Jared Atkinson, CTO SpecterOps
Identitäten sind zum Bindeglied moderner Unternehmen geworden. Da Unternehmen zunehmend auf SaaS, Cloud-Infrastrukturen, Remote-Arbeit und föderierte Identitäten setzen, richten Angreifer ihr Augenmerk immer stärker auf Identitäten, da die Kontrolle darüber oft einen legitim erscheinenden Zugang zu Systemen und Daten ermöglicht.
Welche Arten von identitätsbasierten Angriffen gibt es?
Viele Diskussionen über diese Angriffstechniken konzentrieren sich auf ruhende Anmeldedaten, zum Beispiel gestohlene Passwörter oder Passwort-Spraying. Diese sind zwar nach wie vor wichtig, doch moderne Angreifer zielen zunehmend auf Identitäten in Bewegung ab.
Wenn sich ein Benutzer authentifiziert, bewegt sich seine Identität in Form von Sitzungen, Tokens, Cookies, Kerberos-Tickets, OAuth-Tokens und anderen Authentifizierungsartefakten durch die Umgebung. Angreifer stehlen oder missbrauchen diese Identitäten während der Übertragung häufig, da sie es ihnen ermöglichen, Kontrollen wie MFA oder Passwort-Resets zu umgehen.
Beispiele hierfür sind Session-Hijacking, Token-Diebstahl, Pass-the-Ticket-Angriffe, der Missbrauch von SSO-Beziehungen sowie die Nutzung zwischengespeicherter Anmeldedaten oder aktiver Sitzungen auf kompromittierten Systemen. Sobald ein Angreifer Zugriff auf eine Identität in Bewegung erlangt hat, nutzt er diese oft, um auf Systeme zuzugreifen, auf denen weitere Anmeldedaten, Sitzungen oder Berechtigungen abgegriffen werden können, wodurch er seine Kontrolle schrittweise ausweiten kann.
Wer verübt identitätsbasierte Angriffe und gegen wen richten sie sich?
Identitätsbasierte Angriffe werden von einer Vielzahl von Angreifern genutzt. Finanziell motivierte Cyberkriminelle, Ransomware-Betreiber und auf Spionage ausgerichtete staatliche Akteure setzen alle in hohem Maße auf Missbrauch von Identitäten, da sie sich dadurch in legitime Aktivitäten einfügen können.
Die Ziele reichen von privaten Unternehmen und Regierungsbehörden bis hin zum Gesundheitswesen, Finanzdienstleistungen und kritischen Infrastrukturen. In der Praxis konzentrieren sich Angreifer oft weniger auf bestimmte Einzelpersonen als vielmehr auf strategische Identitäten innerhalb der Umgebung: Administratoren, Nutzer mit umfangreichen Zugriffsrechten, privilegierte Cloud-Rollen, Dienstkonten und Identitäten, die Systeme durch Synchronisierung oder Single Sign-On miteinander verbinden. Diese befinden sich oft an zentralen Knotenpunkten in der Umgebung, an denen die Kontrolle über ein System den Zugriff auf ein anderes ermöglichen kann.
Wie wird sich die Bedrohung mit neuen Technologien weiterentwickeln?
Die größte Veränderung in der Identitätssicherheit besteht darin, dass moderne Umgebungen immer stärker miteinander vernetzt sind.
Unternehmen verlassen sich zunehmend auf Identitätsanbieter, SaaS-Anwendungen, Cloud-Infrastruktur, Entwicklerplattformen und Automatisierungssysteme, die alle durch Synchronisierung, Single Sign-On, APIs und Managementsysteme miteinander verbunden sind. Ein Benutzer in einem System kann durch diese Beziehungen implizit Einfluss oder Zugriff auf mehrere andere Systeme haben.
Das bedeutet, dass Angreifer nicht mehr innerhalb einer einzigen Plattform agieren. Eine Kompromittierung in einem Identitätssystem kann einen Weg in andere Systeme eröffnen; beispielsweise von einem Endpunkt in Active Directory, von Active Directory in eine Cloud-Identitätsplattform und von dort in SaaS- oder Entwicklerinfrastrukturen.
Gleichzeitig explodiert die Anzahl der Identitäten, insbesondere nicht-menschliche Identitäten wie Dienstkonten, API-Token, automatisierte Identitäten und KI-gesteuerte Workflows. Viele werden nur unzureichend verwaltet und schaffen zusätzliche Verbindungen zwischen Plattformen.
Infolgedessen geht es bei identitätsbasierten Angriffen zunehmend darum, Beziehungen zwischen Systemen zu verketten, anstatt eine einzelne Schwachstelle auszunutzen.
Welche Strategie sollten Unternehmen anwenden, um identitätsbasierte Bedrohungen zu mindern?
Herkömmliche Strategien konzentrieren sich in der Regel auf einzelne Kontrollmaßnahmen wie MFA, Passwortrichtlinien oder die Verwaltung privilegierter Zugriffe. Diese sind zwar wichtig, berücksichtigen jedoch oft nicht, wie sich Angreifer tatsächlich durch Umgebungen bewegen.
Eine effektivere Strategie ist das Angriffspfad-Management: zu verstehen, wie Berechtigungen, Sitzungen und Vertrauensbeziehungen zwischen Identitäten und Systemen miteinander verknüpft werden können, um einem Angreifer zu ermöglichen, von einem anfänglichen Einstiegspunkt zu umfassender Kontrolle zu gelangen.
Durch die Abbildung dieser Beziehungen über Identitätsplattformen, Cloud-Dienste und lokale Systeme hinweg können Unternehmen die kritischen Angriffspfade identifizieren, die Angreifer am ehesten ausnutzen, und diese beseitigen, bevor sie missbraucht werden.
Dieser Ansatz verlagert die Verteidigung von der Reaktion auf kompromittierte Konten hin zur proaktiven Reduzierung der Wege, die ein Angreifer einschlagen könnte. In komplexen hybriden Umgebungen ist die Reduzierung dieser Wege oft der effektivste Weg, um den Ausbreitungsradius einer Kompromittierung zu begrenzen.
