Compromised Credentials: Everything You Need to Know
Eine Kompromittierung von Anmeldeinformationen liegt vor, wenn Zugriffsschlüssel für ein legitimes Konto gestohlen und von Angreifern verwendet werden. Es stellt ein großes Risiko für jede Ressource dar, die mit dem ansonsten vertrauenswürdigen Konto verbunden ist, und gibt Angreifern die Möglichkeit, langfristige und hochkomplexe Angriffe zu starten.
Bei einem Angriff können mehrere Fälle von Kompromittierung von Anmeldeinformationen aneinandergereiht werden, wenn der böswillige Akteur von einem Konto auf niedrigerer Ebene zu einem administrativen Konto wechselt.
Das Erkennen einer Kompromittierung von Anmeldeinformationen ist die einzige Möglichkeit, einen Angriff im Voraus zu stoppen.
Wie werden Anmeldeinformationen kompromittiert?
Lassen Sie uns die Anmeldeinformationen vollständig definieren: Die meisten Menschen gehen davon aus, dass es sich nur um die Kombination aus Passwort und Benutzername handelt , auf die sich die meisten Dienste normalerweise verlassen haben, aber die Welt der Anmeldeinformationen verändert sich schnell.
Biometrie und passwortlose Zugangsschlüssel werden immer beliebter, und das Aufkommen der mehrstufigen Authentifizierung (MFA) hat uns eine wachsende Liste von Optionen zur Sicherung ihrer Konten und Daten eröffnet.
Dies bietet Angreifern neue und aufregende Möglichkeiten, diese Anmeldeinformationen zu stehlen.
Verhaltensbasierte Angriffe
Traditionell sind die erfolgreichsten Methoden, um an E-Mails und Passwörter zu gelangen, andere Datenschutzverletzungen (die E-Mails und gelegentlich Klartext-Passwörter enthalten können) und Phishing-Angriffe .
Der Erfolg des Diebstahls von Anmeldeinformationen durch Datenschutzverletzungen hängt stark von folgenden Faktoren ab:
- Schlechte Angewohnheit von Endbenutzern, Passwörter wiederzuverwenden
- Fehler beim Ändern von Administratoranmeldeinformationen
Phishing-E-Mails führen die Opfer auf eine falsche Anmeldeseite. Identisch mit ihrem legitimen Gegenstück, senden diese gefälschten Anmeldebildschirme die Anmeldeinformationen an die eigene Datenbank des Angreifers. Während beide immer noch weit verbreitet sind, verlangsamen die Phishing-Abwehrmaßnahmen von Unternehmen die Rate des Diebstahls von Phishing-Anmeldeinformationen.
An ihre Stelle tritt eine Weiterentwicklung von Keyloggern und Brute-Force-Angriffen.
Technische Angriffe
Keylogger gibt es schon lange: Einmal installiert, verfolgen sie die Tasteneingaben eines Benutzers und senden sie an einen C2-Server. Es werden nicht nur Passwörter gesammelt: Sensible Ressourcen und interne Kommunikation können alle gescrapt werden. Brute-Force-Angriffe waren früher ein Bot, der eine mögliche Kombination aus Buchstaben und Zahlen manuell eingab – Credential Stuffing – in der Hoffnung, dass er blind die richtige Kombination eingibt.
Wie Keylogger haben sich jedoch auch Brute-Force-Angriffe weiterentwickelt...
Kerberoasting ist ein Beispiel für intelligentes Brute-Forcing: Das Kerberos-Protokoll wird vom Authentifizierungsdienst von Windows verwendet, um sicherzustellen, dass der Benutzer Zugriff auf den angeforderten Server erhält. Wenn ein Benutzer über den Zugriffsschlüssel des Kerberos-Tickets verfügt, erhält er Zugriff auf den Server
(Unabhängig davon, ob sie die E-Mail-Adresse oder das Passwort eines zugrunde liegenden Kontos haben.)
Bei Kerberoasting-Angriffen stiehlt ein Angreifer diese verschlüsselten Tickets und führt dann die Verschlüsselungsschlüssel entweder mit Brute-Force- oder wörterbuchbasierten Angriffen aus. Sie benötigen eine anfängliche Berechtigungsbasis, um Kerberos-Tickets anzufordern, was bedeutet, dass Kerberoasting in der Regel beginnt, nachdem ein Konto auf niedrigerer Ebene kompromittiert wurde.
Dies macht Kerberoasting zu einer beliebten Option für die Rechteausweitung.
So erkennen Sie kompromittierte Anmeldeinformationen
Um kompromittierte Anmeldeinformationen zu erkennen, verwenden Unternehmen UEBA-Systeme (User Entity and Behavioral Analytics), um Benutzeraktivitäten zu überwachen und ungewöhnliche Verhaltensweisen zu identifizieren, die auf Sicherheitsbedrohungen hinweisen können.
UEBA-Lösungen sammeln und analysieren Daten aus Quellen, wie z. B.:
- Netzwerk Gerät
- BETRIEBSSYSTEME
- Anwendungen
Sie tun dies, um eine Grundlage für typisches Benutzerverhalten im Laufe der Zeit zu schaffen. Wenn die Aktivität von diesen etablierten Mustern abweicht, kann dies auf eine mögliche Kompromittierung von Anmeldeinformationen oder Konten hinweisen.
SIEM-Plattformen (Security Information and Event Management ) spielen ebenfalls eine Schlüsselrolle bei der Erkennung kompromittierter Konten. Durch das Sammeln und Analysieren von Sicherheitsprotokollen aus dem gesamten Unternehmen korrelieren SIEM-Tools Ereignisse, um verdächtige Verhaltensweisen zu kennzeichnen, wie z. B.:
- Ungewöhnliche Anmeldeversuche
- Anomalien am Standort
- Nicht autorisierte Rechteerweiterungen
(was auf eine Sicherheitsverletzung.)
Die kontinuierliche Überwachung von Benutzerkonten und Authentifizierungsaktivitäten ist unerlässlich, um potenzielle Kompromittierungen frühzeitig zu erkennen und es Unternehmen zu ermöglichen, schnell zu reagieren, um Risiken zu minimieren.
Stop Credential Compromise with Check Point Workspace Security
Check Point Workspace Security prevents password reuse and detects credential theft by combining policy-based restrictions with advanced anomaly detection.
Die Secure Browser Access-Richtlinie von Check Point ermöglicht es Administratoren, die Wiederverwendung von Passwörtern zu verhindern, indem sie bestimmte Unternehmensdomänen definiert, in denen die Wiederverwendung von Passwörtern verboten ist. Nachdem diese geschützten Domänen konfiguriert und mit der Browsererweiterung des Benutzers synchronisiert wurden, erfasst und speichert das System eine gehashte Version des Kennworts (unter Verwendung von SHA-256 mit HMAC), wenn ein Benutzer Anmeldeinformationen für eine dieser festgelegten Domänen eingibt.
Durch das Speichern dieses Passwort-Hashes kann die Erweiterung erkennen, ob dasselbe Passwort in einer anderen, nicht geschützten Domäne wiederverwendet wird.
Wenn die Wiederverwendung von Kennwörtern erkannt wird, initiiert das System eine vorkonfigurierte Antwort, z. B.:
- Protokollieren des Vorfalls
- Benachrichtigung des Benutzers
Mit diesem Ansatz können Domänen außerhalb von Active Directory gesichert werden.
Um kompromittierte Anmeldeinformationen zu erkennen, verwendet Check Point eine Anomalieerkennungs-Engine, die ungewöhnliche Aktivitätsmuster bei legitimen Benutzern identifiziert. Das System erstellt Benutzerprofile basierend auf Anmeldezeiten, Standorten, Datenübertragungen und E-Mail-Verhalten, um eine Grundlage für typisches Verhalten zu erstellen.
Wenn eine signifikante Abweichung auftritt, wird jede anomale Aktion analysiert und nach Schweregrad bewertet: "Kritische" Ereignisse signalisieren eine hohe Wahrscheinlichkeit einer Kontokompromittierung und erfordern eine sofortige Untersuchung, wodurch sie an die Spitze der Arbeitsabläufe der Sicherheitsteams rücken.
Nicht nur die Analysesysteme sind automatisiert...
The Workspace Security Email & Collaboration system can initiate alerts based on an inspection of the user’s recent emails from the last few hours. Its anti-phishing engine closely assesses for any potential phishing links or emails, and if the inspection turns up any high-risk communications, the engine can quarantine any further emails or action.
Wenn Sie die von diesem angebotenen Funktionen benötigen, aber nicht über die erforderlichen Arbeitskräfte verfügen, werfen Sie einen Blick auf die externen Risikomanagement-Services von Check Point.
Dieser umfassende Ansatz, der die Wiederverwendung von Passwörtern mit einer ausgeklügelten Anomalieerkennung kombiniert, trägt zum Schutz von Anmeldeinformationen bei und ermöglicht gleichzeitig eine schnelle Reaktion auf jeden erkannten Sicherheitsvorfall. Wenn Sie sich Sorgen über Aktivitäten in Ihrem Unternehmensnetzwerk machen, wenden Sie sich noch heute an einen Sicherheitsexperten.
