Das Jahr 2020 brachte eine Flutwelle von Herausforderungen für Unternehmen aller Branchen mit sich - vom Gesundheitswesen über das Gastgewerbe bis hin zur Luftfahrt. Jede Organisation war gezwungen, irgendeinen Aspekt ihrer Strategie anzupassen, sei es durch Ausgabenkürzungen, Personalabbau, verrückte Neueinstellungen oder veränderte Betriebsmodelle.
Digitale Transformation im Angesicht einer dezentralen Belegschaft
Auch wenn die Auswirkungen der COVID-19-Pandemie 2020 auf die Technologiebranche im Vergleich zu anderen Sektoren hinterherhinken, gab es doch ein erhebliches Maß an Veränderungen. Viele Unternehmen waren gezwungen, digitale Transformationsinitiativen zu implementieren und zu beschleunigen, um sich auf eine schnell eingesetzte Remote-Belegschaft einzustellen.
Unternehmen, die viel in die Entwicklung und den Aufbau robuster Sicherheitsarchitekturen vor Ort investiert hatten, mussten ihre Sicherheitsstrategie erheblich umgestalten und aktualisieren, um sich vor Bedrohungen auf Geräten zu schützen, die außerhalb der Büroräume genutzt werden. Eine der wichtigsten Erkenntnisse und Lehren für die Sicherheit im Jahr 2020 ist, dass die Sicherheit der Geräte von Mitarbeitern, die Interaktion mit dem Internet und der Zugriff auf Unternehmensanwendungen mit ihnen reisen können müssen, unabhängig davon, wo sie sich zu einem bestimmten Zeitpunkt befinden.
Auswirkungen auf die Sicherheitslandschaft durch Cloud und SaaS-Einführung
Als unmittelbare Folge der beschleunigten Initiativen für die Arbeit von zu Hause aus haben die Akzeptanz und die tägliche Nutzung von cloud und SaaS-Anwendungen (Software-as-a-Service) im Jahr 2020 stark zugenommen, was viele neue Bedrohungen mit sich bringt. Angriffe, die auf SaaS- und cloud -Benutzerkonten abzielen, gehörten zu den am schnellsten wachsenden und am häufigsten auftretenden Problemen für Unternehmen, noch bevor COVID-19 die enorme und schnelle Verlagerung zur Telearbeit erzwang.
Mit der zunehmenden Nutzung von cloud durch Unternehmen dominierten Anwendungen wie Office 365 den Bereich der Produktivität. Die Office 365-Plattform verzeichnete mehr als 250 Millionen aktive Nutzer pro Monat und wurde zur Grundlage für die gemeinsame Nutzung, Speicherung und Kommunikation von Unternehmensdaten - was sie auch zu einer unglaublich reichen Fundgrube für Angreifer machte.
Es war daher keine Überraschung, dass Office 365 im Jahr 2020 in den Fokus von Angreifern geriet und zu massiven finanziellen und rufschädigenden Verlusten führte, trotz der zunehmenden Einführung von Multi-Faktor-Authentifizierung und anderen Sicherheitskontrollen, die Angreifern den Weg versperren sollen. Bei den Sicherheitsverletzungen, die Office 365 betrafen, war die Übernahme von Konten die am schnellsten wachsende und am weitesten verbreitete Angreifertechnik.
Tools, die von Angreifern in der Office 365-Umgebung ausgenutzt werden
Angreifer konzentrieren sich jetzt eher auf die Übernahme von Konten als auf die Kompromittierung von E-Mails, um sich einen ersten Zugang zu einer Umgebung zu verschaffen. Laut einer kürzlich durchgeführten Studie sind seitliche Bewegungen die häufigste Kategorie verdächtigen Verhaltens innerhalb von Office 365-Umgebungen, dicht gefolgt von Versuchen, eine Command-and-Control-Kommunikation aufzubauen. Zwei Office 365-Tools, die sich für Angreifer als wertvoll erwiesen haben, sind Power Automate und eDiscovery Compliance Search.
Microsoft Power Automate, ehemals Microsoft Flow, automatisiert alltägliche Benutzeraufgaben sowohl in Office 365 als auch in Azure und ist standardmäßig in allen Office 365-Tenants aktiviert. Es kann den Zeit- und Arbeitsaufwand für die Erledigung bestimmter Aufgaben für Benutzer reduzieren - aber ähnlich wie bei PowerShell neigen auch Angreifer dazu, Aufgaben zu automatisieren. Mit über 350 verfügbaren Anwendungskonnektoren sind die Möglichkeiten für Cyberangreifer, die Power Automate nutzen, enorm. Office 365 eDiscovery Compliance Search ermöglicht die Suche nach Informationen über alle Office 365-Inhalte mit einem einfachen Befehl. Alle diese Techniken werden heute aktiv genutzt, und sie werden häufig über den gesamten Angriffslebenszyklus hinweg zusammen eingesetzt.
Die Zahl der Bedrohungen, die auf Office 365-Benutzer und andere ähnliche Plattformen abzielen, wird im Jahr 2021 zweifelsohne weiter zunehmen. Die Identifizierung des Missbrauchs von Benutzerzugängen wurde traditionell mit präventionsbasierten, richtlinienzentrierten Ansätzen angegangen oder stützte sich auf Warnmeldungen, die potenzielle Bedrohungen beim Auftreten identifizierten, so dass wenig Zeit blieb, um angemessen zu reagieren. Diese herkömmlichen Ansätze werden auch weiterhin scheitern, da sie nur zeigen, dass ein genehmigtes Konto für den Zugriff auf Ressourcen verwendet wird, aber keinen tieferen Einblick in die Art und Weise oder die Gründe der Ressourcennutzung geben und nicht erkennen lassen, ob das beobachtete Verhalten für einen Angreifer von Nutzen sein könnte.
Im Jahr 2021 müssen sich Sicherheitsteams darauf konzentrieren, Maßnahmen zu implementieren, die einen detaillierteren Überblick darüber geben, wie ihre Benutzer privilegierte Aktionen - bekannt als beobachtetes Recht - innerhalb von SaaS-Anwendungen wie Office 365 nutzen. Das bedeutet, dass man verstehen muss, wie und von wo aus Benutzer auf Office 365-Ressourcen zugreifen. Es geht darum, die Nutzungsmuster und Verhaltensweisen zu verstehen, nicht darum, statische Zugriffsrichtlinien zu definieren.
Es kann nicht hoch genug eingeschätzt werden, wie wichtig es ist, ein wachsames Auge auf den Missbrauch des Benutzerzugangs zu SaaS-Daten zu haben, da dies bei realen Angriffen häufig vorkommt. SaaS-Plattformen sind ein Paradies für Angreifer, die sich seitwärts bewegen, weshalb es von größter Bedeutung ist, den Zugriff der Benutzer auf Konten und Dienste zu überwachen.
Sicherheitsmaßnahmen und Überlegungen für die Zukunft
Auf welche weiteren Sicherheitsaspekte sollten sich Unternehmen im Jahr 2021 einstellen? Die Umkehrung des Unternehmensnetzwerks wird weiterhin vorherrschend sein, da sich viele Unternehmen auf der ganzen Welt darauf konzentrieren, eine dauerhafte hybride oder vollständig dezentrale Arbeitsstruktur einzuführen, um die Produktivität zu steigern, die Gemeinkosten zu senken und den Mitarbeitern mehr Flexibilität zu bieten. Es ist nicht mehr der Fall, dass hochsensible und vertrauliche Daten nur vor Ort aufbewahrt werden, wo eine kleine Anzahl von Ausnahmen in den schützenden Firewall-Richtlinien gemacht werden, um die ausgehende Kommunikation zu ermöglichen.
Im Jahr 2021 wird die Entgrenzung der Unternehmensnetzwerke endlich als Norm akzeptiert werden, was schon seit Jahren erwartet wurde und sich nun beschleunigt hat. Einer der wichtigsten Indikatoren dafür ist, dass Unternehmen Active Directory (eine veraltete On-Premises-Architektur) aufgeben und alle ihre Identitäten zu Azure AD (einer modernen cloud-fähigen Technologie) verlagern.
Eines der besten Dinge, die ein Unternehmen tun kann, um sich auf die Sicherheitsherausforderungen im Jahr 2021 vorzubereiten, ist die Investition in Netzwerkerkennung und -reaktion (NDR) und die Bereitstellung des Benutzerzugangs über eine Zero Trust Architektur. Unternehmen sollten darüber nachdenken, wo sich ihre wichtigsten Daten befinden (höchstwahrscheinlich auf cloud und in SaaS-Anwendungen), und ermitteln, wie effizient ihr Sicherheitsteam Angreifer an all diesen Orten aufspüren kann, bevor sie größeren Schaden anrichten.
Um herauszufinden, wie NDR und Zero Trust Unternehmen dabei helfen können, diese Ziele zu erreichen, vereinbaren Sie noch heute einen Termin für eine Demo.