Einmal im Visier, immer im Visier
Wenn ich nach einem Cyberangriff mit Führungskräften des betroffenen Unternehmens spreche, treibt diese häufig zunächst die Frage nach dem Warum um. Weshalb haben Cyberkriminelle genau diese Person, dieses Unternehmen, diese Firmenkultur für ihren Angriff ausgewählt? Tatsächlich ist das nur schwer nachzuvollziehen. Natürlich sind da die gängigen Motive: Bereicherung, Diebstahl von geistigem Eigentum, Ausspionieren von Betriebsgeheimnissen, Sabotage, das Streben nach Berühmtheit oder politischer Aktivismus. Aber warum gerade ich? Warum wir?
Die meisten Cyberangriffe sind nicht sonderlich raffiniert und erfordern weder fortgeschrittene Programmierkenntnisse noch Quantenmechanik. Ihre Stärke liegt darin, überzeugend zu wirken und die Gefühle ihrer potenziellen Opfer anzusprechen. Dahinter verbirgt sich aber oft ein recht schlichtes Modell. Möglicherweise ist Ihr Unternehmen also nur das letzte Angriffsziel auf einer endlosen Liste.
Es wird häufig berichtet, dass sich bei neun von zehn Cyberangriffen die Hauptursache für den Schaden auf Phishing zurückführen lässt. Einfach ausgedrückt ist Phishing ein Versuch, jemanden zu einer Handlung zu bewegen, die unwissentlich zu einem Schaden führt. Solche Angriffe sind leicht zu konfigurieren, kosteneffizient und effektiv. Für Phishing-Kampagnen benötigen die Angreifer menschliche Ziele, die durch E-Mail-Adressen repräsentiert werden. Sie erwerben diese Adressen, laden sie in eine Datenbank und starten dann ihre Angriffe. Ziel ist es dabei, möglichst viele Klicks zu bekommen.
Bei Phishing wird eher auf Masse gesetzt, als ein ganz bestimmtes Ziel in den Blick zu nehmen. Wenn Ihre Adresse in einer solchen Angriffsdatenbank steht, sind Sie ein ständiges Ziel jeder Phishing-Kampagne dieses jeweiligen Akteurs oder der betreffenden organisierten Gruppe. Meine Erfahrungen bei der National Security Agency (NSA) – und Untersuchungen meines Teams zu anderen Staaten, kriminellen Vereinigungen usw. – haben gezeigt, dass Cyberakteure ihre Aktionen wie am Fließband abwickeln. Unterschiedliche Teams sind für das Zielauswahl, den Start, die Ausführung, die technischen Ausbeutungsmethoden, die zielgerichteten Aktivitäten, die Analyse und die Auswertung nach der Kampagne verantwortlich. Es werden kaum Anstrengungen unternommen, diese „Fließbänder“ im Laufe der Zeit zu optimieren – insbesondere, wenn die Angreifer Erfolg haben.
Der lange Leidensweg von Angriffszielen
Das Cloudforce One-Team hat umfangreiche Untersuchungen darüber angestellt, wie eine relativ einfache Phishing-Kampagne mehreren Unternehmen langfristig schweren Schaden zufügen kann. Wir haben uns eine Angriffskampagne angesehen, die 2016 am Tag nach den Präsidentschaftswahlen in den USA von einer russischen Spionagegruppe namens RUS2 gestartet wurde, die es auf politische Organisationen abgesehen hat.
Bei der Rekonstruktion der Zieldatenbank stellten wir fest, dass zu den Phishing-Zielen nicht nur aktuelle Regierungsbeamte, sondern auch ehemalige Beamte und politische Mitarbeitende gehörten. Die Zielpersonen erhielten weiterhin Phishing-E-Mails über ihre persönlichen E-Mail-Adressen, auch lange nachdem sie den Arbeitsplatz gewechselt hatten. Einige Personen befanden sich zum Zeitpunkt des Angriffs bereits seit fast zehn Jahren in der Datenbank und stehen auch heute noch im Fadenkreuz.
Mit Zero Trust ernsthaften Schaden verhindern
Und genau hier wird es interessant.
Erbeutete Namen, Telefonnummern und E-Mail-Adressen bleiben auf unbestimmte Zeit in Phishing-Datenbanken gespeichert. Egal, ob E-Mails nicht zugestellt werden können oder die Empfänger den Köder nicht schlucken – die Angreifer machen sich nicht die Mühe, ihre Listen zu bereinigen. Wenn Sie einmal Ziel eines Phishing-Angriffs geworden sind, bleiben Sie es womöglich auf unbestimmte Zeit.
Für Unternehmen und Behörden stellt die Langlebigkeit von Kontaktdaten in Phishing-Datenbanken eine zusätzliche Gefahr dar. Denn wenn eine Zielperson den Arbeitsplatz wechselt, setzt sie auch ihre neue Organisation einem Risiko aus, weil dadurch ein neuer Angriffsvektor für deren Netzwerk geschaffen wird.
Angesichts der Einfachheit und Effektivität von Phishing werden Angreifer aus dem Cyberspace diese Taktik auch in absehbarer Zukunft weiter anwenden. Sie von ihren Versuchen abzuhalten, ist kaum möglich. Wir können aber verhindern, dass sie Erfolg haben.
Es muss davon ausgegangen werden, dass immer ein Risiko besteht und dass jeder und jede ein potenzielles Einfallstor ist.
In den letzten 20 Jahren meiner beruflichen Laufbahn – in der ich für die National Security Agency (NSA) und die United States Cyber Command tätig war und Technologien zur Verhinderung von Phishing-Angriffen entwickelt habe – bin ich zu der Feststellung gelangt, dass sich die Auswirkungen von Phishing-Angriffen am besten durch eine Zero Trust -Sicherheitsstrategie abmildern lassen. Bei dem herkömmlichen IT-Netzwerksicherheitsansatz wird jedem und allem innerhalb des Netzwerks vertraut: Sobald Personen oder Geräte Zugriff auf das Netzwerk erhalten, genießen sie standardmäßig Vertrauen.
Mit Zero Trust dagegen wird niemandem und nichts vertraut. Niemand erhält jemals völlig ungehinderten und vorbehaltlosen Zugriff auf alle Anwendungen oder andere Ressourcen innerhalb eines Netzwerks.
Der beste Zero Trust-Ansatz ist mehrschichtig. Als erste Verteidigungslinie können Sie zum Beispiel präventiv nach Phishing-Infrastrukturen Ausschau halten und Kampagnen blockieren, bevor Nutzer überhaupt auf schädliche Links in Texten oder E-Mails klicken können. Sie können auch eine Multi-Faktor-Authentifizierung (MFA) mit hardwarebasierter Sicherheit einsetzen, um Netzwerke selbst dann zu schützen, wenn Angreifer an Benutzernamen und Kennwörter gelangen. Wenn Sie sicherzustellen möchten, dass MFA-Kontrollen umgehende Hacker nur auf eine begrenzte Anzahl von Anwendungen zugreifen können, empfiehlt sich die Anwendung des Prinzip der geringstmöglichen Rechte. Außerdem können Sie das Netzwerk mit Mikro-Segmentierung in verschiedene Einzelbereiche aufteilen, um etwaige Sicherheitsverstöße frühzeitig einzuhegen.
Die Wirksamkeit mehrschichtiger Sicherheit aus erster Hand
At Cloudflare, we thwarted a phishing attack last year using MFA with hardware security keys as part of our multi-layered zero trust approach. The attack began when a number of employees received a text message that led them to an authentic-looking Okta login page, which was designed for credential harvesting. The attacker attempted to log in to Cloudflare systems using those stolen credentials along with time-based one-time password (TOTP) codes—the attack required that employees participate in the authentication process. Unfortunately for the attacker, Cloudflare had previously transitioned from TOTP to hard keys.
If the hard keys hadn’t been in place, other security measures would have prevented the attack from reaching its objective but, fortunately, the threat didn’t get that far. Our Security Incident Response team quickly blocked access to the domain used for the fake login page and then killed active, compromised sessions using our zero trust network access service. If the attacker had somehow reached the point of installing malicious software, the endpoint security we use would have stopped the installation. A multi-layered strategy like this one helps to ensure that even if one aspect of an attack is successful, the attack itself won’t cause substantial damage.
Die Oberhand gewinnen
Cyberangriffe erfolgen überfallartig. Aber wenn Sie sich einen Moment Zeit nehmen, werden Sie feststellen, dass sie sich nicht wirklich signifikant weiterentwickeln.
Wie können Sie sie durchkreuzen?
Sie sollten zunächst sicherstellen, dass Sie über robuste Anti-Phishing-Kontrollen verfügen. Nicht alle MFA-Kontrollen sind gleich wirksam. Achten Sie deshalb darauf, dass Sie eine Phishing-resistente MFA einsetzen und eine selektive Durchsetzung mit identitäts- und kontextbezogenen Richtlinien implementieren. Erzwingen Sie überall eine starke Authentifizierung für alle Nutzer, alle Anwendungen und sogar für ältere und nicht webbasierte Systeme. Stellen Sie schließlich sicher, dass alle für Cybersicherheit sensibilisiert sind. Sie sollten eine interne Kultur schaffen, die in dieser Hinsicht einerseits ein gesundes Misstrauen fördert und andererseits ohne Schulzuweisungen auskommt, damit verdächtige Aktivitäten frühzeitig und häufig gemeldet werden.
Phishing lässt sich kaum verhindern, aber es kann viel getan werden, um Schäden vorzubeugen. Mit einem Zero Trust-Ansatz können Sie sicherstellen, dass bei der nächsten Phishing-Nachricht an Ihre E-Mail-Adresse kein Schaden entsteht. Erfahren Sie mehr über die mehrschichtige Zero Trust-Plattform von Cloudflare.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Erfahren Sie im Bericht „Eine schrittweise Roadmap zum Aufbau einer Zero Trust-Architektur“, wie Sie Ihr Unternehmen vor den Folgen von Phishing-Angriffen schützen können.
Autor
Oren Falkowitz — @orenfalkowitz
Ehemaliger Sicherheitsbeauftragter, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Sobald Ihre persönlichen Daten in die Hände von Angreifern gelangen, verbleiben sie auf unbestimmte Zeit in deren Datenbank.
Phishing-Angriffe sind Teil eines kruden Fließbandverfahrens
Phishing lässt sich kaum verhindern, aber es kann viel getan werden, um Schäden vorzubeugen