Identitätsverletzungen: Eine wachsende Bedrohung durch Cyberkriminalität
Identitäten dominieren das Dark Web und verursachen jährlich Milliardenverluste durch Betrug. Hochkarätige Sicherheitsverletzungen bei Santander, TicketMaster, Snowflake und jüngst auch bei Advanced Auto Parts und LendingTree zeigen, wie schnell Angreifer Schwachstellen in der Sicherheit von Organisationen ausnutzen können. TechCrunch hat bestätigt, dass Hunderte von Snowflake-Kundenpasswörtern, die mit Informationsdiebstahl-Malware in Verbindung stehen, jetzt online zugänglich sind. Die Entscheidung von Snowflake, die Multi-Faktor-Authentifizierung (MFA) optional zu machen, hat die Identitätskrise ihrer betroffenen Kunden verschärft.
Cybercrime-Intelligenz: Eine kollaborative Bedrohungslandschaft
Cyberkriminalitätsorganisationen und Nationen zeigen zunehmendes Vertrauen in die Durchführung von Identitätsverletzungen und arbeiten angeblich über Telegram mit Anbietern von Cybercrime-Intelligenz zusammen. Hudson Rock, ein Anbieter für Cybercrime-Intelligenz, veröffentlichte am 31. Mai einen Blog, in dem erläutert wird, wie Bedrohungsakteure in Snowflake eingedrungen sind. Dieser beinhaltete ein Gespräch mit dem Hacker, der zuvor Santander und TicketMaster angegriffen hatte.
Im mittlerweile entfernten Blog wurde beschrieben, dass der Angreifer auf das ServiceNow-Konto eines Snowflake-Mitarbeiters mit gestohlenen Anmeldeinformationen zugriff und OKTA umging. Einmal eingedrungen, generierte er Sitzungstoken, um unentdeckt durch die Systeme von Snowflake zu navigieren und große Datenmengen zu exfiltrieren.
Single-Faktor-Authentifizierung: Eine erhebliche Sicherheitsanfälligkeit
Die Plattform von Snowflake setzt standardmäßig auf Single-Faktor-Authentifizierung, was gravierende Sicherheitsrisiken birgt. In den Dokumentationen heißt es: „Standardmäßig ist MFA für einzelne Snowflake-Nutzer nicht aktiviert.” Bedrohungsakteure haben gezielt Nutzer angesprochen, die sich auf die Single-Faktor-Authentifizierung verlassen haben, und dabei Anmeldeinformationen genutzt, die sie durch Malware zur Informationsbeschaffung erlangten. CISA hat eine Warnung für alle Snowflake-Kunden herausgegeben.
Untersuchungen von Snowflake, CrowdStrike und Mandiant zeigen, dass Angreifer über die Anmeldeinformationen eines ehemaligen Mitarbeiters auf Demokonten zugegriffen haben. Diese Konten, die nicht über robuste Sicherheitsmaßnahmen wie Okta oder MFA verfügten, boten einen Zugang zu den Systemen von Snowflake. Das Unternehmen beteuert jedoch, dass es keine Beweise für eine systematische Schwachstelle oder ein Leck in ihrer Plattform gibt.
Weitreichende Datenverletzungen betreffen Millionen
Einer der größten Vorfälle in der Geschichte von Santander hat die Kreditkarten- und persönlichen Daten von bis zu 30 Millionen Kunden kompromittiert. Bei einem separaten Vorfall wurden 560 Millionen TicketMaster-Nutzer betroffen, deren Daten – einschließlich Namen, Adressen, E-Mails, Telefonnummern und Kreditkarteninformationen – exfiltriert wurden. Die Hackergruppe ShinyHunters verkauft diese gestohlenen Daten aktiv auf den wiederbelebten BreachForums.
Darüber hinaus behauptete ein anderer Nutzer von BreachForums, Sp1d3r, Informationen von zwei weiteren Unternehmen im Zusammenhang mit dem Snowflake-Vorfall erlangt zu haben. Dies umfasst Daten von Advanced Auto Parts, die 380 Millionen Kundeninformationen betreffen, sowie von LendingTree und QuoteWizard, die Berichten zufolge 190 Millionen Profile enthalten.
Proaktive Reaktionen: Transparenz bei Sicherheitsverletzungsbenachrichtigungen
CISOs und Sicherheitsverantwortliche erkennen die Bedeutung von Transparenz bei der Offenlegung bedeutender Cybersecurity-Ereignisse. Santander und TicketMaster haben den unbefugten Zugriff auf ihre Drittanbieter-Cloud-Datenbanken schnell gemeldet. Live Nation, die Muttergesellschaft von TicketMaster, reichte ein 8-K-Dokument bei der SEC ein, in dem bestätigt wurde, dass am 20. Mai unbefugte Aktivitäten festgestellt und eine Untersuchung eingeleitet wurden. Das Dokument enthüllt, dass ein Hacker am 27. Mai angeblich Unternehmensdaten im Dark Web zum Verkauf anbot. Santander bestätigte in ihrer Erklärung unbefugten Zugriff auf ihre von Drittanbietern gehosteten Datenbanken.
Vertrauen neu überdenken: Identitätssicherheit verbessern
Das Vertrauen der Angreifer, nahezu 600 Millionen Datensätze zu kompromittieren, zeigt die dringende Notwendigkeit, die Strategien zum Identitätsschutz zu überdenken. Eine Überabhängigkeit von Authentifizierungsmethoden erhöht die Anfälligkeit für Sicherheitsverletzungen.
Die Annahme eines Zero-Trust-Ansatzes, der davon ausgeht, dass bereits Sicherheitsverletzungen erfolgt sein könnten, ist entscheidend. Siebzig Prozent der Unternehmen berichten, dass identitätsbasierte Verletzungen in diesem Jahr die Betriebsabläufe negativ beeinflusst haben. Unter den Betroffenen sind 96 % überzeugt, dass eine frühere Implementierung von identitätsbasierten Zero-Trust-Maßnahmen die Vorfälle hätte verhindern können.
IAM (Identity and Access Management) steht im Mittelpunkt des Zero Trust und ist mit den Richtlinien gemäß NIST SP 800-207 abgestimmt. Darüber hinaus ist die Identitätssicherheit ein zentraler Bestandteil der Exekutivverordnung 14028 von Präsident Biden.
Organisationen überprüfen zunehmend fortschrittliche Authentifizierungsmethoden zur Risikominderung. Trotz Fortschritten stellen Passwörter nach wie vor erhebliche Herausforderungen dar. Gartner-Analysten stellen fest: „Trotz des Aufkommens passwortloser Authentifizierung bestehen Passwörter in vielen Anwendungsfällen weiterhin und bleiben eine bedeutende Quelle für Risiken und Benutzerfrustration.”
CISOs konzentrieren sich auf die Stärkung von Authentifizierungskontrollen und betonen Folgendes:
- Implementierung kontinuierlicher Authentifizierung für jede Identität.
- Verbesserung der Credential-Hygiene und Erhöhung der Rotationsfrequenz.
- Beschränkung von Nutzern auf eine verifiziert Liste von Anwendungen zur Risikominderung.
- Nutzung von AM-Systemen zur Überwachung aller identitätsbezogenen Aktivitäten.
- Verbesserung der Selbstbedienungsoptionen für Nutzer, BYOI und Ausweitung externer Anwendungsfälle.
Um der Identitätskrise entgegenzuwirken, benötigen CISOs benutzerfreundliche Systeme für passwortlose Authentifizierung, die sich an jedes Gerät anpassen, ohne die Sicherheit zu beeinträchtigen. Führende Lösungen sind Microsoft Authenticator, Okta, Duo Security, Auth0, Yubico und Ivanti’s Zero Sign-On (ZSO).
Rangliste
