Es dauerte nicht lange, bis das Jahr 2025 eine Erinnerung an die Bedeutung der Identitätssicherheit lieferte, indem es die US-Finanzministerium die den Kongress darüber informierte, dass sich ein "vom chinesischen Staat gesponserter" Akteur unter Ausnutzung von Schwachstellen Zugang zu seinen Systemen verschafft hatte (CVE-2024-12356 und CVE-2024-12686) in den Systemen von BeyondTrust.
Und während CISA Berichten zufolge war das Finanzministerium die einzige Bundesbehörde, die von dieser Sicherheitslücke betroffen war, aber die Geschichte ist noch nicht abgeschlossen. Mehr als 13.000 Instanzen der betroffenen Dienste sind immer noch mit dem Internet verbunden und können anfällig sein, berichtet Zensiert. Seit der ersten Veröffentlichung durch das Finanzministerium hat CISA CVE-2024-12686 zu seinem Katalog bekannter ausgenutzter Sicherheitslücken, die von den Bundesbehörden verlangt, "ihre Netzwerke gegen laufende Angriffe auf die Schwachstelle zu sichern".
Es ist nie hilfreich, Montagmorgen-Quarterback zu spielen, und das ist besonders in Situationen wie dieser der Fall, wenn Details über den Einbruch noch nicht bekannt sind. Stattdessen halten wir es für sinnvoll, die Fakten über den Einbruch im Finanzministerium zu betrachten und zu erläutern, was diese Fakten unserer Meinung nach für zukünftige Cybersicherheitsprogramme von Unternehmen bedeuten.
In seinem Bericht stellt BeyondTrust fest, dass "eine Ursachenanalyse eines Remote Support SaaS-Problems ergab, dass ein API-Schlüssel für Remote Support SaaS kompromittiert wurde". Der Bericht stellt fest, dass der kompromittierte API-Schlüssel für Remote Support SaaS "das Zurücksetzen von Passwörtern für lokale Anwendungskonten ermöglichte".
BeyondTrust hat die geeigneten Maßnahmen ergriffen, um den API-Schlüssel sofort zu widerrufen und wahrscheinlich die Rücksetzung des Passworts einzuleiten. Die Sicherung von APIs muss jedoch Teil eines viel umfassenderen Ansatzes sein: Unternehmen müssen den gesamten Lebenszyklus von Anmeldeinformationen sichern. Das ist ein größeres Problem als nur die Authentifizierung. Unternehmen müssen die Bereitstellung, Registrierung und Rücksetzung von menschlichen und maschinellen Konten berücksichtigen.
Sie müssen auch sicherstellen, dass was Benutzer sich authentifizieren, ist immer noch relevant. Ich sollte nur auf die Ressourcen zugreifen können, die ich für einen bestimmten Zweck benötige. Jeder zusätzliche Zugriff - jeder Zugriff, den ich habe, aber nicht benötige - birgt nur ein weiteres Risiko.
Unternehmen müssen dies auch auf APIs ausweiten. Menschliche Benutzer und Geräte standen bisher im Mittelpunkt des Sicherheitsinteresses, wobei Dienstkonten und APIs übersehen wurden. Unternehmen müssen wissen, worauf diese Dienste zugreifen können und was sie mit diesem Zugriff tun. Außerdem müssen sie APIs unabhängig für jeden Mieter erstellen und verwalten - doppelte API-Schlüssel sind genauso riskant und schlecht wie die gemeinsame Nutzung von Passwörtern.
In seinem Schreiben an den Kongress stellte das Finanzministerium fest, dass sich der "Bedrohungsakteur Zugang zu einem Schlüssel verschafft hatte, der von dem Anbieter zur Sicherung eines Cloud-basierten Dienstes verwendet wurde, der dazu diente, Endnutzern der Finanzministerien (DO) aus der Ferne technischen Support zu bieten".
Es ist schwer zu sagen, was das in diesem Fall genau bedeutet, aber es gibt Elemente, die mich an die Anschläge von 2023 erinnern, die die MGM Resorts und Caesars Entertainment Gruppe Hunderte von Millionen Dollar.
Sowohl bei den Ransomware-Angriffen in Las Vegas als auch bei dem kürzlich erfolgten Einbruch in das Finanzministerium nutzten die Angreifer eine Kombination aus den Support-Desks und APIs der Unternehmen. Der Hauptunterschied besteht darin, dass die Angreifer bei den Angriffen in Las Vegas Social Engineering einsetzten, um den IT-Helpdesk zum Zurücksetzen eines Passworts zu bewegen.
Unternehmen müssen sich der Risiken bewusst sein, die ihre eigenen Helpdesks darstellen können. In der Vergangenheit haben sich Bedrohungsakteure als IT-Helpdesks ausgegeben, um ihre Ziele sozial zu manipulieren, und diese Taktik scheint auch bei dem Angriff auf das Finanzministerium eine Rolle zu spielen.
Diese Ämter stehen unter großem Druck, haben einen großen Handlungsspielraum und verfügen möglicherweise nicht über eine vollständige Dokumentation ihrer Prozesse oder Maßnahmen.
Helpdesk-Mitarbeiter können unter Umständen Passwörter zurücksetzen, MFA entfernen oder ganz neue Konten erstellen. Darüber hinaus können Helpdesks unter Druck gesetzt werden, zu handeln, bevor sie einen Fall gebührend geprüft oder ihre Maßnahmen dokumentiert haben.
Um dem entgegenzuwirken, muss die Unternehmensführung zum Ausdruck bringen, dass die Sicherheit an erster Stelle steht, Unternehmen müssen Änderungsmanagementprozesse dokumentieren und anwenden, und in Hochrisikofällen sollte eine Out-of-Band-Kommunikation erforderlich sein, um zu überprüfen, ob die Person, die um Hilfe bittet, auch diejenige ist, die sie vorgibt zu sein. Sehen Sie unser On-Demand-Webinar um zu erfahren, wie Unternehmen ihre Helpdesks vor Phishing-Angriffen schützen können.
Es ist noch zu früh, um alle Faktoren zu kennen, die an der BeyondTrust-Datenpanne beteiligt waren. Alles, was die Forscher bisher wissen, sind die beiden Sicherheitslücken, die das Unternehmen offengelegt hat. Alles andere - einschließlich der Frage, ob die Schwachstellen "als Zero-Day-Angriff genutzt wurden, um Zugang zu den Systemen von BeyondTrust zu erlangen, oder als Teil der Angriffskette, um Kunden zu erreichen". Piepsender Computer, ob der Support-Desk gefälscht wurde und wie das Unternehmen seine APIs sichert, ist alles noch Spekulation. Es könnte noch weitere Faktoren geben, die die Forscher mit der Zeit aufdecken werden.
Und genau das ist der Punkt. Es gibt so viele Stufen und Komponenten im Tech-Stack eines Unternehmens, die kaputt gehen, übersehen, unsicher sein oder missbraucht werden können. Unternehmen sollten sich zwar bemühen, sie alle einzeln zu sichern, aber sie sollten auch einen umfassenderen Zero-Trust-Rahmen umsetzen.
Stellen Sie nicht zu viel Zugang zur Verfügung, setzen Sie auf "Secure by Default" und "Secure by Design", schulen Sie Ihre Benutzer und entfernen Sie jegliches implizite Vertrauen in Benutzer, Systeme und Daten. Untersuchen Sie Ihre gesamten Geschäftsprozesse und technischen Systeme auf Schwachstellen und lassen Sie nicht zu, dass das Perfekte der Feind des Guten ist: Jede Verbesserung, die Sie an Ihrer Sicherheitslage vornehmen können, oder jedes implizite Vertrauen, das Sie aus Ihrer Umgebung entfernen können, wird einen großen Beitrag zur Verhinderung oder Minimierung eines Verstoßes leisten.
