Kompromittierte Konten werden zu einer Waffe - Stoppen Sie die Kompromittierung von Zugangsdaten jetzt

Kompromittierung von Zugangsdaten: Was Sie wissen müssen

Kompromittierte Benutzerkonten waren schon immer das größte - und einfachste - Cybersicherheitsrisiko in Unternehmen. Gestohlene Zugangsdaten waren das Mittel der Wahl für mehr als 40% der Angriffe im Jahr 2022, so der Data Breach Investigations Report 2022 von Verizon. Benutzeranmeldeinformationen machen auch 63% der gestohlenen Daten aus - ein deutliches Zeichen dafür, dass Ihr Unternehmen nicht das einzige ist, das den Wert dieser Daten kennt.

Schließlich ist es am einfachsten, in ein System einzudringen oder auf wertvolle Daten oder Vermögenswerte zuzugreifen, wenn man den "Schlüssel" in Form von legitimen Benutzeranmeldeinformationen hat. Aber hier ist der Teil, der alarmierend ist: Die Zahl der kompromittierten Zugangsdaten und der kompromittierten Benutzerkonten nimmt zu.

Wie Credentials kompromittiert werden

Der Diebstahl von Zugangsdaten beginnt nicht immer mit fortgeschrittenen Angriffen - die meisten Angriffe auf Zugangsdaten beginnen mit einfachen Fehlern, schlechter digitaler Hygiene oder wiederverwendeten Passwörtern. Angreifer wissen, dass es einfacher ist, mit gültigen Anmeldedaten einzudringen als einzubrechen.

Zu den üblichen Wegen gehören:

• Phishing und Social Engineering: Die am weitesten verbreitete Methode zum Diebstahl von Anmeldedaten, oft getarnt als legitime Anfragen zum Zurücksetzen von Passwörtern oder als Einladung zur Zusammenarbeit.
• Brute-Force- und Wörterbuch-Angriffe: Automatisierte Tools erraten schwache oder wiederverwendete kompromittierte Passwörter, bis sie Zugang erhalten.
• Infostealer und Keylogger: Malware sammelt unbemerkt gespeicherte Passwörter oder Autofill-Daten von Browsern und Passwort-Managern.
• Missbrauch von OAuth und Token: Angreifer bringen Benutzer dazu, bösartigen Anwendungen übermäßige Zugriffsrechte zu gewähren.
• Weiterverkauf im Dark Web: Massive Dumps von Zugangsdaten aus früheren Einbrüchen führen zu neuen Wellen des Missbrauchs von Zugangsdaten bei verschiedenen Diensten

Jeder dieser Angriffspunkte zielt auf das schwächste Glied - das menschliche Vertrauen - und nutzt es aus, um Systeme zu infiltrieren, ohne sofortigen Alarm auszulösen.

Verständnis der Kompromittierung von Zugangsdaten in einer Welt nach der Pandemie 

Laut Microsoft haben die Angriffe auf Passwörter und Benutzerdaten im Jahr 2022 um 74% zugenommen, was einer Rate von 921 Angriffen pro Sekunde entspricht. Atemberaubende 75% der von Menschen durchgeführten Ransomware-Angriffe wurden ebenfalls mit kompromittierten Benutzerkonten mit erweiterten Zugriffsrechten ausgeführt. Tatsächlich sind kompromittierte Zugangsdaten heute die häufigste Quelle für Cyberangriffe auf Unternehmen.

Was ist der Grund für den Anstieg der kompromittierten Konten? Mitarbeiter waren die Ursache für 22% der Datenlecks - 36% davon wurden von verärgerten Mitarbeitern verursacht.  Und wie Verizon feststellte, ist eine der beliebtesten Datenarten, die Cyberkriminelle erbeuten, Anmeldedaten. Die meisten Unternehmen stellen sich auf die Idee einer hybriden Belegschaft ein und haben mit Volldampf Richtlinien für BYOD, cloudbasierte Apps für Produktivität und gemeinsame Nutzung und vieles mehr eingeführt. In der Ära nach der Pandemie führt dies alles zu einer viel breiteren digitalen Landschaft - oder Bedrohungslandschaft. Mehr Konten und mehr Benutzeranmeldedaten. Mehr Remote- und Off-Network-Aktivitäten.  All dies führt zu einem erhöhten Risiko eines Einbruchs, weil die Identitätssicherheit nicht schnell genug Schritt halten kann. Nehmen Sie zum Beispiel diese Statistik: Nur 40% der Unternehmen haben entweder keine oder eine schwache MFA implementiert, so dass viele Geräte und Konten ungesichert sind.

Risiken und Folgen kompromittierter Anmeldedaten

Wenn Anmeldedaten in die falschen Hände geraten, geht der Schaden über den Datenverlust hinaus. Die wahren Kosten liegen in den Auswirkungen eines erfolgreichen Verstoßes auf den Betrieb und den Ruf des Unternehmens.

• Offenlegung von Daten: Kompromittierte Konten geben Angreifern direkten Zugang zu sensiblen Informationen - von Kundendaten und geistigem Eigentum bis hin zur internen Kommunikation.
• Unterbrechung des Geschäftsbetriebs: Angreifer können kompromittierte Anmeldedaten ausnutzen, um Ransomwareeinzusetzen oder finanzielle Transaktionen zu manipulieren.
• Regulatorische Strafen: Unbefugter Datenzugriff verstößt oft gegen Datenschutzgesetze, was zu Geldstrafen und Verstößen gegen die Vorschriften führt.
• Kontoübernahme (ATO): Bedrohungsakteure verwenden gültige Anmeldedaten, um sich als Führungskräfte auszugeben, MFA zurückzusetzen oder interne Phishing-Kampagnen zu starten.
• Blinde Flecken bei Sicherheitsmaßnahmen: Da diese Aktionen "legitim" erscheinen, umgehen sie oft die traditionellen Schutzmaßnahmen und Alarmschwellen.

Kurz gesagt, kompromittierte Anmeldedaten öffnen nicht nur eine Tür - sie schaffen einen vertrauenswürdigen Weg für Angreifer, um unsichtbar zu operieren.

Arten von Diebstahl von Zugangsdaten

Es gibt unzählige Arten von Angriffen, Schemata und Plänen, um kompromittierte Zugangsdaten zu sammeln. Die meisten lassen sich jedoch in drei Kategorien einteilen:

• Brute-Force-Angriffe: Bei einem Brute-Force-Angriff wird das Passwort für ein bestimmtes Konto systematisch überprüft oder erraten. Der Angreifer verwendet in der Regel ausgeklügelte Algorithmen, um alle möglichen Kombinationen zu testen, bis er die richtige gefunden hat. 51% der Cyberkriminellen setzen diese einfache Methode in ihrem Arsenal ein, da sie einfach und effektiv ist, um schwache Cloud-Sicherheit zu knacken.
• Credential Stuffing: Dank der zunehmenden Zahl von Datenschutzverletzungen in den letzten Jahren gibt es jetzt riesige Mengen an kompromittierten Zugangsdaten, die im Dark Web zum Kauf angeboten werden - oft für einen Pfennig pro Stück. Bei einem Credential Stuffing-Angriff erwirbt ein Cyberkrimineller kompromittierte Anmeldedaten - und "stopft" diese Anmeldedaten dann in Anmeldeseiten von Systemen, Netzwerken und Anwendungen, bis er auf ein kompromittiertes Benutzerkonto stößt. Dies wird auch als Credential-Recycling bezeichnet, da es im Wesentlichen die kompromittierten Zugangsdaten verwendet, die bei einem früheren Angriff (in der Regel Brute-Force) gestohlen wurden. Cybersecurity Insiders berichtet, dass 34% der Unternehmen Opfer von Angriffen zum Ausfüllen von Anmeldedaten wurden.
• Social Engineering (Phishing): Noch häufiger als das Erraten von Passwörtern oder der Kauf kompromittierter Zugangsdaten ist der Einsatz kreativer Social-Engineering-Methoden wie Phishing, um Zugangsdaten zu stehlen. IBM berichtet, dass Phishing in mehr als 41% Unternehmen die Hauptmethode war, um an Zugangsdaten zu gelangen - bei 62% dieser Angriffe wurde Spear Phishing eingesetzt. Und um das zu beweisen, stieg die Häufigkeit von Phishing-Angriffen gegen Ende 2022 um 50%. IBM hob hervor, dass erfolgreiche Angriffe Benutzerdaten enthüllten und einen durchschnittlichen Schaden von 4,91 Millionen Dollar verursachten.

Wie können Sie kompromittierte Anmeldedaten verhindern?

1. Umstellung auf passwortlose und "Phishing-resistente" Authentifizierung

Der effektivste Weg, das Risiko eines Passwortdiebstahls zu verringern, ist, Passwörter nicht mehr als primären Authentifizierungsmechanismus zu verwenden!  Mehrere Anbieter von Identity-as-a-Service (IDaaS) bieten jetzt passwortlose Authentifizierungsmechanismen an, mit denen sich Benutzer nahtlos mit ihrem Fingerabdruck oder ihrer Gesichtserkennung bei Systemen anmelden können. Dies ist nicht nur eine sicherere Form der Authentifizierung, sondern verringert auch die Reibungsverluste, da es für Ihre Endbenutzer einfacher ist, sich anzumelden!

2. Implementieren Sie eine starke Passwortrichtlinie

Wenn der Verzicht auf Passwörter für Ihr Unternehmen nicht in Frage kommt, können Sie das Risiko kompromittierter Zugangsdaten auch dadurch verringern, dass Sie die Zugangsdaten selbst schwieriger zu kompromittieren machen. Das bedeutet, dass Sie eine Richtlinie für sichere Passwörter entwickeln und durchsetzen müssen, die von allen Benutzern verlangt, dass sie die bewährten Verfahren zur Erstellung - und regelmäßigen Änderung - sicherer Passwörter befolgen und sicherstellen, dass Passwörter nicht für verschiedene Geräte, Anwendungen oder andere Konten wiederverwendet werden.

3. Trainieren Sie Ihre Benutzer

Kompromittierte Zugangsdaten und kompromittierte Benutzerkonten fallen unter den Begriff des Insider-Risikos, und das Insider-Risiko ist ein menschliches Problem. Einer der effektivsten Wege, die Probleme der Menschen zu lösen, ist das Gespräch mit Ihren Mitarbeitern. Ein Drittel der Arbeitnehmer gibt jedoch an, dass ihre Unternehmen keine zusätzlichen Schulungen zur Cybersicherheit angeboten haben, seit die Pandemie den Ort, die Zeit und die Art ihrer Arbeit dramatisch verändert hat. Regelmäßige Schulungen über bewährte Methoden der Passwortverwaltung und darüber, wie man Phishing-Methoden erkennt und vermeidet, können viel bewirken.

4. Verwenden Sie einen Passwort-Manager

Eine der einfachsten Möglichkeiten, Ihren Benutzern bei der Pflege sicherer Passwörter zu helfen, ist die Verwendung eines Passwortmanagers. Diese Werkzeuge sind allgegenwärtig und werden immer wirtschaftlicher und benutzerfreundlicher. Aber die beiden Dinge, an die Sie denken sollten, sind 1) sicherzustellen, dass der Passwort-Manager selbst sicher und gut gegen Hacker geschützt ist, und 2) sicherzustellen, dass die Benutzer die Funktion zur automatischen Generierung nutzen, die heute in fast jedem Passwort-Manager verfügbar ist und die Passwörter mit einer viel höheren Komplexität und Zufälligkeit generiert (und speichert), als es ein Mensch jemals könnte.

5. Verwenden Sie die Multi-Faktor-Authentifizierung (MFA)

MFA kann einen Angreifer auf der Stelle stoppen. Sie haben vielleicht kompromittierte Anmeldedaten, aber sie haben mit ziemlicher Sicherheit keinen Zugriff auf die sekundäre (oder tertiäre) Form der Identitätsüberprüfung (wie einen einmaligen Passcode, der an das Mobilgerät des legitimen Benutzers gesendet wird).  Und Unternehmen beginnen, MFA als Notwendigkeit und nicht als Luxus zu betrachten - Yubico berichtet, dass mehr als 24% der Unternehmen aktiv eine Phishing-resistente MFA der nächsten Generation implementieren, die den Bundesrichtlinien entspricht, während weitere 32% dies in Betracht ziehen.

6. Fokus auf privilegierte Konten

Das ultimative Ziel von Angriffen mit kompromittierten Zugangsdaten ist es, sich Zugang zu wertvollen Daten oder Vermögenswerten zu verschaffen. Es ist daher nicht überraschend, dass hochrangige Mitarbeiter und andere Personen mit privilegiertem Zugang die größten Ziele sind. Die Lösung ist zweifach: Erstens: Konzentrieren Sie sich auf die Überprüfung der Zugriffsrechte. Der Bericht von Verizon ergab, dass über 80% der Mitarbeiter ihre Zugriffsrechte missbrauchen - ein starkes Argument, um sich auf das Prinzip des geringsten Privilegs zu berufen. Zweitens: Verstärken Sie die Zugriffsverwaltungsprotokolle für Ihre (nun geprüften) privilegierten Konten. Microsoft weist darauf hin, dass in 88% der Ransomware-Angriffe keine MFA für sensible und hoch privilegierte Konten implementiert wurde, während der Bericht von Yubico feststellt, dass nur IT-Administratoren, ihre Teams und Drittanbieter ausreichend mit MFA abgedeckt waren.

Wie Sie die Kompromittierung von Zugangsdaten erkennen, bevor Ihr Konto Schaden nimmt

Wie andere Formen der Insider-Bedrohung und des Insider-Risikos sind kompromittierte Anmeldedaten letztlich auf menschliche Faktoren zurückzuführen: schlechte Passworthygiene, Phishing usw. Der Vorteil ist, dass kleine Änderungen erhebliche Auswirkungen auf die Risiken durch den menschlichen Faktor haben können. Der Nachteil ist, dass der Mensch immer unvollkommen sein wird (und Cyberkriminelle unglaublich effizient darin sind, Fehler der Benutzer auszunutzen), so dass kompromittierte Benutzerkonten nicht vollständig verhindert werden können. Während es sich also lohnt, Zeit und Budget in die Prävention zu investieren, ist es auch wichtig, in Strategien zur Erkennung von Anomalien und Abnormalitäten zu investieren, die auf kompromittierte Konten hindeuten - und schnell und effektiv zu untersuchen und zu reagieren.

Vergewissern Sie sich, dass Sie die Endpunkte im Blick haben - remote, in der Cloud, im und außerhalb des Netzwerks

Die ersten Anzeichen für kompromittierte Zugangsdaten kommen oft von den Endgeräten der Benutzer. Sicherheitsteams müssen also einen Einblick in die Endpunkte haben - und zwar sowohl in die Aktivitäten innerhalb als auch außerhalb des Netzwerks, da Benutzer aufgrund von Remote- und flexiblen Arbeitsmodellen zunehmend außerhalb des VPN arbeiten. Falls Sie dies noch nicht getan haben, ist die Automatisierung der Endpunkt-Bestandsverwaltung der erste Schritt, um diese Transparenz zu erlangen. Sie sollten auch Einblick in die Aktivitäten im Web und in der Cloud haben, da im Web und in der Cloud gehostete E-Mails in vielen Unternehmen inzwischen die Norm sind.

Legen Sie eine Basislinie für "normal" fest - damit Sie ein klares Signal für das tatsächliche Risiko erhalten

Wenn Sie alle Benutzer- und Dateiaktivitäten sehen können, einschließlich der Aktivitäten auf Endgeräten, im Internet und in der Cloud, ist es viel einfacher, die Frage zu beantworten: "Wie sieht der Normalzustand aus?" Diese Basislinie hilft Ihnen, das Rauschen der täglichen Aktivitäten auszublenden - all die Datei- und Datenbewegungen, die die moderne Kultur der Zusammenarbeit ausmachen - und schneller und genauer zu erkennen, wenn das Benutzerverhalten von der Norm abweicht. Kurz gesagt, wenn Sie feststellen, dass Benutzer auf Dateien zugreifen, sie verschieben, umbenennen oder gemeinsam nutzen, und zwar auf eine Art und Weise oder zu einem Zeitpunkt, die nicht in das Muster passen, haben Sie ein eindeutiges Risikosignal, das eine sofortige genauere Untersuchung erfordert.

Beschleunigen Sie Ihre Ermittlungen und Reaktionen - mindern Sie den Schaden

Der gleiche tiefe kontextbezogene Einblick in alle Benutzer- und Datei-Aktivitäten ist ein mächtiger Treibstoff, um Ihre Untersuchung und Reaktion auf potenziell gefährdete Benutzerkonten zu beschleunigen. Sicherheitsteams können schnell kontextbezogene Informationen über Datei- und Datenbewegungen auswerten, um festzustellen, welche Benutzerkonten betroffen waren, auf welche Systeme oder Assets zugegriffen wurde und welche Daten oder Dateien betroffen waren - bis hin zu der Frage, wann und wohin diese wertvollen Daten bewegt wurden. Die gründliche Untersuchung führt zu einer schnellen, angemessenen Reaktion - sei es die Sperrung von Konten oder Geräten, die Einleitung proaktiver rechtlicher Schritte zum Schutz des Unternehmens oder die Weiterleitung des Vorfalls an die Behörden zur Bearbeitung. Darüber hinaus verkürzt die sofortige, tiefgreifende und kontextbezogene Transparenz die Zeit von der Entdeckung kompromittierter Anmeldedaten bis zur Neutralisierung der Bedrohung und hilft so, den Schaden eines erfolgreich kompromittierten Benutzerkontos zu minimieren.

Erfahren Sie mehr darüber, wie Mimecast Incydr Ihnen helfen kann, kompromittierte Zugangsdaten zu erkennen und sich vor Datenverlusten durch kompromittierte Benutzerkonten zu schützen.