Compromised Credentials: Everything You Need to Know

Eine Kompromittierung von Anmeldeinformationen liegt vor, wenn Zugriffsschlüssel für ein legitimes Konto gestohlen und von Angreifern verwendet werden. Es stellt ein großes Risiko für jede Ressource dar, die mit dem ansonsten vertrauenswürdigen Konto verbunden ist, und gibt Angreifern die Möglichkeit, langfristige und hochkomplexe Angriffe zu starten.

Bei einem Angriff können mehrere Fälle von Kompromittierung von Anmeldeinformationen aneinandergereiht werden, wenn der böswillige Akteur von einem Konto auf niedrigerer Ebene zu einem administrativen Konto wechselt.

Das Erkennen einer Kompromittierung von Anmeldeinformationen ist die einzige Möglichkeit, einen Angriff im Voraus zu stoppen.

Demo anfordern Weitere Informationen

Wie werden Anmeldeinformationen kompromittiert?

Lassen Sie uns die Anmeldeinformationen vollständig definieren: Die meisten Menschen gehen davon aus, dass es sich nur um die Kombination aus Passwort und Benutzername handelt , auf die sich die meisten Dienste normalerweise verlassen haben, aber die Welt der Anmeldeinformationen verändert sich schnell.

Biometrie und passwortlose Zugangsschlüssel werden immer beliebter, und das Aufkommen der mehrstufigen Authentifizierung (MFA) hat uns eine wachsende Liste von Optionen zur Sicherung ihrer Konten und Daten eröffnet.

Dies bietet Angreifern neue und aufregende Möglichkeiten, diese Anmeldeinformationen zu stehlen.

Verhaltensbasierte Angriffe

Traditionell sind die erfolgreichsten Methoden, um an E-Mails und Passwörter zu gelangen, andere Datenschutzverletzungen (die E-Mails und gelegentlich Klartext-Passwörter enthalten können) und Phishing-Angriffe .

Der Erfolg des Diebstahls von Anmeldeinformationen durch Datenschutzverletzungen hängt stark von folgenden Faktoren ab:

  • Schlechte Angewohnheit von Endbenutzern, Passwörter wiederzuverwenden
  • Fehler beim Ändern von Administratoranmeldeinformationen

Phishing-E-Mails führen die Opfer auf eine falsche Anmeldeseite. Identisch mit ihrem legitimen Gegenstück, senden diese gefälschten Anmeldebildschirme die Anmeldeinformationen an die eigene Datenbank des Angreifers. Während beide immer noch weit verbreitet sind, verlangsamen die Phishing-Abwehrmaßnahmen von Unternehmen die Rate des Diebstahls von Phishing-Anmeldeinformationen. 

An ihre Stelle tritt eine Weiterentwicklung von Keyloggern und Brute-Force-Angriffen.

Technische Angriffe

Keylogger gibt es schon lange: Einmal installiert, verfolgen sie die Tasteneingaben eines Benutzers und senden sie an einen C2-Server. Es werden nicht nur Passwörter gesammelt: Sensible Ressourcen und interne Kommunikation können alle gescrapt werden. Brute-Force-Angriffe waren früher ein Bot, der eine mögliche Kombination aus Buchstaben und Zahlen manuell eingab – Credential Stuffing – in der Hoffnung, dass er blind die richtige Kombination eingibt.

Wie Keylogger haben sich jedoch auch Brute-Force-Angriffe weiterentwickelt...

Kerberoasting ist ein Beispiel für intelligentes Brute-Forcing: Das Kerberos-Protokoll wird vom Authentifizierungsdienst von Windows verwendet, um sicherzustellen, dass der Benutzer Zugriff auf den angeforderten Server erhält. Wenn ein Benutzer über den Zugriffsschlüssel des Kerberos-Tickets verfügt, erhält er Zugriff auf den Server

(Unabhängig davon, ob sie die E-Mail-Adresse oder das Passwort eines zugrunde liegenden Kontos haben.)

Bei Kerberoasting-Angriffen stiehlt ein Angreifer diese verschlüsselten Tickets und führt dann die Verschlüsselungsschlüssel entweder mit Brute-Force- oder wörterbuchbasierten Angriffen aus. Sie benötigen eine anfängliche Berechtigungsbasis, um Kerberos-Tickets anzufordern, was bedeutet, dass Kerberoasting in der Regel beginnt, nachdem ein Konto auf niedrigerer Ebene kompromittiert wurde.

Dies macht Kerberoasting zu einer beliebten Option für die Rechteausweitung.

So erkennen Sie kompromittierte Anmeldeinformationen

Um kompromittierte Anmeldeinformationen zu erkennen, verwenden Unternehmen UEBA-Systeme (User Entity and Behavioral Analytics), um Benutzeraktivitäten zu überwachen und ungewöhnliche Verhaltensweisen zu identifizieren, die auf Sicherheitsbedrohungen hinweisen können.

UEBA-Lösungen sammeln und analysieren Daten aus Quellen, wie z. B.:

  • Netzwerk Gerät
  • BETRIEBSSYSTEME
  • Anwendungen

Sie tun dies, um eine Grundlage für typisches Benutzerverhalten im Laufe der Zeit zu schaffen. Wenn die Aktivität von diesen etablierten Mustern abweicht, kann dies auf eine mögliche Kompromittierung von Anmeldeinformationen oder Konten hinweisen.

SIEM-Plattformen (Security Information and Event Management ) spielen ebenfalls eine Schlüsselrolle bei der Erkennung kompromittierter Konten. Durch das Sammeln und Analysieren von Sicherheitsprotokollen aus dem gesamten Unternehmen korrelieren SIEM-Tools Ereignisse, um verdächtige Verhaltensweisen zu kennzeichnen, wie z. B.:

  • Ungewöhnliche Anmeldeversuche
  • Anomalien am Standort
  • Nicht autorisierte Rechteerweiterungen

(was auf eine Sicherheitsverletzung.)

Die kontinuierliche Überwachung von Benutzerkonten und Authentifizierungsaktivitäten ist unerlässlich, um potenzielle Kompromittierungen frühzeitig zu erkennen und es Unternehmen zu ermöglichen, schnell zu reagieren, um Risiken zu minimieren.

Stoppen Sie die Kompromittierung von Anmeldeinformationen mit Check Point Harmony

Check Point Harmony verhindert die Wiederverwendung von Passwörtern und erkennt den Diebstahl von Anmeldedaten, indem es richtlinienbasierte Einschränkungen mit fortschrittlicher Anomalieerkennung kombiniert.

Die Secure Browser Access-Richtlinie von Check Point ermöglicht es Administratoren, die Wiederverwendung von Passwörtern zu verhindern, indem sie bestimmte Unternehmensdomänen definiert, in denen die Wiederverwendung von Passwörtern verboten ist. Nachdem diese geschützten Domänen konfiguriert und mit der Browsererweiterung des Benutzers synchronisiert wurden, erfasst und speichert das System eine gehashte Version des Kennworts (unter Verwendung von SHA-256 mit HMAC), wenn ein Benutzer Anmeldeinformationen für eine dieser festgelegten Domänen eingibt.

Durch das Speichern dieses Passwort-Hashes kann die Erweiterung erkennen, ob dasselbe Passwort in einer anderen, nicht geschützten Domäne wiederverwendet wird.

Wenn die Wiederverwendung von Kennwörtern erkannt wird, initiiert das System eine vorkonfigurierte Antwort, z. B.:

  • Protokollieren des Vorfalls
  • Benachrichtigung des Benutzers

Mit diesem Ansatz können Domänen außerhalb von Active Directory gesichert werden.

Um kompromittierte Anmeldeinformationen zu erkennen, verwendet Check Point eine Anomalieerkennungs-Engine, die ungewöhnliche Aktivitätsmuster bei legitimen Benutzern identifiziert. Das System erstellt Benutzerprofile basierend auf Anmeldezeiten, Standorten, Datenübertragungen und E-Mail-Verhalten, um eine Grundlage für typisches Verhalten zu erstellen.

Wenn eine signifikante Abweichung auftritt, wird jede anomale Aktion analysiert und nach Schweregrad bewertet: "Kritische" Ereignisse signalisieren eine hohe Wahrscheinlichkeit einer Kontokompromittierung und erfordern eine sofortige Untersuchung, wodurch sie an die Spitze der Arbeitsabläufe der Sicherheitsteams rücken.

Nicht nur die Analysesysteme sind automatisiert... 

Das Harmony Email & Collaboration-System kann Warnungen auf der Grundlage einer Überprüfung der letzten E-Mails des Benutzers aus den letzten Stunden initiieren. Die Anti-Phishing-Engine prüft genau auf potenzielle Phishing-Links oder -E-Mails, und wenn bei der Inspektion hochriskante Kommunikationen aufgedeckt werden, kann die Engine alle weiteren E-Mails oder Aktionen unter Quarantäne stellen.

Wenn Sie die von diesem angebotenen Funktionen benötigen, aber nicht über die erforderlichen Arbeitskräfte verfügen, werfen Sie einen Blick auf die externen Risikomanagement-Services von Check Point.

Dieser umfassende Ansatz, der die Wiederverwendung von Passwörtern mit einer ausgeklügelten Anomalieerkennung kombiniert, trägt zum Schutz von Anmeldeinformationen bei und ermöglicht gleichzeitig eine schnelle Reaktion auf jeden erkannten Sicherheitsvorfall. Wenn Sie sich Sorgen über Aktivitäten in Ihrem Unternehmensnetzwerk machen, wenden Sie sich noch heute an einen Sicherheitsexperten.

Loslegen

Verhinderung von Kontoübernahmen

Harmony Browse

Harmony Email & Collaboration

ThreatCloud

Verwandte Themen

Was ist Credential Stuffing?

Was ist Websicherheit?

Was ist Webfilterung?

Was ist URL-Filterung?

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK