10 Fehlkonfigurationen im Bereich Cybersicherheit, vor denen Ihr SOC-Team auf der Hut sein muss

1. Standardkonfigurationen von Software und Anwendungen

Netzwerkgeräte und Softwareanwendungen werden mit werkseitig voreingestellten Standardanmeldeinformationen geliefert. Es ist wichtig, diese Standardanmeldeinformationen bei der Installation dieser Geräte oder Anwendungen zu ändern. Wenn die Standardbenutzernamen und -kennwörter unverändert bleiben, können diese Geräte und Anwendungen Hintertüren für Angreifer öffnen, die auf Ihr Netzwerk zugreifen möchten.

Ebenso bergen einige der Standardeinstellungen in Netzwerkdiensten auch Gefahren wie:

• In Active Directory Certificate Services (AD CS) ermöglicht die Erteilung von Web-Registrierungsberechtigungen es Bedrohungsakteuren, betrügerische Zertifikate zu generieren. Ebenso gewähren AD CS-Vorlagen bei Fehlkonfiguration Benutzern mit geringen Berechtigungen Registrierungsrechte, um nicht autorisierte Code Signing Requests (CSRs) zu generieren.
• Der Server Message Block (SMB)-Dienst kann, wenn er ohne erzwungene SMB-Signatur für die Authentifizierung ausgeführt wird, zu Manipulator-in-the-Middle (MITM)-Angriffen wie NTLM-Relay führen.
• Wie in der gemeinsamen CSA erwähnt, können andere ältere Protokolle und Dienste wie Link-Local Multicast Name Resolution (LLMNR) und NetBIOS Name Service (NBT-NS), wenn sie aktiviert sind, es Angreifern erleichtern, die gesamte Windows-Umgebung durch Spoofing-, Poisoning- und Relay-Angriffe zu kompromittieren.

2. Falsche Trennung von Benutzer-/Administratorrechten

Es ist wichtig, dass Sie Ihre Cluster von Administrator- und Benutzerkonten trennen und den Zweck eines Kontos bewerten, bevor Sie Kontoberechtigungen erteilen. Im Allgemeinen werden einem einzelnen Administratorkonto oder Dienstkonto mehrere Rollen zugewiesen, um die Domänensteuerung zu ermöglichen. Solche übermäßigen Berechtigungen für ein einzelnes Konto können jedoch zu Problemen im Netzwerk führen, wenn solche Konten kompromittiert werden.

Sehr weitreichende Berechtigungen helfen Angreifern, sich lateral im Netzwerk zu bewegen und auf sensible Informationen zuzugreifen, sobald sie in Ihr Netzwerk eindringen. Wenn Sie die Aktivitäten solcher privilegierten Konten im Auge behalten, können Sie Sicherheitsverletzungen verhindern. Eine SIEM-Lösung mit User and Entity Behavior Analytics (UEBA) kann Ihnen dabei helfen, die Aktivitäten privilegierter Benutzer zu überwachen und die überwältigende Arbeitslast Ihres SOC-Teams effektiv zu bewältigen.

3. Unzureichende interne Netzwerküberwachung

Eine effektive Netzwerküberwachung ist nur durch eine ordnungsgemäße Netzwerkkonfiguration möglich. Die meisten Organisationen konfigurieren am Ende nur ihre Hosts und aktivieren die hostbasierte Protokollierung für die hostbasierte Überwachung. Dadurch können Sie die kompromittierten Hosts im Netzwerk erkennen, aber nicht die Quelle der Kompromittierung. Zu diesem Zweck sollten Sie alle Geräte und Anwendungen, einschließlich Router, Switches, IoT-Geräte und Endpunktsicherheitslösungen wie Firewalls und Anti-Malware-Lösungen, die ein- und ausgehende Verbindungen überwachen, sicher konfigurieren.

Nach der Konfiguration können Sie die Echtzeitprotokollierung dieser Geräte einfach aktivieren, wodurch Sie die Sicherheitslage Ihres Netzwerks effektiv in Echtzeit überwachen können. Eine SIEM-Lösung mit vordefinierten Netzwerk-Audit-Berichten, Warnmeldungen und forensischen Protokollierungs funktionen ermöglicht es Ihrem SOC, nicht nur eine ausreichende interne Netzwerktransparenz zu erreichen, sondern auch die Ursache jeder Gefährdung zu untersuchen.

4. Fehlende Netzwerksegmentierung

Ein einheitlicher Ansatz passt nicht zu einem umfangreichen Netzwerk. Berechtigungen und Genehmigungen sind nicht im gesamten Netzwerk gleich, daher werden große Netzwerke in kleinere Teilnetzwerke unterteilt. Durch die Unterteilung Ihres größeren Netzwerks in kleinere, verwaltbare Einheiten können Sie ganz einfach Sicherheitsgrenzen innerhalb des Netzwerks einrichten und spezifische Sicherheitskontrollen für jedes Teilnetzwerk konfigurieren. Die Netzwerksegmentierung ist von entscheidender Bedeutung, denn ohne diese Segmente existiert das Netzwerk als eine einzige Einheit, durch die sich Angreifer seitlich bewegen und Angriffe ausführen können, wie z. B. Angriffe auf die Lieferkette und Ransomware-Angriffe.

5. Mangelhaftes Patch-Management

Veraltete Software und Firmware sind für Angreifer ein beliebter Ausgangspunkt, um sich Zugang zu Ihren Netzwerken zu verschaffen. Hinzu kommt, dass Software und Firmware von Natur aus vergänglich sind und mit der Zeit möglicherweise nicht mehr mit Ihrer Umgebung kompatibel sind. Solche Inkompatibilitäten sind wie Nadeln im Heuhaufen, die Sie schwer verletzen können, wenn sie zuerst von Angreifern identifiziert werden.

So wurde beispielsweise Log4Shell, eine Schwachstelle in der Log4j Protokollierungsbibliothek von Apache, im Jahr 2021 von Zero-Day-Angriffen ausgenutzt. Die Zero-Day Schwachstelle ermöglichte Angreifern die Ausführung von Remote-Code, was zu Krypto-Mining, Ransomware-Angriffen und DDoS-Angriffen auf die Systeme der Opfer führte. Daher ist es wichtig, dass Ihr SOC proaktiv fehlende Patches in Ihrer Umgebung identifiziert und Ihre Systeme aktualisiert, um die Sicherheit Ihres Netzwerks zu verbessern.

6. Umgehung von Systemzugriffskontrollen

Durch das Speichern von Benutzerdaten können Angreifer die eigentlichen Systemzugriffskontrollen umgehen. Denn Angreifer sind inzwischen in der Lage, Ihre Authentifizierungssysteme ohne tatsächliche Passwörter oder Sicherheitscodes zu durchbrechen. Angriffe wie Brute-Force- und Passwort-Spray-Angriffe werden mit gestohlenen Anmeldedaten durchgeführt und verschaffen Angreifern einen ersten Zugang, um andere ausgeklügelte Cyberangriffe durchzuführen.

Identitätsangriffe wie „Pass the Hash“ verdeutlichen die Folgen der Speicherung von Passwörtern, selbst in Form von Hashes. Bei einem „Pass the Hash“-Angriff stehlen Angreifer die Passwort-Hashes von Benutzern, um sich als legitime Benutzer auszugeben und sich lateral im Netzwerk zu bewegen. Es ist zwingend erforderlich, in Ihrem Netzwerk strenge Passwortschutzrichtlinien und eine mehrstufige Authentifizierung (MFA) zu aktivieren, um zu verhindern, dass Cyberkriminelle Ihr Netzwerk kompromittieren.

7. Schwache oder falsch konfigurierte Multifaktor-Authentifizierungsmethoden (MFA)

Der herkömmliche Passwort-Anmeldeprozess wird nun durch MFA-Methoden wie Smartcards und Smart-Token ersetzt. Bei der Umstellung auf neue Authentifizierungsmethoden neigen wir dazu, die Einhaltung früherer Passwortrichtlinien zu vergessen. Die Hashes für nicht mehr verwendete Passwörter sind jedoch noch vorhanden und können von Bedrohungsakteuren immer noch kompromittiert werden, um in Ihr Netzwerk einzudringen.

Die Aktivierung von MMFA allein schützt Ihr Netzwerk nicht. Es ist von entscheidender Bedeutung, dass Sie die verschiedenen MFA-Methoden richtig konfigurieren, um vor Angriffen wie Phishing, Push-Bombing und SIM-Swapping geschützt zu bleiben.

• Phishing ist die häufigste Methode des Social Engineering, die von Angreifern eingesetzt wird, um an MFA-Informationen zu gelangen.
• Beim Push-Bombing versucht der Angreifer, sich mit gestohlenen Anmeldedaten in das Konto eines Benutzers einzuloggen, was wiederum den Benutzer dazu auffordert, sich über MFA zu authentifizieren. Durch den Versuch, sich kontinuierlich anzumelden, bombardieren Angreifer den Benutzer mit mehreren MFA-Anfragen, und irgendwann könnte der Benutzer dazu verleitet werden, eine davon zu genehmigen.
• Bei einem SIM-Swapping-Angriff könnte der Hacker, der sich als legitimer Dienstanbieter ausgibt, den Benutzer mit falschen Versprechungen ködern und seine Telefonnummern kompromittieren, um auf seine MFA-Codes zuzugreifen und auf sein Konto zuzugreifen.

8. Unzureichende Zugriffskontrolllisten (ACLs) für Netzwerkfreigaben und -dienste

Eine Netzwerkzugriffskontrollliste umfasst alle Berechtigungen, die mit einer Netzwerkressource verbunden sind. Wenn Sie die Zugriffskontrolllisten für gemeinsam genutzte Netzwerkressourcen nicht ordnungsgemäß konfigurieren, können sich unbefugte Personen Zugriff auf sensible Datenfreigaben, Repositorys und Verwaltungsdaten auf gemeinsam genutzten Laufwerken verschaffen.

Angreifer können mithilfe von Befehlen, Open-Source-Tools oder benutzerdefinierter Malware auf Ihre sensiblen Daten zugreifen. Diese Datenfreigaben können personenbezogene Daten (PII), Anmeldedaten für Dienstkonten und Webanwendungen, Servicetickets und andere Informationen zu Ihrem Netzwerk wie Netzwerktopologie, Berichte über Schwachstellen-Scans und Daten zur Bedrohungsmodellierung enthalten. All diese Informationen können exfiltriert werden, um einen Ransomware-, DDoS- oder Social-Engineering-Angriff auszuführen. Es ist von entscheidender Bedeutung, dass Sie alle Berechtigungen im Zusammenhang mit Ihren Netzwerkressourcen genau überprüfen.

9. Mangelhafte Verwaltung von Anmeldedaten

Schlechte Anmeldeinformationen beziehen sich auf die Verwendung schlechter Passwörter, die leicht zu knacken sind, falsch konfigurierte MFA und die ungeschützte Speicherung von Textpasswörtern. Eine Kompromittierung von Anmeldeinformationen findet statt, wenn ein Textpasswort oder ein Passwort-Hash von Angreifern gestohlen wird. Es ist wichtig, strenge Passwortrichtlinien zu implementieren, die den Richtlinien des National Institute of Standards and Technologies (NIST) entsprechen, indem MFA, wie phishingresistente MFA, ordnungsgemäß konfiguriert wird, um die Zugangspunkte zu Ihrem Netzwerk zu sichern.

10. Unbeschränkte Codeausführung

Es ist wichtig, alle ausführbaren Dateien in Ihrem Netzwerk im Auge zu behalten. Angreifer werden nicht aufgeben, Benutzer dazu zu verleiten, auf Phishing-E-Mails zu klicken, um schädliche Skripte und Codes im Hintergrund automatisch auszuführen. Laut dem gemeinsamen Hinweis von CISA und NSA führen Angreifer nicht verifizierten Code in Form von ausführbaren Dateien, Dynamic Link Libraries (DLLs), HTML-Anwendungen und Makros (in Office-Dokumenten verwendete Skripte) aus, um ein Netzwerk nach dem ersten Zugriff auszunutzen. Sie können solche Codeausführungen verhindern, indem Sie Systemeinstellungen aktivieren, die Downloads aus nicht verifizierten Quellen verhindern und auch die Programmausführung einschränken, indem Sie digitale Signaturen, Zertifikate und Schlüsselattribute analysieren.