Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Cloud Hopper: Eine Zero-Trust-Perspektive

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
10Februar 2020
23 min. lesen

Cloud Hopper, die Hacking-Kampagne, die im Verdacht steht, von staatlich geförderten chinesischen Agenten (liebevoll "APT10" genannt) orchestriert zu werden, lief von 2014 bis mindestens 2017 und betraf mehrere westliche Unternehmen in einer Reihe von Branchen. Diese spezielle Sammlung von Cyberspionage war so bedeutend, dass sie aufgrund des Ausmaßes der Operation, der Bandbreite der betroffenen Organisationen, der Art der gesammelten Informationen und – was am wichtigsten ist – der Art des ursprünglichen Verstoßes sowohl in den Sicherheits- als auch in den Wirtschaftsmedien weiterhin Aufmerksamkeit erregte. Cloud Hopper erhielt seinen mittlerweile bekannten Namen aufgrund der Kompromittierung der Managed Service Provider (MSP) der Opfer durch die Angreifer, die diese nutzten, um von der "Cloud" der MSPs in die Netzwerke der Zielunternehmen zu "hüpfen".

Es gab viele hervorragende Zusammenfassungen und detaillierte Beschreibungen des Verstoßes, wie z. B. den ausführlichen Operation Cloud Hopper-Bericht von PWC, der eine tiefgreifende Analyse des Verstoßes bietet. Anstatt hier die gleichen Informationen zu wiederholen, werden wir Cloud Hopper aus der Perspektive eines Zero-Trust-Frameworks betrachten und insbesondere untersuchen, wie die Einführung eines solchen Sicherheitsansatzes die Effektivität der Angreifer hätte verringern können.

Forrester Research führte Zero Trust erstmals vor fast einem Jahrzehnt ein und befürwortete eine Abkehr von der Sicherheitshaltung "Vertrauen, aber überprüfen" hin zu einem "Nichts vertrauen, alles überwachen, geringste Privilegien"-Ansatz. Diese Verlagerung von der Abhängigkeit von einem großen Perimeter zum Schutz einer Gruppe von vielen Assets hin zu einem Perimeter, bei dem jedes Asset als Ziel betrachtet wird, zielt darauf ab, das inhärente Vertrauen zu beseitigen, das Unternehmen anfälliger für Angriffe macht.

Das Zero-Trust-Framework erstreckt sich über sieben Säulen, die in Kombination eine umfassende Strategie zur Sicherung des Unternehmens bieten. Es bietet auch einen nützlichen Ausgangspunkt, um zu analysieren, warum ein Angriff erfolgreich war, und um zu verstehen, welche Säule hätte helfen können, den Angriff zu vereiteln, wenn er stärker gewesen wäre. Wie sich zeigen wird, war Cloud Hopper aufgrund eines übermäßigen Vertrauens sehr erfolgreich, das die Angreifer in einem perfekten Sturm von Kontrollmängeln ausnutzen konnten.

Der Ausgangspunkt war, wie bei vielen Datenschutzverletzungen, die Kompromittierung der Säule "Menschen". Bei den zielgerichteten Spear-Phishing-Angriffen wurden Dokumente genutzt, die sowohl auf den betroffenen Unternehmenssektor zugeschnitten waren. und die berufliche Funktion der Person, die die Nachricht erhält. Dies trug dazu bei, dass die bösartige Nutzlast ausgeführt wurde, was es dem Angreifer ermöglichte, im Netzwerk des MSP Fuß zu fassen und die Anmeldeinformationen eines Opfers zu erhalten. Wenn die Opfer administrativen Zugang hatten, wurde die "Zugangsbarriere" weiter gesenkt. Aus der Perspektive von Zero Trust sollte der privilegierte Zugriff "Just-in-Time" bereitgestellt werden (nur für den erforderlichen Zeitraum und entfernt, sobald der Zugriff nicht mehr benötigt wird), basierend auf den genehmigten Geschäftsanforderungen eines autorisierten Systems.

Die nächste Säule, die fiel, war das Netzwerk. Die Malware führte Erkundungen im Netzwerk des Unternehmens durch, kartierte wichtige Ressourcen, etablierte dauerhafte Stützpunkte und ermittelte, wie sie ihr beabsichtigtes Ziel am effizientesten erreichen konnte. Im Fall von Cloud Hopper bedeutete dies, einen Weg vom ersten kompromittierten Host (oft als "Brückenkopf" bezeichnet) im MSP-Netzwerk bis zum endgültigen Ziel in der Umgebung des Clients zu bahnen. Ein weiteres wichtiges Netzwerkelement war die Fähigkeit der Malware, Informationen zu senden und Anweisungen über ihre Befehls- und Kontrollumgebung (CNC oder C2) im Internet zu empfangen. Diese beiden Phasen – Aufklärung durch Netzwerkdurchquerung und Call-Home-Funktionen – werden getrennt voneinander betrachtet, da sie unterschiedliche Arten von Fehlern hervorheben, die in den Netzwerksicherheitsprinzipien des Zero-Trust-Frameworks behandelt werden.

Die Malware hing stark davon ab, mit ihrer CNC-Infrastruktur zu kommunizieren, und zwar in dem Maße, dass sie sich selbst vollständig löschen würde, wenn dieser Zugriff fehlschlägt. Desktop-Umgebungen, in denen Malware am häufigsten verbreitet wird, verwenden häufig Web-Proxys für den Zugriff auf das Internet – da der Internetzugang für die Produktivität unerlässlich ist. Unternehmen sollten bei der Verwaltung dieses Zugriffs sehr vorsichtig sein und sicherstellen, dass nur autorisierte, authentifizierte Benutzer Zugriff auf den Proxy haben und dass dieser Zugriff auf dem Mindestniveau erfolgt, damit die Benutzer ihre Geschäftsfunktionen wie gewohnt ausführen können. Obwohl diese Kontrollen ordnungsgemäß implementiert sind, müssen Angreifer nur Domains registrieren und sie in die legitime Kategorie des Webfilteranbieters einordnen lassen, um diese Kontrollen auf Proxy-Ebene zu umgehen. In solchen Fällen sollte die Protokollierung und Überwachung aller Webzugriffe obligatorisch sein und an einige Verhaltensanalysen der Endnutzer gebunden sein, damit Abweichungen von der normalen Aktivität identifiziert und untersucht werden können.

Der eigentliche Schlüssel zum Erfolg von Cloud Hopper war die Fähigkeit der Angreifer, sich seitlich zu bewegen.

Der eigentliche Schlüssel zum Erfolg von Cloud Hopper war jedoch die Möglichkeit für die Angreifer, sich innerhalb jedes MSP-Netzwerks lateral zu bewegen , ohne dass es Einschränkungen gab. Auf diese Weise konnten sie schnell eine Karte der verfügbaren Hosts, Prozesse und Ports erstellen, die ausgenutzt werden konnten, und bestimmen, welcher für die nächste Phase des Angriffs am besten geeignet war. Um eine militärische Formulierung zu verwenden, wird dies von Cyber-Profis oft als "Insel-Hopping"-Kampagne bezeichnet. Das erfolgreiche Sammeln privilegierter Benutzeranmeldeinformationen und der relativ uneingeschränkte Netzwerkzugriff ermöglichten es den Angreifern, auf legitim erscheinende Weise auf Systeme zuzugreifen, indem sie gängige Verwaltungsprotokolle verwendeten, so dass sie unter dem Radar fliegen konnten. Die relativ einfache Netzwerkaufklärung ermöglichte die einfache Identifizierung von Jump-Hosts, die dem MSP Zugang zum Netzwerk jedes Clients gewährten, von wo aus die Angreifer auf die wirklichen Ziele ihrer Bemühungen zugreifen konnten.

Dies ist eine Verschmelzung des Versagens der Zero-Trust-Säulen für Geräte, Netzwerke und Workloads. Flache Netzwerke – Netzwerke mit wenig oder keiner Segmentierung – sind ein Spielplatz für den Angreifer, und diese Situation war keine Ausnahme. Das Fehlen einer angemessenen Segmentierung oder Überwachung des internen Netzwerks des MSP ermöglichte es den Angreifern, sich mühelos und unentdeckt zu bewegen. Die Segmentierung hätte die Fähigkeit der Angreifer blockiert, das Netzwerk zu kartieren, offene Pfade zu identifizieren oder sich zu bewegen, es sei denn, dies ist ausdrücklich durch die Richtlinie erlaubt. Die Transparenz des gesamten Netzwerkverkehrs hätte Einblicke in die Bewegungen des Angreifers gegeben und möglicherweise früh genug eine Untersuchung ausgelöst, um den Angriff zu stoppen, bevor er seine Zieldaten gefunden hat. Wichtige Ressourcen wie Jump-Server (auch als Bastion-Hosts bezeichnet) verfügten über eine Konnektivität sowohl mit dem MSP- als auch mit dem Client-Netzwerk, waren jedoch weder in Bezug auf den Netzwerk- noch auf den Benutzerzugriff angemessen gesichert. Die Vorschrift einer Form von Privileged Access Management für alle Jump-Server-Zugriffe hätte die Fähigkeit der Angreifer, in die Client-Netzwerke einzudringen, stark eingeschränkt.

Der Cloud-Hopper-Angriff verdeutlicht das Versagen mehrerer wichtiger Sicherheitskontrollen und unterstreicht die Notwendigkeit eines anderen Sicherheitsansatzes – einen Ansatz, bei dem Unternehmen davon ausgehen, dass die Wahrscheinlichkeit einer Sicherheitsverletzung bei 100 % liegt, und ihre Umgebungen so gestalten, dass sie in der Lage sind, eine Sicherheitsverletzung schnell zu erkennen und ihre Auswirkungen zu minimieren. Angesichts der Art und Weise, wie fortgeschrittene Angreifer vorgehen, ist der klügste Ansatz einer, bei dem von Grund auf alles auf dem Prinzip der geringsten Privilegien aufbaut – einem Zero-Trust-Ansatz für die Sicherheit.

Verwandte Themen

No items found.

Verwandte Artikel

5 Praktiken, die Sie jetzt anwenden müssen, um die Cloud-Sicherheit zu reifen
Zero-Trust-Segmentierung

5 Praktiken, die Sie jetzt anwenden müssen, um die Cloud-Sicherheit zu reifen

Tipps zum Erreichen eines Cloud-Sicherheitsreifemodells, um ein Cloud-natives Reifegradmodell zu unterstützen und zu verteidigen.

Read more
Die Forrester-Welle™ für Zero Trust
Zero-Trust-Segmentierung

Die Forrester-Welle™ für Zero Trust

Der Q418 Forrester Wave-Bericht über Zero Trust eXtended (ZTX) Ecosystem Providers informiert über eine langfristige Strategie, mit der Unternehmen eine bessere Sicherheitslage erreichen können.

Read more
Minimierung Ihrer Angriffsfläche bei Fusionen und Übernahmen und Veräußerungen
Zero-Trust-Segmentierung

Minimierung Ihrer Angriffsfläche bei Fusionen und Übernahmen und Veräußerungen

Erfahren Sie, wie Illumio eine grundlegende Rolle im M&A- und Veräußerungsprozess spielt.

Read more
Rückblick auf die diesjährige Forrester-Welle für Zero Trust
Zero-Trust-Segmentierung

Rückblick auf die diesjährige Forrester-Welle für Zero Trust

Der Zero Trust Wave-Bericht von Forrester Research - Erfahren Sie, wie Illumio in diesem Jahr das beste Produktangebot zusammengestellt hat.

Read more

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more