Blog
/
Zero-Trust-Segmentierung

Cloud Hopper: Eine Zero-Trust-Perspektive

Raghu Nandakumara
,
Leitender Direktor, Marketing für Branchenlösungen
February 10, 2020
23 min. Lesedauer

Cloud Hopper, die Hacker-Kampagne, von der vermutet wird, dass sie von staatlich geförderten chinesischen Aktivisten (liebevoll „APT10“ genannt) inszeniert wurde, lief von 2014 bis mindestens 2017 und betraf mehrere westliche Unternehmen in einer Reihe von Branchen. Diese spezielle Sammlung von Cyberspionage war so umfangreich, dass sie aufgrund des Umfangs der Operation, der Anzahl der betroffenen Organisationen, der Art der gesammelten Informationen und — was am wichtigsten ist — der Art des ursprünglichen Verstoßes weiterhin Aufmerksamkeit sowohl in den Sicherheits- als auch in den Wirtschaftsmedien erregte. Cloud Hopper erhielt seinen heute bekannten Namen aufgrund der Kompromittierung der Opfer durch die Angreifer Anbieter von verwalteten Diensten (MSP) und nutzt diese, um von der „Cloud“ der MSPs zu den Netzwerken der Zielunternehmen zu „springen“.

Es gab viele hervorragende Zusammenfassungen und ausführliche Beschreibungen des Verstoßes, wie z. B. den ausführlichen Betrieb Cloud Hopper Bericht von PWC, der eine eingehende Analyse des Verstoßes enthält. Anstatt hier dieselben Informationen zu wiederholen, betrachten wir Cloud Hopper aus der Perspektive eines Null Vertrauen Framework und insbesondere die Frage, wie die Einführung eines solchen Sicherheitsansatzes die Effektivität der Angreifer hätte verringern können.

Forrester Research führte Zero Trust erstmals vor fast einem Jahrzehnt ein und befürwortete eine Abkehr von der Sicherheitseinstellung „Vertrauen, aber überprüfen“ zu einem Ansatz „Nichts vertrauen, alles überwachen, am wenigsten Privilegien“. Dieser Wandel, bei dem man sich nicht mehr auf einen großen Perimeter verlässt, um eine Gruppe von vielen Vermögenswerten zu schützen, hin zu einem System, bei dem jedes Asset als Ziel betrachtet wird, zielt darauf ab, das inhärente Vertrauen zu beseitigen, das Unternehmen anfälliger für Angriffe macht.

Das Zero-Trust-Framework erstreckt sich über sieben Säulen, die zusammen eine umfassende Strategie zur Sicherung des Unternehmens bieten. Es bietet auch einen nützlichen Ausgangspunkt, um zu analysieren, warum ein Angriff erfolgreich war, und um zu verstehen, welcher Pfeiler den Angriff hätte vereiteln können, wenn er stärker gewesen wäre. Wie sich herausstellen wird, war Cloud Hopper aufgrund des übermäßigen Vertrauens, das die Angreifer in einem perfekten Sturm von Kontrollmängeln ausnutzen konnten, äußerst erfolgreich.

Ausgangspunkt war, wie bei vielen Datenschutzverletzungen, die Kompromittierung der Säule „Menschen“. Sehr zielgerichteter Speer Phishing-Angriffe nutzbare Dokumente, die sowohl auf den Sektor des Zielunternehmens als auch auf die berufliche Funktion der Person zugeschnitten sind, die die Nachricht erhält. Dies trug dazu bei, Folgendes sicherzustellen bösartige Nutzlast wurde ausgeführt, sodass der Angreifer im Netzwerk des MSP Fuß fassen und an die Anmeldeinformationen eines Opfers gelangen konnte. Außerdem wurde die „Eintrittsbarriere“ weiter verringert, wenn die Opfer administrativen Zugriff hatten. Von einem Null Vertrauen Aus dieser Sicht sollte der privilegierte Zugriff „Just-In-Time“ (nur für den erforderlichen Zeitraum und entfernt, sobald der Zugriff nicht mehr benötigt wird) auf der Grundlage der genehmigten Geschäftsanforderungen durch ein autorisiertes System bereitgestellt werden.

Die nächste Säule, die fiel, war das Netzwerk. Das Malware führte Erkundungen im Netzwerk der Organisation durch, kartografierte die wichtigsten Ressourcen, etablierte dauerhafte Stützpunkte und stellte fest, wie das angestrebte Ziel am effizientesten erreicht werden konnte. Im Fall von Cloud Hopper bedeutete dies, einen Pfad vom ersten infizierten Host (oft als „Brückenkopf“ bezeichnet) im MSP-Netzwerk bis hin zum endgültigen Ziel in der Kundenumgebung zu finden. Ein weiteres wichtiges Netzwerkelement war die Fähigkeit der Malware, über ihre Command-and-Control-Umgebung (CNC oder C2) im Internet Informationen zu senden und Anweisungen zu empfangen. Diese beiden Phasen — Erkennung durch Netzwerkdurchquerung und Call-Home-Funktionen — werden getrennt betrachtet, da sie unterschiedliche Arten von Fehlern hervorheben, die in den Netzwerksicherheitsprinzipien des Zero-Trust-Frameworks behandelt werden.

Da die Schadsoftware zunächst den Call-Home-Teil betrachtete, war sie in hohem Maße davon abhängig, dass sie mit ihrer CNC-Infrastruktur kommunizieren konnte, sodass sie sich selbst vollständig löschte, wenn dieser Zugriff fehlschlug. Desktop-Umgebungen, in denen Malware am häufigsten verbreitet wird, verwenden häufig Web-Proxys, um auf das Internet zuzugreifen — da der Internetzugang für die Produktivität unerlässlich ist. Unternehmen sollten bei der Verwaltung dieses Zugriffs große Sorgfalt walten lassen und sicherstellen, dass nur autorisierte, authentifizierte Benutzer Zugriff auf den Proxy haben und dass dieser Zugriff auf das Mindestmaß beschränkt ist, damit die Benutzer ihre normalen Funktionen ausführen können. Obwohl diese Kontrollen ordnungsgemäß implementiert sind, müssen Angreifer lediglich Domains registrieren und sie in die legitime Kategorie des Webfilteranbieters einordnen, um diese Kontrollen auf Proxyebene zu umgehen. In solchen Fällen sollte die Protokollierung und Überwachung aller Internetzugriffe verpflichtend sein und an einige Verhaltensanalysen der Endnutzer geknüpft werden, sodass Abweichungen von der normalen Aktivität erkannt und untersucht werden können.

Der wahre Schlüssel zum Erfolg von Cloud Hopper war die Fähigkeit der Angreifer, sich seitlich zu bewegen.

Aber der wahre Schlüssel zum Erfolg von Cloud Hopper war die Fähigkeit, Angreifer sollen sich seitlich bewegen innerhalb jedes MSP-Netzwerks, mit geringen Einschränkungen. Auf diese Weise konnten sie schnell eine Übersicht der verfügbaren Hosts, Prozesse und Ports erstellen, die ausgenutzt werden könnten, und ermitteln, welche für die nächste Phase des Angriffs am besten geeignet sind. Um eine militärische Redewendung zu verwenden: Cyber-Experten beschreiben dies oft als „Insel-Hopping“ -Kampagne. Das erfolgreiche Aussammeln von Zugangsdaten privilegierter Benutzer und der relativ uneingeschränkte Netzwerkzugriff ermöglichten es den Angreifern, auf eine Weise auf Systeme zuzugreifen, die legitim erschien. Dabei verwendeten sie gängige Verwaltungsprotokolle, sodass sie unter dem Radar blieben. Der relativ geringe Aufwand bei der Netzwerkaufklärung ermöglichte die einfache Identifizierung von Jump-Hosts, die dem MSP den Zugriff auf das Netzwerk der einzelnen Clients ermöglichten, von wo aus die Angreifer auf die eigentlichen Ziele ihrer Angriffe zugreifen konnten.

Dies ist eine Verschmelzung des Versagens der Zero-Trust-Säulen für Geräte, Netzwerke und Workloads. Flache Netzwerke — Netzwerke mit geringer oder keiner Segmentierung — sind ein Spielplatz für den Gegner, und diese Situation war keine Ausnahme. Das Fehlen einer angemessenen Segmentierung oder Überwachung des internen Netzwerks des MSP ermöglichte es den Angreifern, sich mühelos und unbemerkt zu bewegen. Die Segmentierung hätte den Angreifern die Möglichkeit versperrt, das Netzwerk zu kartografieren, offene Pfade zu identifizieren oder sich zu bewegen, sofern dies nicht ausdrücklich durch Richtlinien erlaubt wurde. Die Sichtbarkeit des gesamten Netzwerkverkehrs hätte Aufschluss über die Bewegungen des Angreifers gegeben und möglicherweise eine Untersuchung ausgelöst, die früh genug war, um den Angriff zu stoppen, bevor er seine Zieldaten gefunden hatte. Wichtige Ressourcen wie Jump-Server (auch bekannt als Bastion-Hosts) waren sowohl mit dem MSP- als auch mit dem Client-Netzwerk verbunden, waren jedoch weder in Bezug auf den Netzwerk- noch den Benutzerzugriff ausreichend gesichert. Die Vorschrift einer Art von Privileged Access Management für alle Jump-Server-Zugriffe hätte die Fähigkeit der Angreifer, in die Client-Netzwerke einzudringen, erheblich eingeschränkt.

Der Cloud-Hopper-Angriff verdeutlicht das Versagen mehrerer wichtiger Sicherheitskontrollen und verstärkt die Notwendigkeit eines anderen Sicherheitsansatzes — ein Ansatz, bei dem Unternehmen davon ausgehen, dass die Wahrscheinlichkeit einer Sicherheitsverletzung bei 100% liegt, und ihre Umgebungen so gestalten, dass sie eine Sicherheitsverletzung schnell erkennen und ihre Auswirkungen minimieren können. Angesichts der Art und Weise, wie fortgeschrittene Angreifer vorgehen, ist der umsichtigste Ansatz ein Ansatz, bei dem alles von Grund auf neu aufgebaut wird Prinzip der geringsten Privilegien — ein Zero-Trust-Sicherheitsansatz.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Stopp von Lieferkettenangriffen mit Zero-Trust-Segmentierung
Zero-Trust-Segmentierung

Stopp von Lieferkettenangriffen mit Zero-Trust-Segmentierung

Die Sicherung der Lieferkette ist aufgrund ihrer Komplexität besonders schwierig.

Lesen Sie mehr
Warum ZTNA Sicherheitslücken hinterlässt — und wie ZTS sie schließt
Zero-Trust-Segmentierung

Warum ZTNA Sicherheitslücken hinterlässt — und wie ZTS sie schließt

Obwohl sich ZTNA als sehr vorteilhaft erwiesen hat, ist es keine absolut sichere Lösung für Ihr Netzwerk. Die Kombination von ZTNA und Mikrosegmentierung ist effektiver.

Lesen Sie mehr
Warum Zero Trust für bessere Endpunktsicherheit?
Zero-Trust-Segmentierung

Warum Zero Trust für bessere Endpunktsicherheit?

Warum die Implementierung und Durchsetzung von Zero Trust für Endpunktsicherheit sowohl intern als auch für die große (und wachsende) Zahl von Mitarbeitern im Home-Office eine bessere Lösung ist.

Lesen Sie mehr
Rückblick auf die diesjährige Forrester Wave for Zero Trust
Zero-Trust-Segmentierung

Rückblick auf die diesjährige Forrester Wave for Zero Trust

Zero Trust Wave-Bericht von Forrester Research — erfahren Sie im diesjährigen Bericht, wie Illumio das beste Produktangebot herausgebracht hat.

Lesen Sie mehr

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr