Privilegierte Accounts und Dienste bilden ein Sicherheitsrisiko für die jeweiligen Unternehmen. Wie aus einer aktuellen Studie hervorgeht, sind viele Betriebe nicht in der Lage, zu überprüfen, ob die Konten kompromittiert wurden.
Die Nutzung privilegierter Konten wird in den meisten Unternehmen nur selten überprüft – auch dann nicht, wenn eigentlich Instrumente für das Zugriffsmanagement zur Verfügung stehen würden. Für die betreffenden Firmen kann dies erhebliche Risiken mit sich bringen: werden privilegierte Konten nämlich für Sabotage, Datendiebstahl, Industriespionage oder die Verbreitung von Ransomware missbraucht, sind die Schäden oft beträchtlich, schreiben die Experten des IT-Unternehmens Vectra in einer vor kurzem veröffentlichten Studie.
Diese Einschätzung wird auch von der US-Sicherheitsbehörde NSA geteilt: nicht von ungefähr steht der Schutz von Privilegien und Konten auf Platz zwei der NSA-Rangliste der zehn wichtigsten Strategien zur Wahrung der Cybersicherheit.
Privilegierte Zugriffe von unbekannten Hosts aus als Hauptrisiko
Von allen, für die Studie untersuchten Anomalien, waren potenziell gefährliche, privilegierte Zugriffe von einem unbekannten Host aus, die am häufigsten festgestellten Auffälligkeiten (74 Prozent aller entdeckten Anomalien), wie es heisst.
Bei einem privilegierten Zugriff von einem unbekannten Host aus wird ein privilegierter Account dazu verwendet, um von einem Host aus Zugriff auf einen Dienst zu erhalten, für den der Account a) normalerweise nicht aktiviert ist und b) von dem aus der Zugriff normalerweise nicht erfolgt. Laut den Vectra-Experten gibt es dafür zwei mögliche Szenarien: beim ersten verschafft sich ein Angreifer die Kontrolle über den Account und verwendet ihn von einem unüblichen Host aus. Dies, um einen oder mehrere Services zu nutzen, die zwar normal sind für den Account, nicht aber für den Nutzer.
Im zweiten Szenario wird einem Mitarbeitenden oder Drittpartner mit Zugriffsgenehmigung zum Netzwerk, der konstant von einem bestimmten Set von Hosts aus arbeitet, ein neuer Host zugewiesen (bzw. er entscheidet sich dafür, von einem anderen Host aus zu arbeiten). Dieser Fall stellt zwar im Gegensatz zum ersten an sich kein Problem dar, weil der Mitarbeitende legitime Arbeiten ausführt. Die Tatsache, dass diese Zugriffsart in vielen Unternehmen möglich ist, bildet jedoch ein generelles Sicherheitsrisiko, so die Autoren der Studie.
Finanzbranche und Gesundheitswesen am stärksten betroffen
Am stärksten von Anomalien beim privilegierten Zugriff betroffen waren Unternehmen aus der Finanz- und Versicherungsbranche, aus dem Gesundheitswesen sowie Bildungsinstitutionen, wie es heisst. Insgesamt entfiel beinahe die Hälfte (47 Prozent) aller entdeckten Anomalien auf diese drei Branchen.
Über alle untersuchten Branchen hinweg beobachteten die Vectra-Forscher von Juli bis Dezember 2019 insgesamt 215 Fälle von Angreifer-Verhalten pro 10‘000 Hosts. Dies entspricht einem Rückgang gegenüber den 282 festgestellten Fällen im ersten Halbjahr 2019.
Im Rahmen der Studie untersuchten die Experten von Vectra das aktive und anhaltende Angriffsverhalten in mehr als fünf Millionen Workloads und Geräten aus Clouds, Rechenzentren und Unternehmensumgebungen des Kundenstamms des Unternehmens.
