Die Anfälligkeit von Zero Trust: Erfahrungen mit dem Storm 0558 Angriff

Zero Trust in IT & OT security explained by Klaus Nemelka

Während IT-Sicherheitsverantwortliche sowohl in Unternehmen als auch in öffentlichen Einrichtungen auf das Prinzip des Zero Trust vertrauen, wird seine praktische Wirksamkeit durch Advanced Persistent Threats (APTs) in Frage gestellt. Auf der anderen Seite erkennen Analysten, dass das Erreichen von echtem Zero Trust ein gründliches Verständnis des eigenen Netzwerks voraussetzt.

Einleitung

Erst kürzlich wurden mehrere Regierungsbehörden Ziel eines Angriffs, der vermutlich von der chinesischen Hackergruppe Storm-0558 verübt wurde. Sie benutzten gefälschte digitale Authentifizierungs-Tokens, um auf Webmail-Konten zuzugreifen, die über den Outlook-Dienst von Microsoft laufen. Bei diesem Vorfall stahlen die Angreifer einen Signierschlüssel von Microsoft, der es ihnen ermöglichte, funktionale Zugangstoken für Outlook Web Access (OWA) und Outlook.com auszustellen und E-Mails und Anhänge herunterzuladen. Aufgrund eines Plausibilitätsprüfungsfehlers funktionierte die digitale Signatur, die nur für Privatkundenkonten (MSA) gedacht war, auch im Azure Active Directory für Geschäftskunden.

In jüngster Zeit wurde ein ausgeklügelter Angriff, der dem chinesischen Hacker Storm-0558 zugeschrieben wird, auf mehrere Regierungsstellen gerichtet (Quelle hier). Die Angreifer verwendeten gefälschte digitale Authentifizierungs-Token mit dem offensichtlichen Ziel, in Webmail-Konten einzudringen, die mit dem Microsoft Outlook-Dienst arbeiten. Bei diesem Vorfall wurde ein Microsoft eigener Signierschlüssel kompromittiert, der es den Angreifern ermöglichte, funktionsfähige Zugangstoken für Outlook Web Access (OWA) und Outlook.com zu generieren. Infolgedessen wurde unbefugter Zugriff erlangt, was den unbefugten Abruf von E-Mails und zugehörigen Anhängen ermöglichte.

Bei der Plausibilitätsprüfung kam es zu einem bemerkenswerten Versehen, durch das die digitale Signatur, die ursprünglich ausschliesslich für Privatkundenkonten (MSA) gedacht war, auch im Azure Active Directory für Firmenkunden funktionieren konnte.

Exeon Blog: The Vulnerability of Zero Trust: Lessons from the Storm 0558 Hack

Zero Trust und seine Ursprünge: Ein umfassender Überblick

Zero Trust verkörpert ein strategisches Paradigma in der Cybersicherheit, dass die Verteidigungsmechanismen einer Organisation erheblich stärkt, indem es die Vorstellung von inhärentem Vertrauen verwirft und jede Phase digitaler Interaktionen ständig verifiziert. Der Zero Trust Ansatz basiert auf dem grundlegenden Prinzip „niemals annehmen, immer überprüfen“ und ist darauf zugeschnitten, moderne Infrastrukturen zu schützen und einen reibungslosen digitalen Fortschritt zu ermöglichen. Aber wie genau wir dies erreicht? Durch den Einsatz robuster Authentifizierungsverfahren, die Segmentierung von Netzwerken, die Vereitelung von Seitwärtsbewegungen, den Einsatz von Layer-7-Bedrohungsschutz und die Optimierung der Umsetzung präziser „Least Access“-Regeln.

Die Entstehung des Zero Trust Konzepts lässt sich auf die Erkenntnis zurückführen, dass herkömmliche Sicherheitsmodelle auf der überholten Annahme beruhen, dass alle Elemente innerhalb eines Unternehmensnetzwerks von vornherein als vertrauenswürdig eingestuft werden sollten. Diese fehlgeleitete Annahme schafft eine Umgebung, in der sich Benutzer – einschliesslich potenzieller Bedrohungen und böswilliger Insider – innerhalb des Netzwerks ungehindert bewegen und aufgrund fehlender strenger Sicherheitskontrollen unbefugten Zugriff auf sensible Daten erhalten können.

Die Ära der Zero Trust Transformation

Wie aus einer vom Anbieter Okta durchgeführten Umfrage (State of Zero Trust Security 2022) hervorgeht, haben 97% der Teilnehmer bereits eine Zero-Trust-Strategie eingeführt oder planen deren Einführung innerhalb der nächsten 18 Monate. Dieser beträchtliche Anstieg bei der Einführung von Zero Trust hat die Gemeinschaft der Befürworter von 24% im Jahr 2021 auf beeindruckende 55% im Jahr 2022 ansteigen lassen. Das als Zero Trust bekannte Sicherheitsmodell gilt als umfassender Sicherheitsansatz und ist strategisch darauf ausgelegt, den Zugang zu internen und externen Ressourcen ständig zu überprüfen und zu validieren. Eine Vielzahl von Unternehmen hat sich dieser Sicherheitsstrategie verschrieben, die auf dem Prinzip beruht, dass Netzwerkkomponenten und Benutzer ihre Identitäten konsequent nachweisen müssen, da Vertrauen nicht mehr automatisch gewährt wird.

Zero-trust-priority-Okta-Exeon-Blog.png State of Zero Trust Security 2022, Umfrage von Okta

Zero Trust beruht auf der kontinuierlichen Beobachtung und anpassungsfähigen Verwaltung von Anwendungen, Benutzern und Geräten. Es beschränkt den Ressourcenzugang auf das Nötigste und unterzieht alle Identitäten im System einer Bewertung, die auf denselben Massstäben beruht, die für Hosts gelten. Das übergeordnete Ziel besteht darin, die Sicherheit zu erhöhen, indem der Zugang nur Personen gewährt wird, die ihre Identität stets bestätigen und deren Handlungen stets überprüft werden.

Der Blick über die Grenzen hinaus: Enthüllung von Netzwerkrealitäten

Das Identitäts- und Zugriffsmanagement (IAM) ist zweifellos eine tragende Säule im Rahmen von Zero Trust. Leider greift die kontinuierliche Validierung von Benutzeridentitäten in Fällen von Identitätsdiebstahl zu kurz. Darüber hinaus können Angreifer diese Protokolle umgehen, indem sie Metadaten manipulieren, z. B. den scheinbaren Standort einer potenziellen Anmeldung, indem sie eine gefälschte VPN-Adresse verwenden. Zu den Aufgaben von Intrusion Detection and Prevention Systems (IDS/IPS) gehört die Erkennung von dubiosen oder unbefugten Aktivitäten, viralen Infiltrationen, Malware und Ransomware, Zero-Day-Angriffen, SQL-Injections und mehr. IDS/IPS-Systeme erkennen jedoch oft nur etablierte Signaturen, wie z. B. zuvor dokumentierte bösartige Domänen oder IP-Adressen. Wenn eine Domain nicht im Voraus als bösartig gekennzeichnet wurde, könnten herkömmliche Sicherheitslösungen sie vernachlässigen und Angreifern unbeabsichtigt ermöglichen, dieses schwache Glied in der Kette auszunutzen. Folglich können herkömmliche Cybersicherheitsmechanismen gelegentlich bei der effektiven Umsetzung der Zero Trust Prinzipien ins Stocken geraten.

Um eine Zero Trust Sicherheitsstrategie effektiv umzusetzen, setzen Unternehmen zunehmend auf Netzwerkanalyselösungen. Diese Empfehlung wird vom Analystenhaus Forrester ("The Network Analysis and Visibility Landscape, Q1 2023") unterstrichen. Den Erkenntnissen von Forrester zufolge wird Fachleuten, die mit dem Sicherheits- und Risikomanagement betraut sind, empfohlen, die Fähigkeiten von Network Detection and Response (NDR)-Tools zu nutzen.

Diese Tools ermöglichen eine kontinuierliche Netzwerküberwachung, die Identifizierung von Bedrohungen, die Erkennung von Anwendungen und Anlagen sowie das Abfangen von bösartigen Datenpaketen. Diese Schritte helfen IT-Systemen, Bedrohungen effektiver zu erkennen.

Network Detection & Response (NDR): Der stille Verfechter der Zero Trust Sicherheit

NDR-Lösungen sind wesentliche Komponenten bei der Einrichtung eines stabilen und effizienten Zero Trust Rahmens. Sie liefern sofortige Echtzeit-Einblicke in den Netzwerkverkehr, überwachen das Benutzerverhalten und den Gerätebetrieb und ermöglichen eine schnelle Identifizierung und Reaktion auf verdächtige Netzwerkvorgänge oder anomale Verhaltensweisen. Diese umfassende Transparenz umfasst alle Betriebssysteme, Anwendungsserver und IoT-Geräte.

Forrester hat betont, dass die Bedeutung von Unternehmensnetzwerken bei Cyberangriffen oft unterschätzt wird. Cyberkriminelle nutzen betrügerische Identitäten oder Zero Day Angriffe und bewegen sich dann seitlich durch das Netzwerk, um nach Zielen zu suchen, auf privilegierte Systeme zuzugreifen, Malware zu installieren und Unternehmensdaten zu stehlen. Wenn sich ein Angreifer bereits innerhalb des Netzwerks befindet, erleichtert NDR die Erkennung von Querbewegungen oder internen Erkundungen, bei denen der Angreifer mögliche Ziele auskundschaftet. NDR-Systeme sammeln Daten von allen Switches und arbeiten nahtlos, ohne dass Agenten erforderlich sind, so dass sie auch in Umgebungen eingesetzt werden können, in denen die Installation von Agenten möglicherweise nicht möglich ist.

Maschinelles Lernen in NDR: Den neuen Standard für die Anomalie Erkennung setzen

Durch die Nutzung der Fähigkeiten des maschinellen Lernens (ML) sind Netzwerkerkennungs- und reaktionssysteme (Network Detection and Response, NDR) in der Lage, unregelmäßige Netzwerkverkehrsmuster zu erkennen, ohne dass sie auf vorab gespeicherte, bekannte "Indicators of Compromise" (IoCS) angewiesen sind. Diese ML-gesteuerten Modelle sind für ein kontinuierliches Training ausgelegt, dass sie in die Lage versetzt, neue Bedrohungen und neuartige Angriffstechniken zu erkennen. Diese Methode bietet eine frühzeitige Angriffsabwehr und beschleunigt die Identifizierung schädlicher Aktivitäten erheblich. Darüber hinaus hilft sie bei der Erkennung ungewöhnlicher oder verdächtiger Verhaltensweisen und verkürzt die Zeit, in der Angreifer innerhalb eines Netzwerks unentdeckt bleiben können, was die Sicherheit insgesamt verbessert.

Wie ExeonTrace, ein führender ML-basierter NDR, Metadaten analysiert, um Netzwerktransparenz, Anomalie Erkennung und Reaktion auf Vorfälle zu  ermöglichen Wie ExeonTrace, ein führender ML-basierter NDR, Metadaten analysiert, um Netzwerktransparenz, Anomalie Erkennung und Reaktion auf Vorfälle zu ermöglichen.

Fazit

Machine Learning Algorithmen schaffen eine Grundlage für typisches Netzwerkverhalten, indem sie Daten und Algorithmen analysieren und so die üblichen Kommunikationsmuster innerhalb des Netzwerks nachvollziehen können. Diese Algorithmen sind in der Lage, Abweichungen von dieser Grundlinie zu erkennen, da sie darauf trainiert wurden, zu verstehen, wie das „normale“ Verhalten des Netzwerks aussieht. Verdächtige Verbindungen, merkwürdige Datenübertragungen, von akzeptierten Standards abweichende Kommunikationsmuster, laterale Netzwerkbewegungen, Datenexfiltration und mehr sind Beispiele für diese Abweichungen.

Da die Bedrohung durch Cyberangriffe immer komplexer wird, müssen Unternehmen über herkömmliche Sicherheitsverfahren hinausgehen, um ihre Netzwerke zu schützen. Um ihre Sicherheitsabwehr zu verbessern, setzten viele Unternehmen zunehmend auf maschinelles Lernen (ML) und prädiktive Analytik. ExeonTrace ist ein Beispiel für eine ML-gesteuerte Network Detection & Response (NDR-Lösung), die Unternehmen dabei helfen soll, der sich ständig verändernden Bedrohungslandschaft einen Schritt voraus zu sein. Durch die Anwendung hochentwickelter ML-Algorithmen, die den Netzwerkverkehr und die Anwendungsprotokolle analysieren, bietet ExeonTrace Unternehmen die Möglichkeit, selbst die komplexesten Cyberangriffe schnell zu identifizieren und darauf zu reagieren.

Exeon, mit Sitz in der Schweiz, ist ein führender Anbieter von NDR-Lösungen mit einer zuverlässigen Expertise und einem Fundament, das auf Erfahrungen im Bereich Cybersicherheit beruht. ExeonTrace, die NDR-Plattform, bietet eine vollständige Netzwerküberwachung, die durch leistungsstarke Machine-Learning-Technologien unterstützt wird. Sie ermöglicht die automatische Identifizierung möglicher Cyber-Bedrohungen und ist damit ein unverzichtbares Tool für Security Operations Center (SOC)-Teams und Chief Information Security Officers (CISOs), die eine robuste Zero Trust Sicherheitsstrategie aufbauen und aufrechterhalten wollen.

Möchten Sie erfahren, wie NDR von Exeon die Cybersicherheit stärkt und effektive Zero Trust Implementierungen ermöglicht? Vereinbaren Sie einen Termin für eine Demo mit Exeon, um aus erster Hand zu erfahren, wie Zero Trust und Cyber-Resilienz implementiert werden!

Klaus Nemelka

Author:

Klaus Nemelka

Product Marketing Manager

email:

klaus.nemelka@exeon.com

Share:

Published on:

08.09.2023