Eine der frustrierendsten Regeln der Cybersicherheit ist, dass es unabhängig von den Investitionen, die Unternehmen in ihre Technologie tätigen, oder unabhängig davon, wie ausgeklügelt ihre Architektur ist, in der Regel einfacher ist, eine Person oder einen Prozess zu hacken als eine Technologie zu knacken. Die Multi-Faktor-Authentifizierung (MFA) ist so effektiv, dass sich Angreifer nicht die Mühe machen, sie direkt anzugreifen: Stattdessen finden sie Wege, um die MFA umgehen und andere Geschäftsebenen oder Benutzer ins Visier nehmen, um in einer Umgebung Fuß zu fassen.
Um MFA zu umgehen, verwenden Cyberkriminelle betrügerische E-Mails, Texte und Benachrichtigungen, die angeblich von "ein Helpdesk-E-Mail-Konto", um die Nutzer in Flächenbombardement und MFA-Müdigkeit Angriffe. Aber was passiert, wenn Hacker ihre Taktik weiterentwickeln und es auf den Helpdesk selbst abgesehen haben?
Das ist nicht nur eine theoretische Frage. Caesars Entertainment zahlte Berichten zufolge $15 Millionen nachdem es einer Gruppe von Cyberkriminellen gelungen war, ihre Systeme zu infiltrieren und zu stören. Die Organisation berichtet dass die Sicherheitsverletzung zum Teil durch einen "Social-Engineering-Angriff auf einen ausgelagerten IT-Support-Anbieter" verursacht wurde. Letztes Jahr, LAPSUS$ rief beim Helpdesk einer "Organisation an und versuchte, das Support-Personal davon zu überzeugen, die Anmeldedaten eines privilegierten Kontos zurückzusetzen.
Der Angriff auf Caesars Entertainment zeigt, warum Unternehmen ihre Helpdesks verstärken müssen. Aber es ist einfach, darüber zu reden - die Entwicklung sicherheitsorientierter Abläufe erfordert die Unterstützung durch die Führung, Investitionen in Technik und Mitarbeiter, Schulungen und vieles mehr. Auch wenn einige der jüngsten Angriffe speziell auf Helpdesks abzielten, bedeutet dies nicht, dass Helpdesks besonders anfällig für Angriffe, unsicher oder risikoreich sind. Ganz im Gegenteil: Unternehmen müssen die Prinzipien der Sicherheit in den Vordergrund stellen jede Geschäftsprozess. Sie sind alle gefährdet.
Davon abgesehen, Zerstreute Spinne und ALPHV/BlackCat haben Helpdesks in letzter Zeit ins Rampenlicht gerückt. Lassen Sie uns also einige der besten Praktiken besprechen, die Sicherheitsteams und Helpdesks anwenden können, und die Fragen, die sie sich stellen sollten, um einen Zero-Trust-Helpdesk zu entwickeln.
Helpdesks (oder Servicedesks) sind in den meisten Unternehmen ein fester Bestandteil der IT-Landschaft. Sie haben eine Vielzahl von Funktionen, aber oft sind sie die erste Anlaufstelle für jemanden, der sich nicht bei seinem Computer anmelden kann oder Probleme beim Zugriff auf Ressourcen hat. Um diese Probleme zu lösen, kann der Helpdesk einige ziemlich risikoreiche Aktionen durchführen, darunter:
- Passwörter zurücksetzen
- Entfernen von MFA für gesperrte Benutzer
- Ein neues Konto erstellen
Das ist nur der Anfang: Helpdesk-Mitarbeiter können der Einstiegspunkt sein, um noch risikoreichere Aktionen durchzuführen, wie z. B. die Erstellung von Administratorkonten oder die vorübergehende vollständige Aufhebung der MFA, um ein systemweites Problem zu beheben. Selbst wenn Helpdesk-Mitarbeiter diese Maßnahmen nicht direkt durchführen können, können sie möglicherweise Tickets für andere Gruppen öffnen, die dies können.
Es sind genau diese Aktionen, die den Helpdesk zu einem attraktiven Ziel für Angreifer machen: Ein Helpdesk kann Sicherheitsrichtlinien aussetzen oder umgehen. Da Unternehmen außerdem wollen, dass ihre Benutzer und Kunden verbunden, produktiv und zufrieden bleiben, wird es für Angreifer ein Leichtes sein, die Kontaktdaten des Helpdesks zu finden.
Die gute Nachricht ist, dass der Helpdesk zwar erhebliche Risiken birgt, die Sicherheitsteams diese Gefahren jedoch minimieren können, indem sie der Identität, der Prozessdokumentation, der Automatisierung und der Entwicklung von Defense-in-Depth Priorität einräumen.
Beginnen Sie damit, Ihren Helpdesk kennen zu lernen: Wer ist dort beschäftigt? Was tun sie normalerweise? Welche könnte was sie tun? Wozu haben sie Zugang, und warum brauchen sie diesen Zugang?
Jedes Unternehmen sollte sich die Frage stellen, inwieweit der Helpdesk Zugriff auf seine Umgebung hat. Die Sicherheitsteams müssen diese Antwort regelmäßig anhand des Konzepts der geringsten Berechtigung überprüfen. Um dem Null-Vertrauen näher zu kommen, sollte Ihr Helpdesk nur auf die Funktionen zugreifen können, die er für seine Arbeit benötigt, wenn er sie benötigt. Ein weitreichender administrativer Zugriff für Helpdesk-Mitarbeiter ist ein absolutes Tabu.
Ein guter Anhaltspunkt dafür ist der Servicekatalog des Helpdesks: Die Supportmitarbeiter sollten nur über die erforderlichen Zugriffsrechte verfügen, um diese Dienste auszuführen, und nur diese. Das Sicherheitsteam sollte überprüfen, ob die Helpdesk-Mitarbeiter über mehr Berechtigungen verfügen, als sie benötigen, insbesondere für Aktionen, die die Identitätssicherheitseinstellungen eines Benutzers ändern könnten - und wenn dies der Fall ist, sollten sie für eine angemessene Kontrolle dieser Berechtigungen sorgen.
Sobald Sie ein Gefühl dafür bekommen haben, was der Helpdesk typischerweise tut und was er tun könnte, bitten Sie um Einsicht in seine Runbooks und Prozessdokumentation. Wenn sie keine haben, ist es an der Zeit, welche zu schreiben und sie auf gute Sicherheitspraktiken zu überprüfen - einschließlich Identitätsüberprüfung.
Wenn Sie schon dabei sind, sollten die Sicherheitsteams auch betonen, dass Identitätsaktionen mit höherem Risiko den Standardprozessen des Änderungsmanagements folgen sollten: Aktionen wie das Hinzufügen eines neuen Verbunds oder eines neuen Mandanten zu Ihrem Verzeichnis sollten strengeren Prozessen folgen. Wenn jemand versucht, diese risikoreicheren Aktionen außerhalb eines normalen Prozesses zu starten, sollte Ihr Sicherheitssystem den Versuch erkennen, die Sicherheitskräfte alarmieren und ihn blockieren.
Und bleiben Sie nicht bei Ihrem Helpdesk-Team stehen. Auch wenn Helpdesks einen großen Spielraum bei der Unterstützung von Benutzern haben, müssen sie manchmal eine andere Gruppe hinzuziehen, um komplexe oder riskante Aufgaben zu erledigen. Wenn mehrere Gruppen zusammenarbeiten, sollten Sie sicherstellen, dass jedes Team weiß, welche Aufgaben mehr als eine Funktion erfordern, wer die Anfrage prüft und wie sie zu dokumentieren ist.
Cyberkriminelle werden jede Annahme ausnutzen, die Sie darüber treffen, welches Team für welche Aktion zuständig ist. Wenn ein VIP sagt, dass er einen neuen Manager eingestellt hat, der sofort Verwaltungsanfragen benötigt, wie erhält dann der Helpdesk diese Anfrage, überprüft sie und koordiniert sie mit anderen Teams? Sie müssen alle Annahmen überprüfen, um sicherzustellen, dass die Anfrage aus Ihrem Unternehmen kommt - und dass Sie nicht den Bösewichten helfen.
Helpdesk-Mitarbeiter müssen von ihren Führungskräften und Sicherheitsteams hören, dass sie etablierte Prozesse befolgen, Dokumentationen verlangen und Benutzer verifizieren müssen.insbesondere für außergewöhnliche Anfragen - zur Aufrechterhaltung einer sicheren Praxis.
Ihr Helpdesk sollte wissen, dass die Sicherheits- und Führungsteams hinter ihm stehen. Es handelt sich nicht nur um eine technische oder betriebliche Änderung, sondern um einen kulturellen Wert, den die Führung im gesamten Unternehmen kultivieren muss. Denn es ist genauso wahrscheinlich, dass risikoreiche Anfragen von internen Führungskräften, externen VIPs oder Bedrohungsakteuren kommen, die sich mit einer "dringenden" Anfrage an Ihren Kundendienst wenden, um ein Problem zu lösen oder sich Zugang zu verschaffen.
In solchen Situationen kann ein Helpdesk-Mitarbeiter nicht immer "Nein" sagen. Sorgen Sie stattdessen für die Technologie, den Prozess und die Kultur, die es ihnen ermöglichen, "Ja" zu sagen: "Ja, und hier ist, was Sie tun müssen, um das zu erledigen." Wenn diese Schritte im Voraus festgelegt werden - und wenn man weiß, dass die Unternehmensleitung und das Sicherheitsteam dem Helpdesk zur Seite stehen, wenn zusätzliche Schritte erforderlich sind -, kann dies den entscheidenden Unterschied bei der Verhinderung einer Sicherheitsverletzung ausmachen.
Es handelt sich jedoch nicht nur um einen Top-Down-Prozess: Organisationen sollten Automatisierung wenn es sinnvoll ist, die Belastung durch manuelle Prozesse oder VIP-Druck zu begrenzen. Automatisierung ist kein Allheilmittel: Ihr Helpdesk muss möglicherweise immer noch auf Anrufe reagieren, bei denen nach Ausnahmen gefragt wird, und die Anrufer entweder an die Automatisierung zurückverweisen oder ein Eskalationsverfahren einrichten, das vertrauenswürdige Genehmigungen erfordert.
Nehmen wir an, Sie haben alle oben genannten Schritte unternommen: Sie haben sich mit Ihren Helpdesks getroffen, wissen, was sie tun können, haben die Aktionen mit höherem Risiko katalogisiert, die zu priorisieren sind, haben eine Dokumentation erstellt, und Ihr Führungsteam erklärt routinemäßig, dass Ihr Unternehmen sich immer auf die Seite der Sicherheit schlagen wird, selbst wenn dies bedeutet, dass ein Benutzer Unannehmlichkeiten erleidet.
Die nächste Frage, die Sie beantworten müssen, ist, wie Ihr Helpdesk- oder Kundensupport-Team die Identität überprüfen wird. Die Authentifizierung der Identität des Benutzers ist absolut entscheidend, denn so gut Ihre Support-Sicherheit auch konzipiert oder dokumentiert sein mag, sie ist unwirksam, wenn jemand in Ihrem Team eine Anfrage bearbeitet, zu der ein Benutzer nicht berechtigt ist.
Kürzlich wurde die visuelle Überprüfung als eine Möglichkeit genannt, Phishing-Probleme anzugehen. Organisationen können überprüfen NIST 800.63A um herauszufinden, ob die für eine "übergeordnete" Stärkeüberprüfung erforderlichen Fähigkeiten für ihre Situation sinnvoll sind. Angesichts der technischen Anforderungen, die für eine unabhängige visuelle Verifizierung erforderlich sind, und der Schulung, die Ihr Helpdesk für die Implementierung dieses Mechanismus benötigt, sollte dies mit Vorsicht geschehen. Die visuelle Verifizierung könnte immer noch anfällig für Fälschungen sein, die immer leichter zu bewerkstelligen sind, wenn es sich um einen Remote-Helpdesk handelt, der die Person, die die Anfrage stellt, nicht kennt. Aufgrund dieser Herausforderungen bin ich skeptisch, dass die visuelle Verifizierung in den meisten Situationen effektiv eingesetzt werden kann.
Stattdessen können Unternehmen einen traditionellen Defense-in-Depth-Ansatz und MFA verwenden, um zu überprüfen, ob jemand derjenige ist, der er vorgibt zu sein. Eine gut formulierte Anfrage- und Verifizierungsmethode kann mit einem einzigen anfänglichen Vertrauensvektor beginnen, wie z. B. einer definierten E-Mail oder einer Anmeldung bei einem Support-Portal, sollte aber auch zusätzliche Faktoren wie einen Out-of-Band-Kontakt über ein zweites vertrauenswürdiges System integrieren. Methoden zur Nutzung eines Out-of-Band-Kontakts könnten sein:
- Genehmigung durch den Vorgesetzten: Überprüfen Sie systematisch, ob der Vorgesetzte die Zugangsanfrage in Ihrem Ticketingsystem genehmigt.
- Rufen Sie den Vorgesetzten (bei Mitarbeitern) oder die Kontaktperson in der Akte (bei Kunden) an, um zu überprüfen, ob die Anfrage gültig ist. Ein Vorgesetzter verfügt in der Regel über eine Out-of-Band-Methode, um seine Mitarbeiter zu kontaktieren.
- Führen Sie eine Telefonkonferenz durch, an der zunächst der Service-Desk-Mitarbeiter und der Benutzer, der die Anfrage stellt, teilnehmen. Bitten Sie dann eine dritte Person - z. B. einen Manager oder ein Teammitglied - an dem Gespräch teilzunehmen, um den Benutzer und seine Anfrage visuell zu überprüfen.
- Um die Genehmigung zu beschleunigen, können Sie auch einen Kollegen oder Assistenten aus dem Unternehmensverzeichnis einsetzen, um den Antrag zu überprüfen.
Jedes Verifizierungssystem kann fehlerhaft sein, aber die Kombination einiger nicht miteinander verbundener Elemente zur Identitätsüberprüfung vor der Bearbeitung einer risikoreichen Anfrage kann dazu beitragen, dass Ihr Helpdesk gegen die meisten Phishing-Versuche gewappnet ist. Bei den angeführten Beispielen sollten Sie berücksichtigen, wie nah oder fern die Elemente in der technischen Landschaft liegen - wenn Sie beispielsweise ein Microsoft-Unternehmen sind, das Active Directory, M365 für E-Mail und Teams verwendet, sollten Sie diese miteinander verknüpften Elemente nicht kombinieren, wenn Sie den stärksten MFA-Ansatz wünschen.
Eine weitere Möglichkeit, Ihren Helpdesk und andere Geschäftsabläufe gegen Social-Engineering-Angriffe wie diese zu schützen, ist die Identitätsprüfung. In Kürze werden wir mehr über Identitätsnachweise berichten.
