Im vergangenen Herbst führte das US-Ministerium für Innere Sicherheit eine mehrmonatige Bewertung von Office 365 Nutzern durch, die von verschiedenen Unternehmen verwaltet werden.
Seit diesem Monat hat die CISA ihre Ergebnisse veröffentlicht. Die Studie hat häufige Konfigurationsfehler aufgezeigt, die die Daten gefährden können.
Deaktivieren von MFA
Der Erfolg von Phishing als Hacking-Strategie ist darauf zurückzuführen, dass der Schwerpunkt auf einzelne Benutzer und nicht auf die Infrastruktur gelegt wird. Typischerweise stellen sich diese Angriffe beispielsweise als Provider für Ihre E-Mail-Dienste dar und fordern die Benutzer auf, sich auf einer Dummy-Seite anzumelden, auf der ihre Passwörter gesammelt werden. Ohne MFA sind die Anmeldungen der Endbenutzer ein einziger Angriffspunkt, der mit einer ausreichend überzeugenden E-Mail umgangen werden kann.
Durch die Verwendung von MFA für Ihre Organisation erfordert die Authentifizierung in Ihrem Netzwerk sowohl Anmeldeinformationen als auch den Besitz eines nach Sicherheitsrichtlinien registrierten Geräts und stellt damit sicher, dass die einzigen Personen, die auf Konten zugreifen, deren Eigentümer sind.
Auditierung deaktiviert
Wenn eine Sicherheitsverletzung auftritt, beträgt die durchschnittliche Zeit bis zur Entdeckung von Fundstellen etwa 3 Monate. Während dieser Zeit verbringt ein Hacker Zeit damit, sich über die Organisation zu informieren und versucht, den Zugriff auf Daten zu erhöhen, indem er Einstellungen manipuliert und zusätzliche Benutzerkonten kompromittiert.
Der Hacker wird seine Zeit damit verbringen, seine Präsenz im Netzwerk zu verbergen, während er sich gleichzeitig bemüht, den Einbruch an immer mehr wichtige Mitarbeiter weiterzugeben. Ein kompromittiertes Konto kann Informationen von einem anderen Benutzer anfordern, die dazu beitragen können, die Verletzung zu vergrößern oder sensible Daten zu gefährden.
Die Möglichkeit der Auditierung bietet zwar keinen soliden Schutz gegen Verstöße, ist aber das beste verfügbare Werkzeug, um festzustellen, ob ein Verstoß vorliegt. Ohne eine Revision gibt es so gut wie keine Kontrolle über die Aktivitäten der Endbenutzer. Dies kann für Administratoren eine schwierige Herausforderung darstellen, wenn es darum geht, verdächtige Verhaltensweisen zu erkennen, die auf einen Verstoß hinweisen könnten.
Beispielsweise kann das Auditing dazu beitragen, einen Verstoß zu erkennen:
- Änderungen der E-Mail-Regeln – von Hackern genutzt, um ihre Spuren zu verwischen und bösartige E-Mails zu verstecken (34% aller Angriffe – Barracuda-Studie)
- Massen-Downloads – Daten-Exfiltration
- Interne Nachrichten an Konten/HR – Benutzer in diesen Abteilungen sind häufige Phishing-Ziele
Veraltete E-Mail-Systeme
Durch die Verwendung von E-Mail-Clients, die nicht die Microsoft-Authentifizierung zugunsten älterer Protokolle wie POP3, IMAP und SMTP nutzen, sind Unternehmen nicht in der Lage, MFA für ihre Infrastruktur zu konfigurieren. Dies kann dazu führen, dass einige Geräte, die häufig alternative E-Mail-Clients wie Smartphones und Tablets verwenden, leichter kompromittiert werden können.
Der beste Weg, um sicherzustellen, dass dies nicht passiert, ist die Konfiguration eines MDM-Plans, der Benutzern nur den Zugriff auf E-Mails von einer Whitelist sicherer Clients erlaubt.
Aktivieren der Passwortsynchronisierung
Für Office 365-Benutzer, die für die Synchronisierung mit einem lokalen Server konfiguriert sind, kann eine solche Datenfreigabe dazu führen, dass sich ein Verstoß von einem Standort zum anderen ausbreiten kann. Während der Hauptzweck dieser Funktion darin besteht, Zeit auf Seiten des Benutzers zu sparen, müssen Administratoren solche Benutzerfreundlichkeitsfunktionen oft gegen die Sicherheit abwägen, um zu bestimmen, was für sie am wertvollsten ist.
Einige Dinge, die man über die Passwortsynchronisierung beachten sollte:
- Viele hybride Konfigurationen dienen dem Zweck der Migration von lokalen Systemen in die Cloud, so dass das Risiko oft nur vorübergehend ist und ein wachsames Auge erfordert (Aktivieren des Auditing usw.).
- Wenn ein firmeninterner Server kompromittiert wird, kann ein böser Akteur eine Identität erstellen, die mit der eines Benutzers in der Cloud übereinstimmt. Dadurch könnten die Konten synchronisiert werden und der Hacker könnte auf das Konto des Benutzers in der Cloud-Umgebung zugreifen.
- Dank eines Microsoft-Sicherheitspatches im letzten Jahr ist es nicht möglich, Konten mit Global Admin-Rechten zu duplizieren. Daher kann diese Methode wahrscheinlich nur dazu verwendet werden, sich als andere Benutzer auszugeben und zu versuchen, Benutzer mit mehr Zugriff zu phischen.
- Für Unternehmen, die eine hybride Verbindung zwischen firmeninternen und Cloud-Servern unterhalten, kann die Nutzung von Microsofts Kennwortsynchronisierungsdiensten eine Gefahrenquelle darstellen. Während die Kennwortsynchronisierung keine massive Sicherheitslücke schafft, kann sie jedoch unter bestimmten Umständen einen engen Pfad für die Ausnutzung Ihres Systems schaffen.
Keine dedizierten IT-Teams
In den meisten Fällen für die CISA-Studie wurde die Office 365-Umgebung im Rahmen von Auftragsarbeiten konfiguriert, danach war der Dienstleister nicht mehr an der Verwaltung der Umgebung beteiligt. Heute reicht diese „Set-it-and-forget-it“-Mentalität nicht mehr aus, um die Infrastruktur zu schützen, und erfordert eine kontinuierliche Überprüfung der Richtlinien, um neuen und sich entwickelnden Bedrohungen zu begegnen.
Wenn Sie sich nicht sicher sind, ob Ihre Office 365-Umgebung frei von diesen Fehlkonfigurationen ist, wenden Sie sich bitte an uns! Wir können Ihnen eine Bewertung Ihrer Infrastruktur zur Verfügung stellen, um Ihre allgemeine Sicherheitssituation zu ermitteln.
Gründer und Inhaber der Firma hagel IT-Services GmbH. Natürlich leidenschaftlicher Technikfan und immer auf der Suche nach Verbesserungen.
Kommentarbereich geschlossen.