Wenn das Jahr 2022 der Cybersicherheit eine Lehre erteilt hat, dann die, dass die Multi-Faktor-Authentifizierung (MFA) die erste Verteidigungslinie bei der Absicherung eines Unternehmens sein muss - sie darf nur nicht die einzige sein. zuletzt Linie der Verteidigung.
Im vergangenen Jahr gab es große Angriffe, die für Schlagzeilen sorgten und die MFA erfolgreich umgingen. Eine staatlich gesponserte Gruppe brach in ein NGO im März 2022. Dann verletzte LAPSUS$ eine Technologie-Anbieter bevor es dann weitergeht zu Uber, neben mehreren anderen aufsehenerregende Angriffe letztes Jahr.
Einige dieser Angriffe waren raffiniert. Einige waren es nicht. Aber sie alle bieten wichtige Lektionen darüber, wie und warum Cybersicherheit den gesamten Lebenszyklus von Identitäten schützen muss.
Ich werde die Schritte, die zu diesen MFA-Angriffen geführt haben, und die wichtigsten Erkenntnisse, die Unternehmen daraus ziehen sollten, unter RSA-Konferenz morgen, 25. April, um 9:40 Uhr PT.
Ein Hack, auf den ich nicht eingehen werde, ist die SolarWinds Bruch. Der Angriff auf SolarWinds ist zwar nicht Gegenstand meines Vortrags, zeigt aber, wie wichtig es ist, den gesamten Identitätslebenszyklus zu schützen. In diesem Fall nutzten Bedrohungsakteure SolarWinds, um einen Angriff auf die Lieferkette zu starten und sich monatelang Zugang zu Bundesbehörden, Cybersicherheitsfirmen und sogar Microsoft zu verschaffen.
Der Einbruch bei SolarWinds hat gezeigt, dass Bedrohungsakteure es tun, wenn ein Unternehmen der Identitätssicherheit keine Priorität einräumt. Bei der Nachuntersuchung des Angriffs stellten die Forscher fest, dass die Angreifer MFA umgingen, indem sie eine veraltete Web-Cookie-Technologie verwendeten, die fälschlicherweise als MFA klassifiziert wurde.
Aber das war nicht die einzige Schwachstelle, die die Angreifer ausnutzten: Sie stahlen auch Passwörter, nutzten SAML-Zertifikate, um "die Identitätsauthentifizierung durch Cloud-Dienste zu aktivieren", und erstellten "neue Konten auf dem Active Directory-Server". Jeder Schritt gab den Angreifern mehr Kontrolle und Methoden, um sich seitlich durch das SolarWinds Orion-Netzwerk zu bewegen - und dann weiter zu den Kunden.
Es gab keine einzelne Achillesferse der Identität, der die Hacker Priorität einräumten. Stattdessen konzentrierten sie sich "in erster Linie auf Angriffe auf die Identitätsinfrastruktur [Hervorhebung hinzugefügt]", denn "[i]dentities are the connective tissue that attackers are using to move laterally".
SolarWinds - und die erfolgreichen MFA-Angriffe von 2022 - haben gezeigt, warum Unternehmen verstehen müssen, dass die "Identitätsinfrastruktur ein Ziel ist".
Verstehen Sie mich nicht falsch: MFA ist immer noch die beste erste Verteidigungslinie. Sie schützt vor den häufigsten Passwortangriffen, einschließlich Social-Engineering-Taktiken wie Phishing und Credential Stuffing, Lauschangriffen, Brute-Force-Angriffen und mehr.
Aber MFA allein reicht nicht aus, um Risiken zu verhindern oder auf Bedrohungen zu reagieren. MFA muss mit zusätzlichen Funktionen über den gesamten Identitätslebenszyklus hinweg koordiniert werden, um die Sicherheit von Unternehmen zu gewährleisten.
Die Koloniale Pipeline Ransomware-Angriff zeigt, wie Bedrohungsakteure Lücken in der Identitätsinfrastruktur eines Unternehmens angreifen und die wichtige Rolle, die MFA immer noch spielt: DarkSide drang über ein verwaistes VPN-Konto, das nicht mehr verwendet wurde, in die Systeme von Colonial Pipeline ein.
Dieses verwaiste Konto diente der Colonial Pipeline nicht - es war eine Sicherheitsverbindlichkeit. nur. Ein gutes Programm zur Identitätssteuerung und -verwaltung (IGA) hätte dieses Konto vollständig aus dem Verzeichnis des Unternehmens entfernt.
Doch die Governance-Komponente war nur eine der Schwachstellen: Das verwaiste VPN-Konto von Colonial Pipeline war ebenfalls nicht durch MFA geschützt. Wahrscheinlich entweder eine IGA-Fähigkeit oder MFA hätte die Sicherheitsverletzung verhindert. Beide zusammen hätte zu einer viel stärkeren und intelligenteren Cybersicherheitsarchitektur geführt.
MFA ist nach wie vor einer der wichtigsten Bestandteile der Sicherheitsarchitektur eines jeden Unternehmens. Sie bietet jedoch mehr Wert - und schafft mehr Cybersicherheit - wenn sie mit anderen Sicherheitskomponenten über den gesamten Identitätslebenszyklus hinweg koordiniert wird.
Es gibt so viele Schwachstellen im gesamten Lebenszyklus von Identitäten. Und leider sind Bedrohungsakteure sehr geschickt darin, sie alle auszunutzen.
Während Colonial Pipeline und SolarWinds einige dieser Schwachstellen demonstrierten, fanden LAPSUS$ und ein staatlich gesponserter Hacker andere Wege, um Schwachstellen in der Identität auszunutzen und in Unternehmen im Jahr 2022 einzubrechen.
Wir können aus jedem Identitätsangriff viel lernen und Wege finden, den nächsten zu verhindern. Wenn Sie können, nehmen Sie bitte an meinem RSAC-Sitzung morgen, um mehr über diese Schwachstellen zu erfahren und darüber, was die Cybersicherheit tun kann, um sie zu beseitigen.
###
Nehmen Sie an der RSA-Konferenzsitzung von Dave Taku teil, "Anatomie des Angriffs: Der Aufstieg und Fall von MFA" morgen, 25. April um 9:40 AM PT.
