Silverfort Research: Zwei Drittel der Unternehmen übertragen Passwörter von On-Prem- auf Cloud-Umgebungen und erhöhen so das Risiko von Cyberangriffen auf die Cloud
Das Unternehmen präsentiert seinen proprietären Identity Underground Report 2024 vor – den ersten Identitätsbericht, der sich zu 100 % auf die Häufigkeit und Verbreitung von Identitätsbedrohungen (ITEs) konzentriert
Ransomware-Bedrohungsakteure Alphv BlackCat und Lockbit missbrauchen Identitätslücken, um Anmeldedaten zu entwenden, ihre Berechtigungen zu erweitern und sich unbemerkt in Unternehmen zu bewegen
TEL AVIV, Israel, und BOSTON, Massachusetts, 6. Mai 2024 /PRNewswire/ -- Heute hat Silverfort, das Unternehmen für einheitlichen Identitätsschutz, seinen Bericht Identity Underground veröffentlicht, der die Häufigkeit von Identitätssicherheitslücken aufzeigt, die zu erfolgreichen Angriffen auf Unternehmen in allen Branchen und Regionen führen. Der Bericht, der sich auf Silverforts eigene Daten stützt, ist der erste Bericht seiner Art mit Schwerpunkt auf der Identität als Angriffsvektor und wertvollen Erkenntnissen zu Identitätsbedrohungsrisiken (ITEs), die den Weg für Cyberangriffe ebnen. Die Daten, Analysen und Erkenntnisse unterstützen Identitäts- und Sicherheitsteams beim Benchmarking ihrer Sicherheitsprogramme und helfen ihnen, fundierte Entscheidungen über Investitionen in die Identitätssicherheit zu treffen.
Das erstaunliche und alarmierende Ergebnis des Berichts: Zwei von drei Unternehmen (67 %) synchronisieren routinemäßig die meisten Passwörter ihrer Benutzer von On-Prem-Verzeichnissen mit deren Pendants in der Cloud. Durch diese Praxis werden unbeabsichtigt Schwachstellen der On-Prem-Identität in die Cloud verlagert. Dies schafft erhebliche Sicherheitsrisiken, da auf diese Weise ein Einfallstor für Angreifer geschaffen wird, um diese Umgebungen mithilfe von On-Prem-Konfigurationen zu hacken. Die Ransomware-Gruppe Alphv BlackCat ist dafür bekannt, dass sie Active Directory als Sprungbrett nutzt, um Cloud-Identitätsanbieter zu kompromittieren.
In den letzten zehn Jahren gab es einen starken Trend zur Migration in die Cloud – und das aus gutem Grund. Gleichzeitig eröffnen jedoch Sicherheitslücken, die auf veraltete Infrastrukturen, Fehlkonfigurationen und unsichere integrierte Funktionen zurückzuführen sind, Möglichkeiten für Angreifer, auf die Cloud zuzugreifen. Dadurch wird die Widerstandsfähigkeit eines Unternehmens gegenüber Identitätsbedrohungen erheblich geschwächt.
„Die Identität ist der Elefant im Raum. Wir wissen, dass die Identität bei fast allen Cyberangriffen eine Schlüsselrolle spielt. Lockbit, BlackCat, TA577 und Fancy Bear – sie alle nutzen Identitätslücken, um einzubrechen, sich seitlich zu bewegen und zusätzliche Berechtigungen zu erhalten", berichtet Hed Kovetz, CEO und Mitbegründer von Silverfort. „Doch um diese Sicherheitslücken methodisch schließen zu können, müssen wir zunächst wissen, wie verbreitet sie sind. Schließlich haben wir konkrete Beweise für die Häufigkeit von Identitätslücken, die wir nun als Password Exposers, Lateral Movers oder Privilege Escalators klassifizieren können, und sie sind allesamt Vehikel für Bedrohungsakteure, um ihre Angriffe durchzuführen. Wir hoffen, dass die Identitäts- und Sicherheitsteams durch das Offenlegen der Häufigkeit dieser Probleme nun über die harten Zahlen verfügen, die sie benötigen, um die dringendsten Sicherheitsinvestitionen zu priorisieren und diese blinden Flecken zu beseitigen."
Zu den wichtigsten Ergebnissen gehören:
- Zwei Drittel aller Benutzerkonten authentifizieren sich über das schwach verschlüsselte NTLM-Protokoll, das Angreifern einen leichten Zugang zu Klartext-Passwörtern ermöglicht. Die NT Lan Manager (NTLM)-Authentifizierung, die mit Brute-Force-Angriffen problemlos zu knacken ist, ist ein Hauptziel für Angreifer, die Anmeldedaten stehlen und tiefer in eine Umgebung eindringen wollen. Aktuelle Untersuchungen von Proofpoint security zeigen, dass der Bedrohungsakteur TA577 NTLM-Authentifizierungsinformationen verwendet, um Passwörter zu stehlen.
- Eine einzige Fehlkonfiguration in einem Active Directory-Benutzerkonto erzeugt im Durchschnitt 109 neue Schattenadministratoren. Schattenadministratoren sind Benutzerkonten mit der Befugnis, Kennwörter zurückzusetzen oder Konten auf andere Weise zu manipulieren. Angreifer nutzen Schattenadministratoren, um Einstellungen und Berechtigungen zu ändern und immer tiefer in eine Umgebung vorzudringen, um weiterreichende Zugriffsrechte auf Systeme zu erhalten.
- 7 % der Benutzerkonten verfügen über unabsichtlich zugewiesene Zugriffsrechte auf Admin-Ebene. Dadurch erhalten Angreifer zusätzliche Möglichkeiten, ihre Zugriffsrechte zu erweitern und sich unbemerkt in Umgebungen zu bewegen.
- 31 % der Benutzerkonten sind Dienstkonten. Dienstkonten werden für die Maschine-zu-Maschine-Kommunikation verwendet und besitzen ein hohes Maß an Zugriffsrechten und Privilegien. Angreifer zielen auf Dienstkonten ab, da Sicherheitsteams sie oft übersehen. Nur 20 % der Unternehmen sind sehr zuversichtlich, über die notwendige Sichtbarkeit in alle Servicekonten zu verfügen und diese angemessen schützen können.
- 13 % der Benutzerkonten werden als „veraltete Konten" eingestuft – also inaktive Benutzerkonten, die das IT-Team möglicherweise vergessen hat. Sie sind ein leichtes Ziel für Seitwärtsbewegungen und helfen Angreifern, unentdeckt zu bleiben.
Das Forschungsteam von Silverfort hat Identity Threat Exposures (ITE) akribisch in vier verschiedene Kategorien unterteilt. Ihr Ziel ist es, der Cybersicherheitsbranche ein Framework zur Klassifizierung und Analyse des vielfältigen Spektrums von Identitätsproblemen und Fehlkonfigurationen an die Hand zu geben, die den Diebstahl von Anmeldeinformationen, die Ausweitung von Berechtigungen und Seitwärtsbewegungen durch böswillige Akteure ermöglichen.
Die vier ITE-Kategorien
- Password Exposers: Ermöglichen einem Angreifer, Benutzer-Passwörter zu entdecken, indem der Passwort-Hash gängigen Kompromittierungstechniken ausgesetzt wird. Beispiele sind NTLM-Authentifizierung, NTLMv1-Authentifizierung und Administratoren mit SPN.
- Privilege Escalators: Ermöglicht einem Angreifer, zusätzliche Zugriffsrechte zu erlangen. Normalerweise sind Privilege Escalators das Ergebnis einer Fehlkonfiguration oder veralteter unsicherer Einstellungen. Beispiele hierfür sind Schattenadministratoren und uneingeschränkte Delegation.
- Lateral Movers:Ermöglichen einem Angreifer, sich unbemerkt seitlich zu bewegen. Zu den Beispielen gehören Dienstkonten und Vielnutzer.
- Protection Dodgers: Haben das Potenzial, legitime Benutzerkonten für Angreifer zu öffnen. Protection Dodgers entstehen durch menschliche Fehler oder falsch verwaltete Benutzerkonten. Es handelt sich nicht um inhärente Schwachstellen oder Fehlkonfigurationen. Beispiele hierfür sind neue Benutzer, gemeinsam genutzte Konten und inaktive Benutzer.
In Partnerschaft mit Hacker News bieten Ihnen Silverfort-Experten für Identitätsbedrohungen am 16. April detaillierte Einblicke in die Ergebnisse des Berichts. Besuchen Sie Identity Underground, um den vollständigen Bericht abzurufen.
Informationen zu Silverfort
Silverfort, das Unternehmen für Unified Identity Protection, hat die erste und einzige Plattform entwickelt, die moderne Identitätssicherheit überall ermöglicht. Wir verbinden die Silos der Identitätsinfrastruktur von Unternehmen, um die Identitätssicherheit in allen On-Prem- und Cloud-Umgebungen zu vereinheitlichen. Unsere einzigartige Architektur und unser herstellerunabhängiger Ansatz beseitigen die Komplexität bei der Absicherung jeder einzelnen Identität und erweitern den Schutz auf Ressourcen, die von keiner anderen Lösung geschützt werden können, wie etwa Altsysteme, Befehlszeilenschnittstellen, Dienstkonten (nicht menschliche Identitäten), IT/OT-Infrastrukturen und andere. Silverfort ist ein hochrangiger Microsoft-Partner und wurde von Microsoft zum Zero Trust Champion des Jahres gewählt. Hunderte weltweit führende Unternehmen vertrauen Silverfort als Anbieter von Identitätssicherheitslösungen, darunter mehrere Fortune 50-Unternehmen. Weitere Informationen finden Sie unter www.silverfort.com oder auf LinkedIn.
Medienkontakt:
Jill Creelman
[email protected]
Logo – https://mma.prnewswire.com/media/2321859/Silverfort_Logo.jpg
Artikel teilen