{"id":20864,"date":"2022-04-07T11:27:00","date_gmt":"2022-04-07T09:27:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=20864"},"modified":"2022-04-04T10:51:03","modified_gmt":"2022-04-04T08:51:03","slug":"administratoren-die-gefahr-im-innern","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=20864","title":{"rendered":"Administratoren \u2013 die Gefahr im Innern"},"content":{"rendered":"\n

Autor\/Redakteur: Stefan Molls, RVP – Product SME \/ Risk & Security bei Tanium<\/a>\/gg<\/p>\n\n\n\n

Nicht selten schaffen es Phishing-Mails an den Spamfiltern und Virenscannern vorbei. Ist ein Angreifer erst einmal ins Netzwerk vorgedrungen, indem er einen einzelnen Rechner unter Kontrolle gebracht hat, geht es meist erstaunlich einfach, kritische Systeme zu gef\u00e4hrden. Denn werden Pfade, die \u00fcber gro\u00dfz\u00fcgig vergebene oder irrt\u00fcmlich verteilte Zugriffsrechte offenstehen, nicht abgeschnitten, drohen drastische Sch\u00e4den f\u00fcr das betroffene Unternehmen. Weit verbreitete Angriffswege k\u00f6nnen jedoch mit ein paar kleinen \u00c4nderungen und einfachen Ma\u00dfnahmen deutlich einged\u00e4mmt werden \u2013 vorausgesetzt, diese wurden zuvor auch implementiert.<\/p>\n\n\n\n

\"\"<\/a>
Screenshot: Sysbus<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Der Administrator als Einfallstor<\/strong><\/p>\n\n\n\n

Oftmals f\u00e4llt es Unternehmen schwer, sicher einzusch\u00e4tzen, wie viele Benutzer \u00fcber Administratorrechte auf Laptops oder gesch\u00e4ftskritischen Systemen verf\u00fcgen. Dar\u00fcber hinaus k\u00f6nnen sie meist nicht erkennen, wer diese Benutzer sind, da die n\u00f6tige Transparenz fehlt.<\/p>\n\n\n\n

Diese Tatsache machen sich Cyberkriminelle gerne zunutze, um in Unternehmensnetzwerke einzudringen. Leider gen\u00fcgt es hierf\u00fcr bereits, die Anmeldeinformationen eines Benutzers mit Administrationsrechten zu stehlen, um sich von Computer zu Computer zu hangeln und kreuz und quer durch das IT-\u00d6kosystem zu bewegen. Um dieses Lateral Movement zu unterbinden, ben\u00f6tigen Unternehmen ein dediziertes und umsetzbares Echtzeit-Reporting \u00fcber Benutzer, Endpunkte und Gruppen.<\/p>\n\n\n\n

Ein zentraler Schritt, um solche Angriffe bereits im Keim zu ersticken, ist der Entzug lokaler Administratorrechte. Besonders die standardm\u00e4\u00dfig integrierten Administratorkonten, \u00fcber die jeder Rechner verf\u00fcgt, stellen ein gro\u00dfes Risiko dar. Nicht selten werden viele von diesen Rechnern mit denselben Login-Daten verwaltet, sodass theoretisch jeder im Unternehmen, der \u00fcber lokale Administratorrechte verf\u00fcgt, uneingeschr\u00e4nkt agieren und beispielsweise unerlaubte Programme installieren oder Systemkonfigurationen \u00e4ndern k\u00f6nnte. Doch auch f\u00fcr unbefugte Dritte sind diese lokalen Administratorrechte eine einfache M\u00f6glichkeit, weitere Zugangsdaten zu entwenden, um sich sukzessive durch das Netzwerk zu bewegen, bis sie in den Besitz der wesentlich lukrativeren Domain-Administrator-Accounts oder anderer privilegierter Benutzerkonten kommen. Hier gen\u00fcgen den Hackern bisweilen schon zwei Stationen, um zu kritischen Assets zu gelangen. Umso wichtiger ist es, dass IT-Verantwortliche in der Lage sind, alle lokalen Administratorrechte aufzusp\u00fcren und sie einzelnen Nutzern gegebenenfalls zu entziehen.<\/p>\n\n\n\n

Transparenz schaffen<\/strong><\/p>\n\n\n\n

Haben es Angreifer \u00fcber einen kompromittierten Endpunkt geschafft, in das Netzwerk einzudringen, werden sie diesen nach Login-Daten f\u00fcr andere Anwendungen und Endpunkte durchforsten. Im Erfolgsfall sind sie anschlie\u00dfend in der Lage, sich heimlich von Ger\u00e4t zu Ger\u00e4t entlangzuhangeln. Das Ausma\u00df des Schadens h\u00e4ngt davon ab, inwieweit Unternehmen im Stande sind, dieses Lateral Movement einzuschr\u00e4nken. Hierzu m\u00fcssen sie verstehen, wie diese Technik funktioniert.<\/p>\n\n\n\n

Lateral Movement h\u00e4ngt vom Zugang zu den Berechtigungen f\u00fcr Nutzer, Gruppen und Endpunkte ab. Viele IT-Verantwortliche glauben zu wissen, wie viele Benutzer- und Gruppenberechtigungen eingerichtet wurden \u2013 doch die Realit\u00e4t ist eine andere. Nicht selten gew\u00e4hren Standardberechtigungskonfigurationen versehentlich jedem Nutzer Zugriff auf ein Administratorkonto und somit auf alle Endpunkte der gesamten Organisation. Vollst\u00e4ndige Transparenz \u00fcber alle Konten und Zugriffsrechte ist daher die Grundlage f\u00fcr eine Risikoeinsch\u00e4tzung und n\u00f6tige Einschnitte in der Zuweisung von Berechtigungen.<\/p>\n\n\n\n

Oftmals ist das Lateral Movement ein langsamer, vorsichtiger und auff\u00e4lliger Prozess, doch bisweilen handelt es sich auch um ein blitzschnelles \u00dcberwinden von Endpunkten, das mittels Malware automatisiert wird, welche administrative Fehler ausnutzt oder sich ungepatchte Sicherheitsl\u00fccken zunutze macht. Wie bereits erw\u00e4hnt, besteht eine M\u00f6glichkeit, sich vor Lateral Movement zu sch\u00fctzen, darin, die Zugriffsrechte einzuschr\u00e4nken. Allerdings gestaltet es sich zumeist schwierig, in Unternehmen mit Tausenden von Nutzern und Endpunkten und Dutzenden von Benutzergruppen den \u00dcberblick zu behalten, sodass es immens viel Zeit kostet, sich in m\u00fchsamer Handarbeit einen \u00dcberblick \u00fcber die Zugriffsrechte zu verschaffen \u2013 ganz abgesehen von der Fehlerquote einer solchen Prozedur.<\/p>\n\n\n\n

Unternehmen ben\u00f6tigen daher ein Tool, das die n\u00f6tige Visibilit\u00e4t bietet, um Zugriffsrechte und die damit verbundenen Schwachstellen zu identifizieren. Dar\u00fcber hinaus m\u00fcssen die Beziehungen zwischen Nutzern, Gruppen und Endpunkten mit hoher Geschwindigkeit und in gro\u00dfem Umfang analysiert werden, um das Lateral-Movement-Potenzial zu bestimmen. Bestenfalls besteht au\u00dferdem die M\u00f6glichkeit, den administrativen Bereich und das Lateral-Movement-Risiko zu visualisieren und in einen Kontext zu stellen, um eine Priorisierung von Abhilfema\u00dfnahmen zu vorzunehmen.<\/p>\n\n\n\n\n\n\n\n

In f\u00fcnf Schritten die Kontrolle zur\u00fcckerobern<\/strong><\/p>\n\n\n\n

Bei der Auswahl einer ad\u00e4quaten L\u00f6sung, die vor lateralen Bewegungen bei Cyberangriffen sch\u00fctzt, sollten Unternehmen daher f\u00fcnf Aspekte in Erw\u00e4gung ziehen:<\/p>\n\n\n\n

  • M\u00f6glichkeit der Dokumentation seitlicher Bewegungspfade zu und von den analysierten Nutzern, Gruppen und Endpunkten
    <\/strong>Anstatt komplizierter Netzwerkdiagramme sollte den Verantwortlichen eine leicht verst\u00e4ndliche grafische Darstellung des Lateral-Movement-Potenzials zur Verf\u00fcgung stehen, welche dedizierte Verbindungen zu und von jedem Benutzer, jeder Gruppe und jedem Endpunkt anzeigt. W\u00e4hrend eingehende Pfade Aufschluss dar\u00fcber geben, welche anderen Konten sich bei einem Endpunkt im Netzwerk aus anmelden k\u00f6nnen, stellen ausgehende Pfade dar, auf welche anderen Konten und Endger\u00e4te ein Endpunkt selbst zugreifen kann \u2013 und damit, welche anderen Einfallstore sich den Angreifern er\u00f6ffnen, wenn der entsprechende Endpunkt kompromittiert wird.<\/li><\/ul>\n\n\n\n
    • Meldung der Zugriffsdaten f\u00fcr die gesamte Organisation \u2013 nicht nur f\u00fcr ein lokales Netzwerk
      <\/strong>In gro\u00dfen Unternehmen m\u00fcssen die Sicherheitsteams das Risiko von Seitw\u00e4rtsbewegungen \u00fcber alle Endpunkte hinweg verstehen. Schlie\u00dflich k\u00f6nnen Angreifer mit Zugriff auf Anmeldedaten schnell von einem B\u00fcronetzwerk in ein anderes wechseln. Ein zentrales, umfassendes Reporting-Tool, das sich auf Hunderttausende verteilte Endpunkte skalieren l\u00e4sst, bietet IT-Teams die M\u00f6glichkeit, die Risiken im Zusammenhang mit Lateral Movement f\u00fcr die verwalteten Endpunkte zu verstehen und einzud\u00e4mmen.<\/li><\/ul>\n\n\n\n
      • Integration von Sitzungsdaten in die Analyse, um die Risiken von vergangenen Angriffen nachvollziehen zu k\u00f6nnen
        <\/strong>Wenn sich ein Benutzer an einem Endpunkt anmeldet, k\u00f6nnen diese Login-Daten im Speicher des Endpunkts verbleiben, bis dieser neu gestartet wird. Angreifer verwenden Tools zum Diebstahl von Anmeldeinformationen wie Mimikatz, um Anmeldeinformationen, Hashes, Token und PINs aus dem Speicher zu lesen und sie f\u00fcr den Zugriff auf andere Endger\u00e4te zu verwenden. Eine L\u00f6sung, die nachverfolgt, welche Anmeldeinformationen an Endpunkten offengelegt werden, hilft den IT-Teams, die mit dem Benutzer oder Endger\u00e4t verbundenen Sicherheitsrisiken zu verstehen. Diese Informationen zu sammeln, ist wichtig, um laterale Bewegungen zu stoppen. Wenn Sicherheitsanalysten ein Eindringen in das Netzwerk feststellen, m\u00fcssen sie so schnell wie m\u00f6glich herausfinden, welche Endpunkte kompromittiert wurden und welche Benutzerberechtigungen auf diesen Endpunkten verwendet werden k\u00f6nnten, um andere zu kompromittieren.<\/li><\/ul>\n\n\n\n
        • Identifizierung der direkten und indirekten Zugriffsm\u00f6glichkeiten, um potenzielle Pfade und somit alle Risiken zu bewerten
          <\/strong>Direkte Kontrolle bedeutet, dass ein Benutzer administrative Kontrolle \u00fcber ein Ger\u00e4t hat. Indirekte Kontrolle bedeutet, dass ein Benutzer zu einer oder mehreren Gruppen mit administrativer Kontrolle \u00fcber einen Endpunkt geh\u00f6rt. Um das Risiko lateraler Bewegungen zu verstehen, ben\u00f6tigen Sicherheitsanalysten einen Einblick in die direkte und indirekte Kontrolle f\u00fcr ihre Endpunkte. Denn die Zugriffsberechtigungen werden mit der Zeit immer komplexer: Benutzer werden Gruppen zugewiesen, und einige dieser Gruppen werden sp\u00e4ter anderen Gruppen zugewiesen. Um jedoch in der Lage zu sein, Risiken effektiv einzud\u00e4mmen, m\u00fcssen verschachtelte Gruppenstrukturen erkannt und verstanden werden. Durch die Analyse der direkten und indirekten Kontrolle, die Benutzer \u00fcber Endpunkte haben, sowie der Sitzungsdaten erhalten Sicherheitsteams einen umfassenden Einblick, um das Risiko lateraler Bewegungen einzusch\u00e4tzen und dieses Risiko so weit wie m\u00f6glich zu minimieren.<\/li><\/ul>\n\n\n\n
          • Risikobewertung f\u00fcr Benutzer, Gruppen und Endpunkte
            <\/strong>Ist eine Analyse der Zugriffsrechte erfolgt, lohnt es sich, basierend auf der Gefahr, denen Endpunkte, Benutzer und Gruppe aufgrund von Angriffen durch Lateral Movement ausgesetzt sind, eine Risikobewertung zu erstellen. In diesem Impact Rating kommen folgende Faktoren zum Tragen: potenzieller eingehender Einfluss durch Benutzer, potenzieller eingehender Einfluss durch Endpunkte, potenzielle Auswirkung nach au\u00dfen durch Benutzer, potenzieller ausgehender Einfluss durch Endpunkte. Eine solche Bewertung hilft Sicherheitsteams in zweierlei Hinsicht: So lassen sich auf diese Weise sowohl proaktive Ma\u00dfnahmen als auch Warnungen anderer Security-Reporting-Tools priorisieren, um kritische Sicherheitsl\u00fccken rasch zu schlie\u00dfen.<\/li><\/ul>\n\n\n\n

            Fazit<\/strong><\/p>\n\n\n\n

            Wie die j\u00fcngsten Cyberangriffe gezeigt haben, k\u00f6nnen sich Cyberkriminelle in vielen F\u00e4llen frei durch das Unternehmensnetzwerk bewegen, in das sie durch eine Schwachstelle eindringen. Mittels lateraler Bewegungen l\u00e4sst sich das Ausma\u00df ihrer Angriffe ausweiten und die Wahrscheinlichkeit erh\u00f6hen, dass wertvolle Daten gestohlen oder manipuliert werden.<\/p>\n\n\n\n

            Um die M\u00f6glichkeiten eines Angreifers zu reduzieren, sich auf diese Weise zu bewegen, ben\u00f6tigen IT-Organisationen detaillierte Reports \u00fcber Nutzer, Endpunkte und Gruppen. Klare Visualisierungen und Risikoanalysen helfen dabei, effektiv zu handeln \u2013 sei es durch proaktives Risikomanagement oder durch eine rasche Reaktion auf Bedrohungen.<\/p>\n","protected":false},"excerpt":{"rendered":"

            Nicht selten schaffen es Phishing-Mails an den Spamfiltern und Virenscannern vorbei. Ist ein Angreifer erst einmal ins Netzwerk vorgedrungen, indem er einen einzelnen Rechner unter Kontrolle gebracht hat, geht es meist erstaunlich einfach, kritische Systeme zu gef\u00e4hrden. Denn werden Pfade, die \u00fcber gro\u00dfz\u00fcgig vergebene oder irrt\u00fcmlich verteilte Zugriffsrechte offenstehen, nicht abgeschnitten, drohen drastische Sch\u00e4den f\u00fcr das betroffene Unternehmen. Weit verbreitete Angriffswege k\u00f6nnen jedoch mit ein paar kleinen \u00c4nderungen und einfachen Ma\u00dfnahmen deutlich einged\u00e4mmt werden \u2013 vorausgesetzt, diese wurden zuvor auch implementiert.<\/p>\n","protected":false},"author":3,"featured_media":20865,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[3256,16337,3392,15508,268],"class_list":["post-20864","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-administrator","tag-lateral-movement","tag-phishing","tag-tanium","tag-virus"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20864","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=20864"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20864\/revisions"}],"predecessor-version":[{"id":20866,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/20864\/revisions\/20866"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/20865"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=20864"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=20864"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=20864"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}