So härten SOCs ihren Schutzpanzer gegen AiTM-Attacken​

Ontinue, Experte für Managed Extended Detection and Response (MXDR), gibt vier Tipps, mit denen Security Operations Center (SOC) ihre Sicherheit verstärken können.​ [...]

„Jedes System ist nur so gut wie sein schwächstes Element – diese Weisheit gilt auch für den Schutz gegen AiTM-Attacken“, erklärt Jochen Koehler, VP EMEA Sales bei Ontinue. „Eine strategische Kombination von Technologien und Maßnahmen ermöglicht SOC-Teams ein proaktives Vorgehen gegen Angriffe.“ (c) privat

Seit Adversary-in-the-Middle-Phishing-Angriffe (AiTM) im vergangenen Jahr ins Radar von Security Operations Centern (SOCs) gerückt sind, haben sie sich schnell zu einer gefürchteten Angriffsform entwickelt. Mit klassischen Sicherheitstools können Unternehmen sich nicht ausreichend vor diesen Echtzeit-Attacken schützen. Ontinue, Experte für Managed Extended Detection and Response (MXDR), gibt vier Tipps, mit denen SOCs ihren Schutzpanzer verstärken können.​

Der Angriff beginnt wie viele klassische Phishing-Attacken. Mit gefakten E-Mails oder per Social Engineering locken Cyberkriminelle ihre Opfer auf täuschend echt aussehende Duplikate von Login-Seiten. Beim Anmeldeversuch werden die Daten durch die Sitzungscookies abgefangen und manipuliert. So können sich Angreifer trotz einer bestehenden Multi-Faktor-Authentifizierung (MFA) Zugriff auf das Nutzerkonto verschaffen. Das ist aus mehreren Gründen äußerst gefährlich. Erstens passiert der Angriff in Echtzeit, zweitens erhalten Kriminelle direkten Zugriff auf die sensibelsten Unternehmensdaten und drittens schädigen sie dauerhaft das Vertrauen der Nutzer in die IT-Infrastruktur. Grund genug, sich durch eine zielgerichtete Strategie wirksamer gegen diese Attacken zur Wehr zu setzen.

Vier Schutzmaßnahmen

  • Biometrische Authentifizierung: Im Vergleich zum Einfach-Passwort bietet bereits eine MFA ein signifikant erhöhtes Sicherheitsniveau gegen Phishing-Versuche. Bei AiTM-Attacken kommt sie jedoch an ihre Grenzen. Um die Authentifizierungs- und Login-Systeme zu härten, sollten SOCs die Zahl der Sicherheitsschichten erweitern. Durch den Einsatz von Tools zur biometrischen Authentifizierung oder physischen Token entstehen weitere Barrieren, die Kriminellen den Zugriff deutlich erschweren und den Verteidigern Zeit verschaffen.
  • Login Detection Rules: Für eine erfolgreiche AiTM-Abwehr müssen Unregelmäßigkeiten im Login-Prozess möglichst in Echtzeit erkannt und an das SOC gemeldet werden. Durch die Integration von Login-spezifischen Detection Rules in den Security-Stack werden SOCs automatisch über Anomalien informiert – beispielsweise wenn neue Geräte verwendet werden oder Logins von ungewöhnlichen Standorten erfolgen.
  • Lückenloses Monitoring: An hierzulande übliche Geschäftszeiten halten sich international agierende Banden nicht. Eine dauerhaftes Monitoring, das 24/7 die IT-Systeme überwacht und durch Playbooks dazu befähigt ist, Gegenreaktionen einzuleiten, ist für einen Schutz gegen Echtzeit-Attacken besonders wichtig. Damit lassen sich Zugriffe so frühzeitig eindämmen, dass der Schaden in vielen Fällen gering bleibt.
  • Kontinuierliche Mitarbeitersensibilisierung: Ein regelmäßiges Training der Mitarbeitenden ist auch für den Schutz gegen AiTM-Attacken essentiell. Das Risiko von erfolgreichen Attacken kann deutlich reduziert werden, wenn Mitarbeitende Phishing-Versuche als solche erkennen; beispielsweise weil ihnen Fehler oder Unregelmäßigkeiten auffallen und sie in der Folge die schadhaften Links gar nicht erst anklicken. Das Schulungsangebot muss dabei stets aktuell gehalten werden und sollte regelmäßig den Wissensstand aller Mitarbeitenden abprüfen.

„Jedes System ist nur so gut wie sein schwächstes Element – diese Weisheit gilt auch für den Schutz gegen AiTM-Attacken“, erklärt Jochen Koehler, VP EMEA Sales bei Ontinue. „Eine strategische Kombination von Technologien und Maßnahmen ermöglicht SOC-Teams ein proaktives Vorgehen gegen Angriffe. Dadurch können Unternehmen die Kontrolle über ihre Systeme zurückgewinnen und müssen Cyberkriminellen nicht mehr gefühlte zwei Schritte hinterherlaufen – ein entscheidender Faktor für ein resilientes Vorgehen in Krisensituationen.“


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*