Die zahlreichen erfolgreichen Cyber-Angriffe der vergangenen Monate machen es mehr als deutlich: IT-Sicherheitsteams benötigen einen Einblick in die Interaktion der Benutzer mit ihrer IT-Infrastruktur über alle Medien hinweg.
Während des gesamten Angriffslebenszyklus wachsam bleiben – diese Vorgaben gilt es bei Cyber-Attacken zu beachten. Wird ein potentieller Angreifer entdeckt, der versucht, Daten aus der Produktionsdatenbank zu exfiltrieren, lässt sich dieser nicht einfach ausschalten, um sich der nächsten Aufgabe zuzuwenden. Sicherheitsexperten müssen daher sehen können, wie und wo die Angreifer eingedrungen sind, und diese Lücke stopfen. Das können sie jedoch nicht, wenn sie die Punkte zwischen der Cloud und der Netzwerkinfrastruktur nicht verbinden können.
Aus diesem Grund haben Sicherheitsingenieure Lösungen entwickelt, die eine einheitliche Ansicht der Konten im Netzwerk und in der Cloud bieten. Ein Beispiel wäre, wenn ein Benutzer auf Office 365 das Opfer von Spearphishing wird, so dass gestohlene Zugangsdaten verwendet werden, um auf kritische Infrastrukturen zuzugreifen.
Eine zeitgemäße Sicherheitsplattform zeigt dann diese Informationen auf, mit vollständigem Kontext darüber, was der Benutzer wann getan hat und warum man eingreifen sollte. Wenn jemand einige fragwürdige Exchange-Operationen auf Office 365 durchführt, kann eine moderne Lösung schnell zeigen, welche Hosts dieses Konto im Netzwerk betrifft, so dass sich sehen lässt, ob es verdächtige Aktivitäten auf diesen Hosts gegeben hat.
Bei der Betrachtung einiger aktueller Angriffe wird deutlich, dass Angreifer das Cloud-Netzwerk nicht als das geringste Hindernis für den Verlauf ihres Angriffs sehen.
Ausnutzung legitimer Tools für unerlaubte Aktionen
Die Aktionen von APT 33 begannen mit dem Brute-Forcing schwacher Zugangsdaten und der Ausnutzung von E-Mail-Regeln, um zum Endpunkt zu gelangen. Einmal auf dem Endpunkt angekommen, wurden die Zugangsdaten desselben Benutzers genutzt, um den Angriff seitlich voranzutreiben. Wenn die Netzwerk- und Cloud-Erkennungsportfolios nicht miteinander verknüpft sind, kann jedoch das Ausmaß eines solchen Angriffs komplett übersehen werden.
Die Angriffsfläche von Office 365 ist nicht nur auf den ersten Zugriff beschränkt. Angreifer mit Office 365-Zugang können SharePoint missbrauchen, um freigegebene Ordner zu beschädigen und sich mithilfe von DLL-Hijacking-Techniken oder durch das Hochladen von Malware seitlich auf Endpunkte auszubreiten. Dieselbe SharePoint-Funktionalität, die für die Synchronisierung normaler Benutzerdateien verwendet wird, kann auf jedem Endpunkt ausgeführt werden, um eine einzelne Freigabe zu synchronisieren und so die Standard-Netzwerksammlungstechniken zu umgehen. Ein Angreifer kann dann mit ein paar Klicks dauerhafte Exfiltrationskanäle über Power Automate-Flows einrichten, die täglich Daten von jedem infizierten Endpunkt hochladen können. Hier gibt es viele Möglichkeiten und es werden immer mehr.
Denkbar ist auch ein Problem in der Cloud, bei dem sich die Angreifer mit Brute-Force-Aktivitäten die Zugangsdaten eines Kontos verschafft haben, gefolgt von der Erstellung neuer E-Mail-Regeln, was zwar schlecht, aber nicht schlimm ist. Es kam dabei aber auch zu einer seitlichen Bewegung im Netzwerk, was viel besorgniserregender ist, da nicht bekannt ist, wie die Hacker hereingekommen sind. In Cognito bedeutet das Zusammenführen dieser Ansichten, dass Analysten einen frühen und vollständigen Überblick haben, der es ihnen ermöglicht, den Angriff zu stoppen, bevor Daten verschoben werden oder Schaden entsteht.
Um herauszufinden, wie Angreifer Office 365 ausnutzen, liefert der aktuelle Spotlight Report von Vectra AI nützliche Informationen. Mit einer modernen Network Detection and Response-Plattform können Unternehmen Sichtbarkeit, um Angreifer in ihren Netzwerken und Office 365-Implementierungen zu erkennen und darauf zu reagieren. (rhh)