Verschiedene Geheimdienste der USA haben Unternehmen und öffentliche Einrichtungen vor Angriffen des russischen Militärnachrichtendienstes GRU gewarnt. Die Empfehlungen gehen Tom Jermoluk, CEO von Beyond Identity nicht weit genug. Er empfiehlt vielmehr, dass Unternehmen Passwörter eliminieren, weil man mit ihnen kein echtes Zero Trust erreichen kann.

In dem gemeinsamen Bericht der US-Sicherheitsbehörden wird die Spezialeinheit GTsSS des GRU beschuldigt, von Mitte 2019 bis Anfang 2021 ein Kubernetes-Cluster benutzt zu haben, um weltweit anonymisierte Brute-Force-Zugriffsversuche durchzuführen. Die Ziele der Kampagne waren demnach Hunderte von internationalen Einrichtungen sowie Regierungsbehörden und Militäreinrichtungen in den USA.

Die GTsSS konzentriert sich bei ihren Aktivitäten auf Organisationen, die Microsoft Office 365 Cloud-Services nutzen, betroffen sind jedoch auch andere Service-Provider und E-Mail-Server vor Ort ab, die eine Vielzahl verschiedener Protokolle verwenden.

Die Brute-Force-Methode ermöglicht es den GTsSS-Akteuren, auf geschützte Daten, einschließlich E-Mails, zuzugreifen und gültige Anmeldedaten zu identifizieren. Diese Zugangsdaten können dann für zahlreiche Vorhaben wie Erstzugriff, Persistenz, Privilegienerweiterung und das Umgehen von Verteidigungsmaßnahmen verwendet werden.

Um sich gegen die Angriffe effektiv zu schützen, empfehlen die US-Geheimdienste Netzwerkmanagern die Verwendung von Multi-Faktor-Authentifizierung. Weitere Maßnahmen zur Sicherstellung starker Zugriffskontrollen umfassen Zeitüberschreitungs- und Sperrfunktionen, die obligatorische Verwendung starker Passwörter, die Implementierung eines Zero-Trust-Sicherheitsmodells, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, sowie Analysen zur Erkennung anomaler Zugriffe.

Zusätzlich sollten Unternehmen in Erwägung ziehen, alle eingehenden Aktivitäten von bekannten Anonymisierungsdiensten wie kommerziellen virtuellen privaten Netzwerken (VPNs) und „The Onion Router“ (TOR) zu verweigern, wenn ein solcher Zugriff nicht mit einer typischen Nutzung verbunden ist.

Diese Maßnahmen sind nach Meinung von TJ Jermoluk, CEO von Beyond Identity, nicht ausreichend und zum Teil falsch: „Russische GRU-Agenten und andere staatliche Akteure wie die in SolarWinds involvierten sowie finanziell motivierte Angreifer (z.B. Ransomware) verwenden alle die gleichen Passwort-Spraying- und Brute-Force-Techniken – weil sie so effektiv sind. Leider führt ein falsches Verständnis dieser Technik zu erschreckend fehlerhaften Ratschlägen wie in dem NSA-Bericht, in dem teilweise empfohlen wird, die Verwendung ‚stärkerer Passwörter‘ vorzuschreiben.

Bei der Sammlung von Anmeldeinformationen, die der Passwort-Spraying-Kampagne vorausging, wurden sicher auch starke Passwörter gesammelt. Und das russische Kubernetes-Cluster, das bei dem Angriff verwendet wurde, war in der Lage, starke Passwörter zu erzeugen. Die Regierung empfahl daraufhin ein Zero-Trust-Sicherheitsmodell, das zusätzliche Attribute bei der Bestimmung des Zugriffs verwendet, sowie Analysen, um anomale Zugriffe zu erkennen.

Dieser Ratschlag erfordert einen Wechsel zu einer starken, kontinuierlichen Authentifizierung. Er erfordert aber auch, dass Unternehmen Passwörter eliminieren, weil sie so vollständig kompromittiert sind, dass man mit ihnen einfach kein Zero Trust erreichen kann.“

Digitalisierung

Security

Unified Com & Collab

Während es in den letzten Jahren den Anschein hatte, dass sich Snom mehr auf Lösungen für den DECT-Bereich konzentrierte,...

Cloud Computing

Big Data & Analytics

Data Privacy

Video Conferencing

Digital Media

Networks

ICT & Corona

Videos

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.