Sie sind hier: HomeTelekommunikation

Credential Phishing: Autorisierter Feind

Fortsetzung des Artikels von Teil 1.

Angreifer sind schwer zu identifizieren

Beim Diebstahl und Missbrauch von Zugangsdaten geht es jedoch in erster Linie darum, Daten zu stehlen und diese irgendwie zu Geld zu machen. Das können auch die Zugangsdaten selbst sein, die an andere Kriminelle verkauft werden. Sobald ein Angreifer sich mit selbst „gephishten“ oder gekauften Anmeldeinformationen Zugang verschafft hat, kann er sich in einer nicht-segmentierten Umgebung mitunter völlig frei im Netzwerk bewegen. Nur wenn die Umgebung segmentiert ist und die Sichtbarkeit über Benutzer und Anwendungen hinweg gewährleistet ist, können gezielte Sicherheitsmaßnahmen verhindern, dass ein Angreifer sich seitlich bewegt und Zugriff auf kritische Daten erhält. Anderenfalls hat er vorerst freie Bahn, denn es ist schwierig, den Eindringling im regulären Netzwerkverkehr zu identifizieren. Bleibt die Prävention: Herkömmliche Ansätze, um „Credential Phishing“ von vornherein zu verhindern, sind jedoch begrenzt und beruhen in erster Linie auf der Erfassung von Phishing-Websites. Wurde eine neue Seite nicht gelistet, ist die einzige Möglichkeit, zu hoffen, dass der Benutzer nicht darauf hereinfällt. Um das Risiko zu minimieren, empfiehlt sich die Zugangsbeschränkung auf genehmigte Anwendungen. Die Verwendung von nicht geschäftsrelevanten oder unbekannten Anwendungen und Websites gilt es zu blockieren.

Eine integrierte, präventiv arbeitende Sicherheitsplattform gilt heute als Mittel der Wahl. Dabei hat sich ein auf mehreren Methoden basierender, skalierbarer und automatisierter Ansatz als hilfreich erwiesen. Die zentralen Funktionen, die von einer Next-Generation-Firewall bereitgestellt werden, verhindern den Diebstahl und Missbrauch von Zugangsdaten. Mittels zusätzlicher Funktionen für Malwareprävention, Bedrohungsprävention und sichere Anwendungsbereitstellung können Unternehmen ihre Abwehrfähigkeit stärken. Zu den speziellen Funktionen, die den Missbrauch von Anmeldedaten verhindern sollen, zählt die automatische Identifizierung und Sperrung von Phishing-Sites: Verdächtige Links aus E-Mails werden dabei für eine erweiterte, auf maschinellem Lernen basierte Analyse an eine Bedrohungsanalyse-Cloud gesendet. Wenn die Website als Phishing-Website erkannt wird, aktualisiert das Betriebssystem der Sicherheitsplattform automatisch die Phishing-URL-Kategorie, blockiert die Website und verhindert, dass Benutzer darauf zugreifen können.

Eine weitere Maßnahme besteht darin zu verhindern, dass Benutzer Anmeldedaten an Phishing-Websites senden. Anhand der Benutzeridentität kann die Firewall die Bewegung von Anmeldedaten im Netzwerkverkehr erkennen. Wenn ein Benutzer unwissentlich versucht, seinen  Benutzernamen und sein Kennwort an eine nicht autorisierte Website zu senden, können Richtlinien in der Firewall einen Alarm aktivieren oder den Verkehr abbrechen und damit die Übertragung von Anmeldedaten beenden. Die Verwendung von gestohlenen Zugangsdaten wird ebenso durch die native Bereitstellung eines richtlinienbasierten Multi-Faktor-Authentifizierungs-Frameworks in der Next-Generation-Firewall verhindert. Dies macht es einfach, Multi-Faktor-Authentifizierung seitens der Firewall durchzusetzen. Cybergegner können dadurch abgehalten werden, sich seitlich im Netzwerk zu bewegen und auf sensible Ressourcen mittels gestohlener Anmeldedaten oder kompromittierter Endpunkte zuzugreifen. Dies geschieht durch Eingriffe auf Netzwerkebene in Verbindung mit Authentifizierungs- und Identitätsmanagement-Frameworks wie Single-Sign-On und Multi-Faktor-Authentifizierung. Hinzu kommt optional die Integration von Identity-Access-Management-Lösungen, zusätzlich zu Tools zur Durchsetzung von Richtlinien. Erfolgreiche Fälle von Credential Phishing wird es weiter geben. Unternehmen sollten es Angreifern jedoch so schwer wie möglich machen, an Zugangsdaten zu gelangen.

Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe, Palo Alto Networks