Zum Inhalt springen
RSA Cloud Security kostenlos testen

Starten Sie jetzt Ihre ID Plus Testversion

Jetzt starten

Wir sehen nun regelmäßig die erschütternden Ergebnisse erfolgreicher Bombardierung Angriffe, da diese Taktik zu einer gängigen Angriffsmethode wird. Heutzutage sind Unternehmen vermehrt mit Push-Bombing-Angriffen auf die Multi-Faktor-Authentifizierung (MFA) konfrontiert, bei denen ein Angreifer in der Regel bereits über einen der Authentifizierungsfaktoren verfügt, z. B. Benutzername/Passwort. Der Angreifer kann dann Push-Benachrichtigungen anfordern, die an das Smartphone des Benutzers gesendet werden.

Prompte Bombenangriffe beruhen auf MFA-Müdigkeit. Auch wenn der Erhalt einer unerwarteten Push-Benachrichtigung nicht normal ist, kann es sein, dass der Nutzer die Anfrage annimmt. Selbst wenn der Benutzer die richtige Entscheidung trifft und die Anfrage beim ersten Mal ablehnt, kann er durch die Nachrichten ermüdet oder verwirrt werden. Es genügt ein "Zulassen", und der Angreifer ist authentifiziert. Je nach Struktur der Umgebung und anderen vorhandenen Sicherheitskontrollen kann dies dem Angreifer Zugang zu Unternehmensanwendungen, Netzwerken oder Dateien verschaffen. Vor kurzem haben wir die Spezifikationen beschrieben, die ID Plus zur Erkennung und zum Schutz vor diesen Angriffen in einem Blog namens Schutz vor MFA-Prompt-Bombenangriffen.

Der Umgang mit MFA-Müdigkeit ist für die meisten Unternehmen eine interessante Sicherheitsherausforderung. Obwohl diese Art von Angriffen nicht alltäglich sein sollte, muss Ihr Sicherheitsteam darüber Bescheid wissen und reagieren, wenn sie auftreten. Es bedeutet nicht nur, dass Sie angegriffen werden, sondern wahrscheinlich auch, dass einige Anmeldedaten bereits gefährdet sind. Promptes Bombardement fällt in die Kategorie der geringen Häufigkeit und des hohen Risikos. In diesem Beitrag werden einige der grundlegenden Methoden für den Umgang mit dieser Art von Angriffen aus der Sicht eines Sicherheitsteams beschrieben.

Das menschliche Element

Um auf Push Bombing vorbereitet zu sein und die MFA-Müdigkeit zu bekämpfen, müssen Sie mit dem menschlichen Element beginnen.

  • Bewusstsein der Nutzer. Die Nutzer müssen mehr als nur sensibilisiert sein: Sie müssen informiert, wachsam und besorgt sein. Gleichzeitig muss die Förderung des Bewusstseins für Cybersicherheit für sie aber auch einfach sein, sonst werden sie scheitern. Eine einmal im Jahr stattfindende Schulung zum Sicherheitsbewusstsein mag den Anforderungen der Compliance genügen und einen gewissen Nutzen bringen, aber sie reicht nicht aus, um einen ausgeklügelten Angriff abzuwehren. Den Benutzern sollte gesagt werden, dass sie eine Kommunikation als verdächtig betrachten sollten, wenn sie sie nicht selbst initiiert haben. Wenn die Benutzer über die richtigen Werkzeuge und Schulungen verfügen, haben sie vielleicht eine Chance.
  • Benutzerschulung. Stellen Sie sicher, dass Ihre Endbenutzer wissen, dass es möglich ist, dass sie eine fehlerhafte Push-to-Auth-Anfrage erhalten, und dass sie nicht automatisch auf "ok" in demselben Dialog klicken sollten, den sie schon 100 Mal gesehen haben. Damit diese Nachricht einige oder die meisten Benutzer erreicht, sollte Ihr Sicherheitsprogramm eine Art regelmäßiger Kommunikation mit den Benutzern sowie eine Möglichkeit haben, die Kommunikation aufrechtzuerhalten - ziehen Sie eine E-Mail-Warnung in Betracht, veröffentlichen Sie die Warnung auf einer dauerhaften Blog-Seite, auf die alle Benutzer zugreifen können, und fügen Sie Links zu der Warnung in anderen Unternehmensdokumenten, auf Ihrer Sicherheitsseite oder als Thema für den Monat des Bewusstseins für Cybersicherheit hinzu.
  • Benutzer-Ressourcen. Denken Sie daran, dass ein Angreifer für die erfolgreiche Durchführung von MFA-Müdigkeits- und Prompt-Bombing-Angriffen höchstwahrscheinlich bereits über die Anmeldedaten eines Benutzers verfügt. Fortgeschrittene Angreifer beginnen mit Spear-Phishing und könnten dem Benutzer SMS, WhatsApp-Benachrichtigungen, Telefonanrufe oder E-Mails schicken, um die MFA-Müdigkeit noch zu verschlimmern. Damit die Benutzer in der Lage sind, diesen Versuchen entgegenzuwirken, müssen sie wissen, wie sie ein Problem melden können, und wirklich verstehen, wie ihr Helpdesk, Service Desk und Sicherheitsteam mit ihnen kommuniziert. Auch hier geht es nicht um eine jährliche Schulung, sondern um eine kontinuierliche Kommunikation mit den Benutzern und um ein allgemeines Verständnis dafür, wie sie die benötigten Ressourcen finden und wie die Dinge funktionieren sollten. Wenn jeder Benutzer weiß, dass er sofort den ServiceDesk anrufen muss und der ServiceDesk über eine aktuelle Dokumentation verfügt, oder wenn sich sogar jemand im Team daran erinnert, dass diese Ressource existiert und sie finden kann, dann ist Ihre Organisation gut aufgestellt.
  • Benutzeraktionen. Ein Benutzer ohne Ressourcen, der nicht geschult ist, ist ein gutes Ziel. Wissen die Benutzer, dass sie den Service Desk immer über die entsprechenden Tools (Teams, Slack usw.) kontaktieren müssen und keine Telefonanrufe annehmen dürfen, ohne dass zuvor eine verifizierte Mitteilung eingegangen ist? Legen Sie Erwartungen fest und bieten Sie eine Möglichkeit zur Überprüfung, wenn der Benutzer unsicher ist.

Zusammenfassend lässt sich sagen, dass Sie sich diese Fragen zu Ihrem Sicherheitsprogramm stellen und die Antworten nutzen sollten, um Ihre Prozesse nach Bedarf zu verbessern:

  • Wissen die Benutzer, was zu tun ist, wenn sie eine unerwartete Push-Authentifizierungsanfrage erhalten?
  • Können Benutzer ein Sicherheitsproblem schnell melden?
  • Wissen alle Benutzer, wie sie Ihren Service Desk kontaktieren können?
  • Weiß Ihr Service Desk, wie er auf ein Sicherheitsproblem reagieren soll?
  • Haben die Nutzer die Möglichkeit, sich direkt an das Sicherheitsteam zu wenden?
  • Wissen die Benutzer, wie der Service Desk sie rechtmäßig kontaktiert, und dass man Kontakten außerhalb dieses Mechanismus nicht trauen sollte?
  • Wissen die Nutzer, wie sie überprüfen können, ob ein Kontakt legitim ist?
Prävention durch Sicherheitsmaßnahmen und -kontrollen

Die erste Möglichkeit, eine MFA-Müdigkeit zu verhindern, besteht darin, sie gar nicht erst entstehen zu lassen. Der Verzicht auf Passwörter eliminiert den Hauptangriffsvektor: ein Benutzername-Passwort-Paar, das über Monate hinweg bestehen bleiben kann. Ziehen Sie die Verwendung von FIDO als primären Faktor in Betracht. Aber FIDO ist vielleicht noch nicht für jeden praktisch - und wenn das der Fall ist, was sollten Sie dann stattdessen tun?

Wie so oft bei der Sicherheit ist die beste technische Vorbeugung eine mehrschichtige Verteidigung. Hier sind einige der Dinge, die Sie berücksichtigen sollten. Wählen Sie die Maßnahmen, die am besten zu Ihrer Umgebung passen:

  • Wenn Sie sich immer noch auf Benutzernamen und Passwörter verlassen, stellen Sie sicher, dass Sie zumindest einen Passwort-Tresor oder, noch besser, eine vollständige PAM-Lösung (Privileged Authentication Management) für Ihre sensibelsten Zugriffe haben. Vergewissern Sie sich auch, dass die Lösung ordnungsgemäß verwendet wird; vielleicht ist es an der Zeit für einen Gesundheitscheck
  • Wenn der Verdacht besteht, dass die Anmeldedaten kompromittiert wurden, setzen Sie das Passwort zurück. Das Zurücksetzen verhindert Push-Bombing in Zukunft.
  • Auch wenn es nicht die beste Praxis ist, Passwörter willkürlich zu ändern (aus einer Reihe von Gründen), so schränkt eine erzwungene Passwortänderung doch die Zeit ein, in der kompromittierte Anmeldedaten leicht für Push-Bombardements verwendet werden können.
  • Überprüfen Sie Ihre MFA-Konfiguration, um sicherzustellen, dass die Zugriffsmuster sinnvoll sind. Es ist möglich, selbst die besten MFA-Lösungen so zu konfigurieren, dass sie zu viele Zugriffe mit begrenzter Überprüfung zulassen.
  • Auch bei Passwörtern gilt der gesunde Menschenverstand. Klären Sie die Benutzer darüber auf, warum sie ihre Passwörter nicht für andere Dienste freigeben sollten. Auf diese Weise wird im Falle einer Kompromittierung die Angriffsfläche für Push-Bombing eingeschränkt.
  • Wenn Sie sich zu sehr auf die Push-Authentifizierung verlassen oder zu sensible Daten schützen wollen, sollten Sie die Häufigkeit der Anfragen nach Einmalpasswörtern (OTP) mit Soft- oder Hard-Tokens erhöhen. OTP-Anfragen werden in einem Angriffsszenario vom Angreifer gesehen und gelangen nie zum Benutzer.
Erkennung falscher Anfragen

Um eine falsche Push-Authentifizierungsanfrage programmatisch zu erkennen, müssen viele Dinge erfolgreich funktionieren. Die Protokolle Ihres Authentifizierungssystems müssen auf die richtige Stufe eingestellt sein, an den richtigen Protokollsammler gesendet und ordnungsgemäß analysiert werden, und der Inhalt muss so beschaffen sein, dass eine entsprechende Warnung erzeugt wird. Von dort aus muss ein wachsames, rund um die Uhr besetztes Security Operations Center (SOC) diese Warnung empfangen und erkennen und ein aktuelles Runbook für das weitere Vorgehen erstellen. Das hört sich nicht einfach an, und das ist es auch nicht. Eine Vielzahl von Tools und Mechanismen kann den Aufwand reduzieren, aber der wichtigste Punkt ist, dass Sie das Protokollereignis, das Sie interessiert, identifizieren, die Schwellenwerte, die für Sie wichtig sind, berücksichtigen und herausfinden müssen, welche Maßnahmen Sie ergreifen müssen, wenn Sie einen Alarm erhalten, und den gesamten Prozess validieren.

Sie können eine aussagekräftige Warnmeldung für eine Push-Authentifizierungsablehnung in Erwägung ziehen und diese herunterfahren, wenn sie zu viel Lärm verursacht. Denken Sie daran: Wenn Ihre Benutzer gut geschult sind, können sie Sie sehr schnell auf ein Problem aufmerksam machen. Sie können sogar schneller sein, als ein SIEM die Protokolle analysieren, die Warnung herausgeben und das SOC erkennen und darauf reagieren kann. Es ist immer gut, einen Backup-Plan und mehrere Sicherheits- und Überwachungsebenen zu haben.

Überprüfen Sie die Protokollereignisse und Was-wäre-wenn-Szenarien auf der Grundlage eines Angriffs. Sie müssen sicherstellen, dass Sie die richtigen Daten identifizieren und erhalten. Suchen Sie nach einem Protokollereignis, das sich auf einen Benutzer bezieht, der eine Push-Anforderung verweigert hat, als wichtigstes Element. Ein weiteres interessantes Element sind abgebrochene Push-Autorisierungsanfragen.

Denken Sie daran, dass die Erkennung einer fehlerhaften Push-Anfrage bedeutet, dass Sie wahrscheinlich auch eine Kompromittierung von Anmeldeinformationen erkannt haben. Selbst wenn ein Benutzer die Push-Anfrage ablehnt, besteht also bereits ein gewisses Risiko, wenn es in Ihrem Unternehmensnetzwerk eine Stelle gibt, auf die eine Kombination aus Benutzername und Kennwort Zugriff geben könnte. Wenn Sie über eine Erkennung für fehlerhafte Push-Authentifizierungsanfragen verfügen, kann dies als Erkennungsmechanismus für kompromittierte Anmeldeinformationen dienen.

RSA-Benutzer können sehen, wie ID Plus die risikobasierte Authentifizierung und andere Funktionen nutzt, um Aufdeckung und Abwehr von Bombenangriffen.

Vorsicht ist besser als Nachsicht

Die angemessene Reaktion auf Push-Bombing hängt von der Schwelle ab, mit der Sie einverstanden sind. Aber selbst bei einem unerwarteten Push-to-Authenticate sollte ein Benutzer die Sitzung abbrechen und gezwungen werden, sein Passwort zu ändern. Denken Sie daran, dass dies ein Ereignis mit geringer Häufigkeit sein sollte. Seien Sie sicher, nicht traurig. Die Änderung des Kennworts verhindert auch potenzielle künftige Angriffe mit diesen spezifischen Benutzerdaten.

Auch wenn Kennwörter in die Jahre gekommen sind, sollten Sie, wenn sie Teil der MFA in Ihrem Unternehmen sind, einen vertrauenswürdigen Prozess entwickeln und dokumentieren, um eine Kennwortrücksetzung zu erzwingen, und sich von der Führungsebene vorab die Zustimmung geben lassen, um bei jedem Verdacht auf eine Kompromittierung den Auslöser für die Kennwortänderung und den Entzug der Sitzung zu betätigen. Je länger ein Angreifer Zugriff auf Ihr Netzwerk hat, desto mehr Schaden kann er anrichten. Berücksichtigen Sie die Reaktionszeit. Setzen Sie sich schnell und proaktiv über einen vertrauenswürdigen Kanal mit den Benutzern oder ihren Managern in Verbindung, wenn Sie eine Warnung erhalten, und legen Sie den richtigen Kontaktmechanismus für Ihr Unternehmen fest, z. B. einen E-Mail-Formularbrief, um die Benutzer und ihre Manager über den Vorfall zu informieren und sie zu alarmieren. Die Kommunikation trägt wesentlich dazu bei, Vertrauen aufzubauen, das sich bei künftigen Sicherheitsbedenken auszahlen wird.

Denken Sie daran, dass Push-Bombing nur eine Art von Angriff ist, und Sie sollten jeder Reaktion darauf in Ihrem Gesamtprogramm je nach Wahrscheinlichkeit und Risiko für Ihre Umgebung Priorität einräumen. Wenn ein Angreifer erfolgreich ist, müssen Sie sich auf Ihre anderen Sicherheitskontrollen verlassen, um den Schaden zu begrenzen und sicherzustellen, dass Sie sich schnell wieder erholen können.

Sie könnten auch interessiert sein an...

Demo anfordern

Demo anfordern