Die unmittelbare Reaktion auf Sicherheitsvorfälle wie die Ransomware-Angriffe auf die Kasinos in Las Vegas im Herbst dieses Jahres besteht meist darin, nach der Ursache zu suchen. Ich verstehe diesen Impuls. Die Auswirkungen der Angriffe - Gäste, die mit Hilfe von Ransomware auschecken mussten Stift und Papier, bis zu $100 Millionen an Verlusten für ein Opfer - zeigen die hohen Kosten von Sicherheitsmängeln. Niemand möchte das nächste Opfer einer Datenschutzverletzung sein.
Im Bereich der Cybersicherheit gibt es jedoch meist nicht nur eine Ursache. Bei den meisten Sicherheitsvorfällen machen sich Angreifer eine Kette von Schwachstellen zunutze, die ihnen nach und nach mehr Zugang und Kontrolle über eine Umgebung verschaffen. Es ist nicht produktiv, nach Ursache und Wirkung zu suchen, wenn es normalerweise keine gibt. Stattdessen müssen Sicherheitsteams ihre gesamte Umgebung, ihre Architektur und die Funktionsweise ihrer Technologie sowie ihre Geschäftsprozesse und -kultur und bringen sie näher an eine Zero-Trust-Architektur heran.
Wie bei den Kasinos, die von diesen Angriffen betroffen waren, geht es auch bei Cyberangriffen und der Cybersicherheit darum, die Chancen auszuspielen. In der Regel ist es nicht die eine Achillesferse, die die Cybersicherheit eines Unternehmens gefährdet. Vielmehr handelt es sich um statistische Zufälle und Risiken, die sich gegenseitig verstärken. Sicherheitsteams sollten nicht nach einer Silberkugel suchen, sondern die Bedingungen verstehen, die eine Schneeflocke in eine Lawine verwandeln können.
Auch wenn wir wahrscheinlich nie die ganze Geschichte darüber erfahren werden, wie ALPHV / BlackCat ihre Angriffe gestartet hat, wissen wir doch über einige der Bedingungen Bescheid, die ihnen halfen, in ihre Opfer einzudringen, und wie diese Bedingungen Risiken schufen, die die Angreifer begünstigten.
In ihrem Anweisung, ALPHV sagte, das Kasino habe "jeden einzelnen seiner Okta-Sync-Server heruntergefahren, nachdem es erfahren hatte, dass wir auf seinen Okta-Agent-Servern gelauert hatten, um die Passwörter von Personen zu erschnüffeln, deren Passwörter nicht geknackt werden konnten".
ALPHV war dazu in der Lage, weil Synchronisierung der Anwendungskennwörter von Okta, die "Standard-APIs verwendet, um Passwörter und lokale Anwendungen zu synchronisieren, wenn diese verfügbar sind". In der Produktdokumentation heißt es weiter: "Wenn Okta to Application - Sync Okta Password aktiviert ist, wird standardmäßig das bestehende Passwort synchronisiert. Das Okta-Passwort ist das Passwort, mit dem man sich bei Okta anmeldet."
Im Klartext bedeutet das, dass Okta die Active Directory-Passwörter seiner Benutzer kennt. Das liegt zum großen Teil an der Cloud-first-Architektur des Anbieters: Die Synchronisierung von Passwörtern hilft bei der Laufzeit und erleichtert ihnen die schnelle Bereitstellung und den Rollout des MFA-Systems.
Diese Entscheidung hilft den Unternehmen zwar, die Lösung schneller zu implementieren, bringt aber erhebliche Sicherheitseinbußen mit sich, die einem zentralen Grundsatz der Cybersicherheit zuwiderlaufen: Datenvermeidung oder anders ausgedrückt: Speichern oder übertragen Sie keine Daten, die nicht gespeichert oder übertragen werden müssen.
Dies ist eine seit langem geltende Regel, denn wenn eine Organisation etwas überträgt, ist es für einen Angreifer leichter, es zu stehlen. Genau das ist bei BlackCat und ALPHV passiert: Sie haben wahrscheinlich den Server kompromittiert, auf dem der Okta Agent AD lief. Von dort aus konnten sie einen Vampir abhören, um Passwörter zu kopieren, eine DLL einzuschleusen, Speichersegmente zu dumpen oder jede andere Aktion durchzuführen. Und genau das ist der Punkt: Es spielt keine Rolle, welche konkreten Aktionen die Angreifer auf dem kompromittierten Server durchgeführt haben.
Stattdessen begann das Risiko mit dem Einsatz einer Architektur, die Passwörter synchronisiert. Diese Entscheidung schuf die Voraussetzungen dafür, dass alles andere folgen konnte. Diese Entscheidung ist das Äquivalent dazu, dass man ein Gebäude auf Sand statt auf Felsen baut: Was man baut, könnte stehen, aber warum sollte man das Risiko eingehen?
Die BlackCat/ALPHV-Angriffe machen deutlich, wie schwierig es ist, Server zu sichern. Mehrfache Updates, Admin-Passwörter und die Wiederholung von Passwörtern ergeben eine große, komplexe und anfällige Angriffsfläche. Diese Art der Konfiguration begünstigt in der Regel Angreifer.
Die Alternative besteht darin, sowohl auf "Secure by Design" als auch auf "Secure by Default" aufzubauen. Grundsätze, die der Sicherheit in allen Produktfunktionen, Abläufen und Prozessen Vorrang einräumen und Unternehmen näher an Zero Trust bringen.
Wie bei vielen Dingen kommt es auch bei Secure by Design und Secure by Default auf die Details an. Es ist leicht zu behaupten, dass ein Produkt die Sicherheit in den Vordergrund stellt - es ist schwierig, etwas zu liefern, das diesen Maßstab auch tatsächlich erfüllt.
RSA entwickelt Lösungen, bei denen die Sicherheit im Vordergrund steht und die mit diesen Prinzipien beginnen. Wir synchronisieren keine Active Directory- oder LDAP-Passwörter - wir verfügen nicht über diese Anmeldeinformationen. Stattdessen verlangen wir von unseren Kunden, dass sie eine gehärtete virtuelle Appliance bereitstellen, die eine Verbindung zu ihren lokalen Benutzer-Repositories herstellt und Passwörter in Echtzeit validiert, anstatt sie auszuspähen und mit der Cloud zu synchronisieren.
Diese Entscheidung ist mit einigen Kompromissen verbunden: Die Bereitstellung einer gehärteten virtuellen Appliance und unseres virtuellen Identitätsrouters erfordert etwas mehr Zeit und Aufwand. Aber das ist ein Preis, den unsere Kunden und unser Team für lohnenswert halten, denn indem wir die Kennwörter nicht synchronisieren, minimieren wir die Angriffsfläche, anstatt sie zu vergrößern. Wenn wir sie nicht synchronisieren, können wir sie nicht verlieren - und ein Angreifer kann sie nicht ausnutzen. Wir würden auch argumentieren, dass die Lösungen anderer Anbieter auf lange Sicht mehr Zeit und Mühe kosten, da "schnellere" Lösungen zu einer viel größeren Angriffsfläche mit noch größerem Overhead führen.
RSA® Mobiles Schloss, Mobile Lock, das Vertrauen in nicht verwaltete Geräte schafft und zur Sicherung von BYOD beiträgt, ist auch ein Beispiel für die Prinzipien Secure by Design und Secure by Default. Mobile Lock sucht nur nach Bedrohungen, wenn Benutzer versuchen, sich mit RSA Authenticator für iOS und Android zu authentifizieren, und schränkt die Authentifizierung nur ein, wenn es eine Bedrohung erkennt. Es fragt auch nur das absolute Minimum an Daten ab, um seine Funktionen auszuführen, und unser Partner Zimperium sieht niemals persönliche Informationen über Endbenutzer. Der Sicherheitsgewinn durch weitere Maßnahmen - wie das ständige Scannen des Geräts eines Benutzers - wäre minimal, insbesondere im Vergleich zu der Möglichkeit, dass ein Angreifer einen ständig aktiven Hintergrunddienst angreifen könnte.
Das Gleiche gilt für unseren MFA-Agenten (Multi-Faktor-Authentifizierung). Im Falle eines Internetausfalls fällt unser MFA-Agent ausfallsicher auf eine lokale Bereitstellung zurück, anstatt offen auszufallen oder in einen Offline-Modus zu wechseln, in dem die OTP-Validierung im MFA-Agenten selbst stattfindet. Das bedeutet, dass Bedrohungsakteure nicht in der Lage sind die MFA umgehen indem sie einfach die Verbindung zum Internet unterbrechen oder den MFA-Backend-Dienst als offline erscheinen lassen, was im Wesentlichen das ist, was staatlich unterstützte Akteure mit einem NGO letztes Jahr.
Echte Sicherheit ist niemals übertechnisiert: Sie beruht auf einer vernünftigen Mischung aus einfachen Lösungen, wann immer dies möglich ist, und komplexeren Lösungen, wenn dies erforderlich ist. Jede Komponente eines Dienstes muss so konzipiert sein, dass die Angriffsfläche so gering wie möglich ist. Das bedeutet, dass nur das absolute Minimum an Informationen gesammelt wird, die ein System unbedingt benötigt, und dass diese Informationen nur dann verwendet werden, wenn es notwendig ist. Es bedeutet auch, dass architektonische Entscheidungen getroffen werden müssen, die die Angriffsfläche minimieren, anstatt sie unnötig zu vergrößern.
Bei der Cybersicherheit geht es in der Regel darum, die Chancen zu nutzen. Verbessern Sie Ihre Chancen, indem Sie auf Anbieter setzen, bei denen Sicherheit an erster Stelle steht.
