Was ist ein auf Anmeldeinformationen basierender Angriff?
Der Diebstahl von Anmeldedaten, die erste Stufe eines auf Anmeldedaten basierenden Angriffs, ist der Prozess des Diebstahls von Anmeldedaten. Angreifer nutzen Phishing häufig für den Diebstahl von Zugangsdaten, da dies eine relativ billige und äußerst effiziente Taktik ist. Die Effektivität des Phishings von Zugangsdaten beruht auf menschlicher Interaktion, um Mitarbeiter zu täuschen, im Gegensatz zu Malware und Exploits, die auf Schwachstellen in der Sicherheitsabwehr beruhen.
Der Diebstahl von Zugangsdaten für Unternehmen ist in der Regel ein gezielter Versuch. Angreifer durchforsten soziale Netzwerke wie LinkedIn und suchen nach bestimmten Benutzern, deren Zugangsdaten den Zugriff auf wichtige Daten und Informationen ermöglichen. Die Phishing-E-Mails und -Webseiten, die für den Diebstahl von Zugangsdaten für Unternehmen verwendet werden, sind viel ausgefeilter als die für den Diebstahl von Zugangsdaten für Verbraucher. Die Angreifer geben sich große Mühe, diese E-Mails und Websites so aussehen zu lassen, dass sie fast identisch mit legitimen Unternehmensanwendungen und -kommunikation sind.
In dieser Phase der auf Anmeldeinformationen basierenden Angriffe spielt die Schulung des Sicherheitsbewusstseins eine wichtige Rolle als erste Verteidigungslinie. Leider gibt es keine Garantie dafür, dass die Mitarbeiter einen Phishing-Versuch in 100 Prozent der Fälle erkennen können. Um den Diebstahl von Zugangsdaten zu minimieren, sollten die Zugangsdaten des Unternehmens auf zugelassene Anwendungen beschränkt werden, und die Nutzung sollte für unwahrscheinliche oder unbekannte Anwendungen und Websites gesperrt werden. Sicherheitsprodukte müssen in der Lage sein, zu verhindern, dass die Zugangsdaten des Unternehmens das Netzwerk der Organisation verlassen und auf bösartige Websites weitergeleitet werden.
Was ist Missbrauch von Berechtigungsnachweisen?
Der Missbrauch von Kennwörtern, das Endspiel eines auf Kennwörtern basierenden Angriffs, ist die tatsächliche Verwendung von kompromittierten Kennwörtern, um Anwendungen zu authentifizieren und Daten zu stehlen.
Sobald ein Angreifer in den Besitz von Benutzerdaten und Kennwörtern gelangt ist, kann er diese im Untergrund der Cyberkriminalität verkaufen oder sie dazu verwenden, das Netzwerk einer Organisation zu kompromittieren, indem er alle messbaren Sicherheitsmaßnahmen umgeht, um einen Angreifer fernzuhalten, sich seitlich im Netzwerk zu bewegen und Daten zu stehlen.
In einer nicht segmentierten Umgebung kann sich ein Angreifer frei im Netzwerk eines Unternehmens bewegen. Wenn die Umgebung abgetrennt ist und einen Überblick über Benutzer und Anwendungen bietet, können Sicherheitsmaßnahmen ergriffen werden, um zu verhindern, dass ein Angreifer sich seitlich bewegt und Zugriff auf kritische Daten erhält.
Sobald ein Angreifer die Anmeldedaten hat, um wie ein gültiger Benutzer zu agieren, gibt es nur sehr wenig, was getan werden kann, um einen Eindringling zu identifizieren und zu überprüfen, ob dieser Benutzer wirklich die Person ist, für die seine Anmeldedaten ihn ausgeben. Organisationen implementieren in der Regel eine Multi-Faktor-Authentifizierung innerhalb von Anwendungen, damit Benutzer ihre Identität mehr als einmal validieren müssen. Dies für jede einzelne Anwendung in der Organisation zu tun, ist jedoch nicht skalierbar. Die Implementierung einer richtlinienbasierten Multi-Faktor-Authentifizierung auf der Netzwerkebene, d.h. in der Firewall, sorgt für den erforderlichen Umfang und die Benutzerfreundlichkeit.
Die Palo Alto Networks Next-Generation Security Platform unterbricht den Lebenszyklus eines auf Anmeldeinformationen basierenden Angriffs an mehreren Stellen, vom Diebstahl der Anmeldeinformationen bis zum Missbrauch der gestohlenen Anmeldeinformationen. Die kombinierten Präventionsfunktionen von Next-Generation Firewall, Threat Prevention, WildFire und URL Filtering stoppen bekannte und unbekannte Angriffe, die für den Diebstahl und den Missbrauch von Zugangsdaten genutzt werden, während GlobalProtect den Schutz von der Plattform auf mobile Arbeitskräfte ausweitet und zusätzliche Maßnahmen zur Identifizierung von Benutzern und Geräten bietet, die auf Anwendungen zugreifen.
