne dass Nutzdaten oder der Kontakt mit überwachten Endpunkten erforderlich wären.
Empfehlungen für Sicherheitsteams
Weil also sehr viel auf dem Spiel steht, folgen hier Empfehlungen für Sicherheitsteams – nicht nur für den Fall, dass ein IDP oder eine andere identitätsorientierte Software von einer Kompromittierung der Software-Lieferkette betroffen ist. Sondern diese Empfehlungen gelten auch für die Kompromittierung von Konten, die eine andere Ursache hat als einen Angriff auf die Lieferkette. Aus der Perspektive der Angreifer ist die Lieferkette nur einer von vielen möglichen Ansatzpunkten, um ein Benutzerkonto zu kompromittieren. Die Art und Weise, in der Angreifer dann die kompromittierten Konten für ihre Ziele nutzen, ist im Wesentlichen dieselbe – unabhängig davon, wie es zur Kompromittierung gekommen ist. Das gilt auch dafür, wie Verteidiger diese Aktionen erkennen und darauf reagieren können.
1. Die aktuelle Situation evaluieren: Sammeln Sie so viele Informationen über die Sicherheitsverletzung wie nur irgend möglich. Wenn eine dritte Partei an einer Kompromittierung beteiligt ist, kann es schwierig sein, ein vollständiges Bild des Geschehens zu erstellen. Viele Informationen kursieren und können miteinander konkurrieren: Informationen von der betroffenen Organisation selbst und Aussagen verschiedener Angreifer. Beziehen Sie mehrere Informationsquellen in Ihre Analyse ein, am besten auch Einschätzungen unabhängiger Sicherheitsexperten, um das Ausmaß des Vorfalls abzuschätzen.
2. Den ungefähren Zeitrahmen der Sicherheitsverletzung ermitteln: Nachrichten über ein Sicherheitsereignis kommen manchmal erst Wochen oder sogar Monate nach dem Angriff ans Licht. Um möglichst viele IoCs (Indicators of Compromise, d.Red.) zu finden, sollten Sie ein weites Netz auswerfen und einen realistischen Zeitrahmen festlegen, innerhalb dessen bösartige Aktivitäten stattgefunden haben könnten.
3. Eine Bestandsaufnahme von allem machen, was Ihren IDP betrifft: Moderne Unternehmen nutzen Hunderte unterschiedlicher Dienste und Anwendungen. Manchmal haben sogar die SOCs (Security Operations Center, d.Red.) Schwierigkeiten, ein genaues Bild des Inventars zu erstellen. Was man nicht kennt, kann man auch nicht angemessen schützen. Daher ist es von entscheidender Bedeutung, sich ein vollständiges Bild von allen Entitäten zu verschaffen, die der Provider bedient, um alle Konsequenzen einer Sicherheitsverletzung abzudecken.
4. Die jüngsten Aktivitäten in den Protokollen und alle ausgelösten Warnungen überprüfen: Zuverlässige und erfahrene Identitätsanbieter verfügen über gute Protokolle aller kritischen Aktivitäten innerhalb der Umgebung. Überprüfen Sie in den Protokollen alle relevanten Änderungen in der Systemkonfiguration innerhalb des zuvor ermittelten Zeitrahmens. So können Sie herausfinden, was Angreifern den Weg in Ihr Unternehmen ebnen könnte: neue Verwaltungsbenutzer, erweiterte Berechtigungen, redundante Zugangsdaten, neu installierte Anwendungen, angemeldete Geräte usw. Außerdem sollte das Security-Team alle protokollierten Sicherheitswarnungen auswerten.
5. Alle anderen Änderungen untersuchen, die einen redundanten Zugriff ermöglichen könnten: Manchmal ist die implementierte Protokollierung nicht aktiviert oder nicht weitreichend genug. Es lohnt sich, die aktuellen Sicherheitseinstellungen zu überprüfen, um festzustellen, ob etwas Ungewöhnliches geändert wurde.
- Wenn der Identity-Provider kompromittiert ist
- Schadensbegrenzung und weiteres Vorgehen
Lesen Sie mehr zum Thema
