Wann wurden Sie das letzte Mal gephisht? Gerade jetzt? Heute schon früher? Gestern? Wahrscheinlich war es in letzter Zeit öfter, als Sie denken, denn Phishing ist der größte häufigste Angriffe im Zusammenhang mit Anmeldeinformationen laut dem Verizon 2024 Data Breach Investigations Report und mit 3,4 Milliarden Spam-E-Mails die Berichten zufolge jeden Tag ausgeht.
Eine noch interessantere Frage: Wann war die erste wann wurden Sie gephisht? Vor zehn Jahren? Vor zwanzig? Mehr? Wenn Sie im Jahr 2000 online waren, wurden Sie vielleicht sogar von der ILOVEYOU Wurm, eine sehr frühe Phishing-Masche, die unter anderem die E-Mail-Systeme von AT&T und dem Pentagon lahmlegte.
Das alles bringt uns zu der wirklich wichtigen Frage: Warum zum Teufel passiert das überhaupt noch, und was ist nötig, um es zu stoppen?
Nun, bis jetzt hatten wir nicht das richtige Sicherheitsparadigma, um Phishing wirksam zu bekämpfen. Aber die gute Nachricht ist, dass wir es jetzt haben: Null Vertrauen.
Phishing hält sich aus mehreren Gründen hartnäckig: Es ist leicht zu bewerkstelligen, es ist schwer zu bekämpfen, und es lohnt sich sehr. Die Methode der Verschleierung ist denkbar einfach: Man gibt sich als eine andere Person aus und verleitet das Opfer dazu, Anmeldedaten anzugeben, die den Zugriff auf wertvolle Daten und andere Ressourcen ermöglichen.
Wie Charlie Brown vertraut Lucy nicht den Fußball zu bewegen, scheinen Phishing-Opfer immer wieder auf denselben Fehler hereinzufallen. Das liegt daran, dass sich die Methoden der Täter ständig weiterentwickeln. Zum Beispiel, Während die ersten Phishing-Versuche in der Regel per E-Mail erfolgten, werden jetzt auch Textnachrichten und andere Formen der Kommunikation genutzt. Durch den ständigen Wechsel der Formen und Methoden wird es für die Empfänger immer schwieriger, diese zu erkennen. verschiedene Phishing-Methoden als das, was sie sind - selbst wenn der Empfänger jemand ist, der es besser wissen sollte.
Solange Phishing-Betrügereien funktionieren, werden Unternehmen weiterhin Geld verlieren und bösartige Akteure werden sich weiter bereichern. Der jüngste Durchschnittswert von Sicherheitsverletzungen, die durch Phishing verursacht wurden? $4,76 Millionen, so der IBM Cost of a Data Breach Report 2023.
Aber es gibt einen Weg zu einem anderen Ergebnis, und der liegt in Zero Trust.
Nach all den Jahren, in denen Unternehmen durch Phishing-Angriffe Millionen von Dollar verloren haben, zeichnet sich nun ein Wandel in der Art und Weise ab, wie wir uns vor Phishing, Ransomware, Angriffen auf die Lieferkette und anderen Bedrohungen schützen - ein Wandel, der sehr gute Voraussetzungen für eine effektivere Abwehr von Phishing bietet.
In diesem Zusammenhang wird Zero Trust zu einem der effektivsten Wege, die Sicherheit zu verbessern, indem man über die traditionellen Paradigmen des Perimeters hinausgeht, um Bedrohungen effektiver zu bekämpfen.
Wie in der Gartner-Studie festgestellt® Bericht "Schnelle Antwort: Was sind die Grundprinzipien von Zero Trust?": "Nullvertrauen ist ein Paradigma. Es ersetzt implizites Vertrauen durch eine kontinuierliche Bewertung des Risikos und des Vertrauensniveaus, basierend auf Identität und Kontext.
Im Zero-Trust-Sicherheitsparadigma ist die Überprüfung, ob jemand oder etwas nicht vertrauenswürdig ist, nicht länger ein einmaliges Ereignis, das nur als Reaktion auf einen Zugriffsversuch oder ein anderes potenziell riskantes Ereignis stattfindet. Stattdessen müssen Organisationen die Vertrauenswürdigkeit überprüfen ständig. Stellen Sie sich vor, dass Sie sich von der Idee "Vertrauen, aber überprüfen" als Grundlage für Sicherheit verabschieden und stattdessen das Konzept "Niemals vertrauen, immer überprüfen" übernehmen.
Einige der weltweit am höchsten gesicherten Organisationen - die entweder direkt oder indirekt Teil der Regierung sind - haben Zero Trust zur Verbesserung ihrer Sicherheit in Auftrag gegeben. Das US Office of Management and Budget (OMB) hat ein Memorandum herausgegeben M-22-09 legt eine föderale Zero-Trust-Architekturstrategie für die Regierung fest. Und in Europa enthält die NIS2-Richtlinie, die EU-weite Gesetzgebung zur Cybersicherheit, die sieben Grundsätze von Zero Trust-gemäß der Definition des US National Institute of Standards and Technology (NIST).
Sie fragen sich vielleicht, wie die oben beschriebenen hochrangigen Regierungsrichtlinien zu Zero Trust speziell auf die Bekämpfung von Phishing zutreffen. Die Gartner Bericht postuliert dies: "Sicherheits- und Risikomanagement-Führungskräfte können sich auf fünf Kernprinzipien einigen, um die Null-Vertrauens-Strategie ihres Unternehmens voranzutreiben". Wir sind der Meinung, dass mehrere dieser Kernprinzipien für die Anti-Phishing-Bemühungen direkt relevant zu sein scheinen:
"Identität feststellen". Um diesem Zero-Trust-Prinzip gerecht zu werden, benötigen Unternehmen laut Gartner-Bericht "eine etablierte Organisationspolitik, die festlegt, wer wann und warum Zugriff auf was haben sollte".
Wir sind der Meinung, dass diese Richtlinie eine der effektivsten Maßnahmen ist, die Unternehmen ergreifen können, um ihre allgemeine Sicherheit zu verbessern und sich speziell gegen Phishing zu schützen. Mit einer solchen Richtlinie ist es einfach unwahrscheinlicher, dass Benutzer, die Opfer eines Phishing-Angriffs werden, Zugang zu hochwertigen Zielen erhalten, auf die es böse Akteure abgesehen haben. Phishing-Konten haben auch weniger Möglichkeiten, sich seitlich zu bewegen und neue Berechtigungen zu finden oder anzufordern, um diese auszunutzen.
Der Bericht stellt außerdem fest, dass eine weitere Anforderung zur Erfüllung dieses Grundsatzes die "technologische Unterstützung für die Implementierung von Multifaktoren für die Authentifizierung" ist.
Da Phishing auf Anmeldeinformationen abzielt, kann eine Lösung wie RSA Multi-Faktor-Authentifizierung (MFA) den Schaden, den eine einzige kompromittierte Anmeldeinformation anrichten kann, erheblich begrenzen.
"Beschränkter Zugang". Unternehmen sollten nicht nur die Identität feststellen und im Voraus festlegen, welche Berechtigungen ein bestimmter Benutzer benötigt: Sie sollten sich auch bemühen, den Zugang so weit wie möglich zu beschränken. Im Falle von Phishing hilft die Beschränkung des Zugriffs sicherzustellen, dass sich böswillige Akteure nicht auf die Anmeldeinformationen eines Benutzers verlassen können, um das zu bekommen, was sie wollen. Aus diesem Grund empfiehlt der Gartner-Bericht auf dem Weg zu Zero Trust, dass "Benutzer oder Systeme nur dann Zugriff auf eine Ressource haben sollten, wenn sie eine bestimmte Funktion ausführen müssen."
Ebenso stellt der Bericht fest, dass ein eingeschränkter Zugang eine "Reduzierung der impliziten Vertrauenszonen und der den Benutzerkonten gewährten Rechte" erfordert. Wir sind der Meinung, dass weniger Personen mit weniger Zugriff und mehr Sperren zusammen eine Umgebung schaffen, in der es für einen bösen Akteur einfach nicht so viel gibt, was er ausnutzen könnte.
Zur Unterstützung dieses Umfelds, RSA Governance & Lebenszyklus bietet einen Rahmen für die Zugangsverwaltung, bei dem es nicht nur darum geht, zu wissen, worauf Benutzer Zugriff haben, sondern auch, was sie tun mit diesem Zugang.
"Risikobasierten adaptiven Zugang ermöglichen". Wenn Sie schon einmal etwas über Zero Trust gelesen haben, wissen Sie, dass einer der Grundgedanken hinter dieser Architektur "Never Trust, Always Verify" lautet. Das bedeutet, dass Unternehmen jede Zugriffsanfrage im Moment überprüfen, bevor sie weitere Privilegien oder Zugriffsrechte gewähren. Diese Idee der kontinuierlichen Überprüfung wird in diesem Punkt des Gartner-Berichts erwähnt: "Ein Wechsel von einmaligen Gate-Checks zu einer kontinuierlichen Risikobewertung während einer Sitzung".
Eine risikobasierte Authentifizierung ist für den Übergang zu Zero Trust und zur Verhinderung von Phishing von entscheidender Bedeutung, da Cyberkriminelle mit gefälschten Anmeldedaten wahrscheinlich versuchen, ein neues Gerät zu registrieren, von einem neuen Standort aus zu arbeiten oder den Zugriff außerhalb der typischen Arbeitszeiten des echten Benutzers zu versuchen. RSA Risiko AI können diese Signale erkennen und Zugriffsversuche entsprechend unterbinden. (Und selbst wenn ein bösartiger Akteur es anfangs irgendwie schafft, hineinzukommen, wird die risikobasierte Aufklärungsfähigkeit die Zeitspanne begrenzen, in der er dort bleiben kann).
Die Aussicht, Phishing mit Zero Trust zu bekämpfen, ist zwar aufregend, aber es ist auch wichtig zu wissen, dass Phishing keineswegs das einzige Problem ist. nur Bedrohungsvektor, gegen den sich Unternehmen mit Zero Trust schützen können.
###
Laden Sie den Gartner-Bericht herunter, Schnelle Antwort: Was sind die Grundprinzipien von Zero Trust?
Gartner, Inc. Schnelle Antwort: Was sind die Kernprinzipien von Zero Trust?, Wayne Hankins, Charlie Winckless, Andrew Lerner. Ursprünglich veröffentlicht am 2. Mai 2024.
GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten.
