Der Bereich Identity Management und Zugriffsrechte hängt bei vielen Unternehmen eng mit dem Active Directory (AD) zusammen. Security-Experten befürchten allerdings, dass ein falsch konfiguriertes AD weiterhin das Hauptziel für Angreifer sein wird.

Die Angreifer auf die IT-Systeme von Behörden und Unternehmen hben sich enorm weiterentwickelt. Angriffe „as a servic“ sind „günstig“ verfügbar, jede Menge Zero-Day-Exploits verfügbar und ein falsch konfiguriertes Active Directory zählt weiterhin dazu den Hauptzielen der Angreifer. 90 Prozent der Fortune 1000-Unternehmen nutzen das AD für die Verwaltung von Zugriffen und Berechtigungen. Es ist daher nicht verwunderlich, dass AD der gemeinsame Nenner der größten Sicherheitsangriffe wie SolarWinds, MSFT Exchange und anderer ist.

„Die Angriffspunkte werden weiterhin variieren, und es werden unweigerlich weitere hinzukommen. Unabhängig davon, wie sich die Angriffstaktiken im kommenden Jahr ändern, wird AD das Hauptziel bleiben, weil es für Angreifer einfach zu lukrativ ist, um darauf zu verzichten. Ransomware-Trends werden kommen und gehen, aber Bedrohungsakteure werden weiterhin ein falsch konfiguriertes AD nutzen, um sich seitlich zu bewegen, Privilegien zu erweitern und Chaos zu verursachen“, erklärt Derek Melber, Chief Technology and Security Strategist bei Tenable. Unternehmen müssten alle Konfigurationen, die bekanntermaßen ausgenutzt werden können, mit Patches versehen und absichern, da sonst im Jahr 2022 ein Einbruch zu erwarten sei.

Die neue Arbeitswelt wird eine neue Ära des Social Engineering einläuten

Während Bedrohungsakteure in der Vergangenheit Großereignisse genutzt haben, um Angriffe auf ahnungslose, abgelenkte Benutzer zu starten, hat das Jahr 2021 das Spielfeld verändert. „Künftig ist die Telearbeit die perfekte Ablenkung für Angreifer, um Social-Engineering-Angriffe zu starten. Schließlich hält sich nur ein Drittel der Remote-Mitarbeiter strikt an die Sicherheitsrichtlinien ihres Unternehmens. Remote-Mitarbeiter haben im Durchschnitt acht Geräte, die mit ihrem Heimnetzwerk verbunden sind, was für Angreifer eine Fülle von Gelegenheiten bietet, die sie ausnutzen können“, zeigt sich Nathan Wenzler, Chief Security Strategist bei Tenable, überzeugt.

„Mit Blick auf das Jahr 2022 werden Bedrohungsakteure weiterhin die Chancen nutzen, die sich in dieser neuen Arbeitswelt bieten, und versuchen, jedes Gerät im Heimnetzwerk zu kompromittieren, um an die wertvollsten Daten im Unternehmensnetzwerk zu gelangen. Alles, was es braucht, ist ein einziger Angestellter, der einem einzigen, gut durchdachten Social-Engineering-Trick zum Opfer fällt. Das macht Endbenutzer zum perfekten Ziel für die heutigen Angreifer, die es auf den Zugang zu Unternehmensnetzwerken, Datenbanken und anderen wertvollen Ressourcen abgesehen haben“, so Wenzler weiter.

Colonial Pipeline hat die Weichen für Verbesserungen gestellt

„Angriffe wie auf Colonial Pipeline haben das Thema Sicherheit auch für Nicht-Sicherheitsexperten greifbar gemacht. Steigende Benzinpreise und Warteschlangen an den Zapfsäulen, wie sie in den USA der Fall waren, sind etwas, das der normale Bürger, der CEO und das Kongressmitglied verstehen können“, so das Resümee von Marty Edwards, als Vice President für den Bereich Operational Technology bei Tenable zuständig.

„Jeder Vorstand interessiert sich jetzt für das Cyber-Risiko, das für sein Unternehmen besteht. Die Stakeholder investieren mehr denn je, und die politischen Entscheidungsträger bilden da keine Ausnahme. Wenn die Regierung und der private Sektor ihre gemeinsamen Prioritäten erkennen und gemeinsam an einer sichereren Welt arbeiten können, wird das Jahr 2022 ein vielversprechendes Klima für Verbesserungen bringen“, erwartet zumindest Edwards.

Ransomware-Betreiber werden eine Kosten-Nutzen-Analyse durchführen

Das Jahr 2022 wird lau Edwards für Ransomware-Betreiber neue Strategien mit sich bringen, anstatt sich auf niedrig hängende Früchte zu konzentrieren und ihre Angriffe auszuweiten: „Sie werden bei der Auswahl ihrer Ziele selektiver vorgehen und versuchen, ein Gleichgewicht zwischen Geldverdienen und der Verfolgung durch die Strafverfolgungsbehörden zu finden.

Um diese Gleichung zu überlisten, müssen Unternehmen nicht mehr versuchen, die gegnerischen Missionen zu verhindern, sondern stattdessen verhindern, dass sich diese lohnen. Mit anderen Worten: Die Unternehmen müssen dafür sorgen, dass die Durchführung dieser Angriffe zu viel kostet. Wenn die Belohnung die Kosten für die Investition nicht deckt, werden die Bedrohungsakteure sie nicht durchführen.“

Cloud-Migration zwingt Unternehmen dazu, der Bildung in Sachen Security Priorität einzuräumen

„Fast die Hälfte der Unternehmen hat als direkte Folge der Pandemie geschäftskritische Funktionen in die Cloud verlagert. Die Cloud-Migration erfordert jedoch spezielle Überlegungen, die im Jahr 2022 wahrscheinlich übersehen werden“, gibt Bob Huber zu bedenken.

Für den Chief Security Officer bei Tenable unterscheidet sich die Erkennung und Verhinderung bösartiger Aktivitäten in der Cloud erheblich von der Schadensbegrenzung vor Ort: „Hinzu kommen die Feinheiten der Zusammenarbeit mit Cloud-Anbietern und anderen Unternehmensakteuren, die neue Services in der Cloud schnell einführen wollen. Wenn Unternehmen nicht alle ihre Teams – und nicht nur die Sicherheitsteams – über die Absicherung der Cloud aufklären, werden sie unweigerlich den Preis dafür zahlen, wenn sich die Migration beschleunigt“, so Huber.

Bundesbehörden werden sich ernsthaft mit Cyber-Grundlagen befassen

„Sicherheit steht 2021 im Mittelpunkt des Interesses der Bundesbehörden. Infolgedessen werden 2022 immer mehr Behörden ihre Sicherheitsvorkehrungen verschärfen – durch die Einführung von Zero Trust, eine bessere Einsicht in Angriffsflächen, eine verstärkte Zusammenarbeit und vieles mehr“, so James Hayes, als Vice President für Government Affairs bei Tenable zuständig.

Dies werde sich zunehmend in Hochrisikoumgebungen bemerkbar machen, die häufig von ausländischen Angreifern ins Visier genommen werden, wie kritische Infrastrukturen und Betriebstechnologien (OT). Die Sicherung der Infrastruktur des Landes ist wichtiger denn je, und die Behörden werden ihre Prioritäten entsprechend setzen.

Domino-Angriffe werden in ihrer Häufigkeit und Heftigkeit weiter zunehmen

Die Angriffe auf SolarWinds und Kaseya haben die Sorge um die Integrität der Software-Supply-Chain verstärkt. Bedrohungsakteure haben schnell erkannt, dass sie aus dem daraus resultierenden Domino-Effekt Kapital schlagen können. Wenn ein System kompromittiert wird, sind viele weitere Opfer gefährdet. Es ist zu befürchten, dass in dem Maße, in dem Unternehmen ihre Innovationsprojekte beschleunigen oder in die Cloud migrieren, um den Anforderungen hybrider Arbeitsmodelle gerecht zu werden, die Abhängigkeiten von Drittanbietern (z. B. Software-as-a-Service) weiter zunehmen werden. Damit werden auch entsprechende Angriffe zunehmen. Unternehmen müssen sich darüber im Klaren sein, dass die Abhängigkeit von Drittanbietern, auch solchen, die Security-as-a-Service anbieten, das Risiko erhöhen kann.

In einer unabhängigen Studie, die von Forrester Consulting im Auftrag von Tenable durchgeführt wurde, gaben 72 Prozent der Befragten in Deutschland an, dass ihr Unternehmen in den letzten zwölf Monaten einen Cyberangriff erlebt hat, der auf die Kompromittierung von Drittanbietersoftware oder -anbietern zurückzuführen ist. 20 Prozent der Befragten gaben an, dass sie nur einen begrenzten oder gar keinen Einblick in die Arbeit von Drittanbietern und Partnern haben.

„In der Sicherheits-Community ist man sich einig, dass die Angriffe im nächsten Jahr wieder zunehmen werden, wie jedes Jahr“, erklärt Bernard Montel, EMEA Technical Director and Cybersecurity Strategist bei Tenable. Daher müssten Unternehmen unbedingt einen risikobasierten Ansatz verfolgen und sich ein klares Bild von der Kritikalität ihrer Assets machen und wissen, wo sich diese befinden.“ Unternehmen müssen ihre erweiterte Angriffsfläche verstehen und sicherstellen, dass sie in der Cloud das gleiche Maß an Governance haben, wie sie es vor Ort hätten. Verantwortliche sollten sich die Zeit nehmen, um zu bewerten, was und – vielleicht noch wichtiger – an wen sie Aufgaben delegieren und welche Sicherheitsvorkehrungen getroffen werden. Gleichzeitig sollten Unternehmen bei der Entwicklung von Anwendungen an die Sicherheit denken, bevor etwas in Produktion geht oder in die Cloud hochgeladen wird“, so Montel weiter.(rhh)

Tenable