InfoGuard Cyber Security & Cyber Defence Blog

Cyber-Attacke auf Ihren Identity Provider – was Sie jetzt tun müssen

Geschrieben von Michelle Gehri | 18. Okt 2022

Sicherheitsvorfälle sind immer besorgniserregend, aber noch mehr, wenn wie im Fall von Okta vor einigen Monaten ein Identity Provider und dadurch möglicherweise das eigene Unternehmen kompromittiert wurde. Auch wenn im Beispiel von Okta gemäss eigener Aussage nur ein kleiner Prozentsatz der Kunden betroffen war, so ist dieser Angriff kein Einzelfall. Entsprechend stellen sich aktuell einige Unternehmen die Frage: Wie würde sich ein Angriff auf meinen Identity Provider auf das eigene Unternehmen auswirken? Welche Massnahmen sollten wir ergreifen? Auf diese Fragen gehen wir in diesem Blog-Artikel ein.

Die Kompromittierung eines Identity Providers resp. einer Software-Lieferkette kann zur Folge haben, dass Angreifer Zugang zu Tausenden von Unternehmen und somit möglicherweise Millionen von Benutzern haben. Die Frage nach Sicherheitsvorkehrungen und Massnahmen, sollte ein Angriff erfolgreich sein, sind daher aktueller denn je, häufen sich doch die Angriffe zunehmend. Auch wenn die Taktik einer Lieferketten-Kompromittierung selbst nicht neu ist (man denke an SolarWinds oder Kaseya), sind viele Unternehmen nur ungenügend darauf vorbereitet. Bei den weitreichenden Auswirkungen eines Lieferketten-Angriffs, der sich auf die Kontenverwaltung konzentriert, scheint dies für viele Sicherheitsteams ohnehin kaum zu bewältigen. Analysen haben jedoch gezeigt, dass bei über 85 Prozent der Angriffe der Zugriff auf Konten eine Rolle spielt. Für Angreifer sind Kontenzugriffe deshalb so interessant, weil sie dadurch auf beinahe sämtliche Bereiche eines Unternehmens Zugriff haben – und zwar ohne, dass Kontakt mit überwachten Endpunkten oder Nutzdaten erforderlich sind.

14 Massnahmen für vor, während und nach einer Kompromittierung des Identity Providers

Nun stellt sich die Frage: Was können Unternehmen tun für den Fall, dass ein Identity Provider oder eine andere identitätsorientierte Software an einer Kompromittierung der Lieferkette beteiligt ist? Folgend einige Empfehlungen, die aber durchaus auch für die Kompromittierung von Konten gelten, welche durch andere Angriffstaktiken auf Lieferketten entstanden sind. Denn Lieferketten-Angriffe sind natürlich nur eine von vielen Methoden, um Konten zu kompromittieren. Die Art und Weise, wie Angreifer kompromittierte Konten nutzen, um ihre Ziele zu erreichen und wie Verteidiger diese Angriffe erkennen sowie darauf reagieren können, sind grundsätzlich dieselben – unabhängig von der ursprünglichen Methode der Kompromittierung.

14 Massnahmen, die Sie vor, während und nach einer Kompromittierung ergreifen sollten:


  1. Die aktuelle Situation bewerten
    Bei einem Sicherheitsvorfall sollten so viele Informationen wie möglich gesammelt werden, was jedoch oft nicht ganz einfach ist – besonders, da Drittparteien involviert sind. Nutzen Sie für Ihre Analyse unterschiedliche Informationsquellen inklusive Bewertungen unabhängiger Sicherheitsexpert*innen.

  2. Den ungefähren Zeitrahmen des Angriffs bestimmen
    Leider wird oft erst Wochen oder Monate nach einer Cyber-Attacke darüber informiert. Deshalb sollte zum Auffinden von Kompromittierungsindikatoren (IoCs) ein möglichst realistischer, oft grösserer Zeitrahmen festgelegt werden, in dem möglicherweise bösartige Aktivitäten stattgefunden haben.

  3. Bestandsaufnahme aller Entitäten zum Identity Provider
    Die meisten Unternehmen nutzen eine Vielzahl von Diensten und Anwendungen, sodass ein genaues Bild des Inventars oft schwierig ist. Doch was nicht bekannt ist, kann auch nicht angemessen geschützt werden. Eine Bestandesaufnahme sämtlicher Entitäten, welche der Identity Provider bedient, ist somit ungemein wichtig.

  4. Die jüngsten Aktivitäten in den Protokollen und ausgelösten Warnungen überprüfen
    Etablierte Identity Providers verfügen in der Regel über ausführliche Protokolle aller kritischen Aktivitäten innerhalb der Umgebung. Mithilfe der vorgängigen Eingrenzung des Zeitrahmens können so Änderungen in der Systemkonfiguration nachvollzogen werden. Angriffsindizien sind beispielsweise neu installierte Anwendungen, angemeldet Geräte, neue Verwaltungsbenutzer, erhöhte Berechtigungen, redundante Zugangsdaten usw. Ebenfalls sollten alle protokollierten Sicherheitswarnungen ausgewertet werden.

  5. Alle Änderungen, die einen redundanten Zugriff ermöglichen könnten, untersuchen
    Die vorhandene Protokollierung ist nicht immer aktiviert oder ausreichend. Daher sollten die aktuellen Sicherheitseinstellungen überprüft werden, um ungewöhnliche Änderungen festzustellen.

  6. Bösartige Änderungen rückgängig machen
    Selbsterklärend sollten alle bösartigen Änderungen rückgängig gemacht werden. Hierbei sollten alle Details aufgezeichnet werden, um ein vollständiges Bild der Kompromittierung zu erhalten, was auch für weitere forensische Aktivitäten nützlich ist.

  7. Benutzerpasswörter zurücksetzen
    Bei Verdacht auf kompromittierte Benutzerkonten muss möglicherweise die Erneuerung der Benutzer-Anmeldedaten erzwungen werden. Ein einfacher und effektiver Schritt – auch wenn bei Benutzern eher unbeliebt. Wichtig ist dabei auch, dass aktive Sessions vorgängig geschlossen werden müssen.

  8. Schlüssel und Zertifikate rotieren
    Anmeldeinformationen von Anwendungen und Diensten zurücksetzen ist in der Regel eine komplexe und arbeitsintensive Tätigkeit. Dieser Schritt kann zwar unvermeidbar sein, aber vergewissern Sie sich vor Beginn, dass er wirklich notwendig ist.

  9. Übermässige Berechtigungen für Drittanbieter entziehen
    Identity Provider können Kunden um die Zugriffsberechtigung auf die Mietereinstellungen bitten, um diese zu ändern oder ein System-Debugging durchzuführen. Sollte der Identity Provider kompromittiert worden sein, sollten alle erteilten Zugriffsrechte umgehend widerrufen oder wenn möglich, nur temporär erteilt werden.

  10. Verteidigungsmassnahmen verstärken
    Die aktuellen Sicherheitseinstellungen periodisch zu überprüfen ist ein weiterer offensichtlicher Schritt, der aber spätestens bei einem Sicherheitsvorfall geschehen muss. Produkte zur Verwaltung der Sicherheitslage wie beispielsweise Vectra Protect for Microsoft 365, welche Lücken in den Konfigurationen von Azure AD und Microsoft Office 365-Kontrollen scannen sowie identifizieren, können dabei hilfreich sein. Oder nutzen Sie unseren dezidierten Hunting-Service, um allfällige Schwachstellen oder Fehlkonfigurationen in Ihrer Azure-Umgebung zu finden.

  11. Monitoringlösung installieren
    Selbst die besten Sicherheitslösungen bieten keinen 100-prozentigen Schutz. Der Mensch als grösster Risikofaktor oder Lieferkettenangriffe können externe Verteidigungsmassnahmen überwinden. Zur raschen Vorfallsreaktion wird eine wirksame Detection & Response-Lösung benötigt, um bösartige Aktivitäten zu überwachen und das Fortschreiten der Angreifer möglichst schnell zu stoppen.

  12. Notfallpläne für die Reaktion auf Vorfälle überprüfen
    Idealerweise verfügen Unternehmen bereits über einen Notfallplan im Falle eines Angriffs auf Drittparteien, besonders für kritische Dienstleister wie Identity Provider. Falls nicht, sollte dies umgehend nachgeholt werden, wozu die Unterstützung von externen Spezialist*innen, die Notfallpläne auch im Rahmen von Table-Top-Exercises (TTX) vorgängig üben, empfehlenswert ist.

  13. Eine Prüfung durch externe Sicherheitsexpert*innen
    Sobald sich die Hektik gelegt hat, ist eine gründliche Prüfung durch externe Sicherheitsexpert*innen ratsam. So kann verifiziert werden, ob die getätigten Massnahmen sowie vorhandenen Sicherheitsvorkehrungen angemessen und ob noch Lücken vorhanden sind (beispielsweise im Rahmen eines Penetration Tests oder einer Attack Simulation).

  14. Anzeichen für ein gefährdetes Konto erkennen
    Anzeichen gefährdeter Konten und die möglichen Auswirkungen sind nicht immer sofort erkennbar. Ein Konto kann eine Vielzahl von Aktionen durchführen und Assets können unterschiedlich verwaltet werden. Ungewöhnliche Aktivitäten im Zusammenhang mit dem Zugriff auf wertvolle Dienste, Funktionen, Hosts oder Daten sind jedoch unabhängig der Unterschiede oftmals Anzeichen für ein kompromittiertes Konto.


Künstliche Intelligenz, um Anomalien und Kompromittierungen zeitnah zu entdecken

Die Definition dessen, was abnormal und wertvoll ist, ist keine einfache Aufgabe. Zwar können Teams die Active-Directory-Protokolle des Netzwerks durchforsten und die von einem Cloud-Dienst protokollierten Aktionen überprüfen. Angesichts des Umfangs und der Mehrdeutigkeit der Probleme ist es jedoch effektiver sowie effizienter, Lösungen der Künstlichen Intelligenz (KI) einzusetzen, die auf das Ziel der Angreifer ausgerichtet sind und kritische Aktivitäten rasch erkennen – vor allem in Szenarien, in denen nicht genau klar ist, wer kompromittiert wurde und möglicherweise Anmeldedaten, Zugriffstoken oder private Schlüssel neu ausgerollt werden müssen. Hier verschaffen KI-Lösungen wie jene unseres Partners Vectra Klarheit.

Vectra AI für automatisierte und verhaltensbasierte Breach Detection

Vectra wendet sicherheitsorientierte KI an, um die Aktionen von Angreifern in Ihrem Unternehmen über On-Premise, IaaS, PaaS und SaaS hinweg zu überwachen und darauf zu reagieren. Die Warnungen konzentrieren sich nicht nur auf Anomalien, sondern auch auf das Verhalten der Angreifer. Techniken wie Privilege Analytics, die den Wert von Konten und Assets sowohl in Hybrid-Cloud- als auch in reinen SaaS-Umgebungen automatisch verstehen, können den Sinn des Anormalen erkennen, indem sie den Wert von Assets auf der Grundlage ihrer historischen Aktivitäten verstehen.

Erkennen Sie laufende Cyber-Angriffe mit Vectra und dem InfoGuard Breach Detection Audit

Sie möchten wissen, ob bei Ihnen aktuell laufende APT-, Ransomware- oder andere Cyber-Angriffe stattfinden? Unser Breach Detection Audit erkennt in Echtzeit Anomalien und laufende Angriffe in Ihrem Unternehmensnetzwerk. Während vier Wochen analysieren unsere Security-Analyst*innen mit der führenden Breach-Detection-Lösung von Vectra den gesamten Netzwerk-Traffic und liefern Ihnen so eine aktuelle Standortbestimmung über das Ausmass der Infiltration in Ihrem Netzwerk.

Interessiert? Mehr Informationen und das Kontaktformular finden Sie hier: