Einige führende Player ignorieren spezialisierte Insellösungen - sie verfolgen konzeptionell und produktiv ihren individuellen ganzheitlichen Ansatz für sämtliche Angriffsebenen. Hier fällt uns speziell der holistische Ansatz zu IT-Security von Microsoft auf. Wir nähern uns ihm mit einem realistischen Bedrohungsszenario und analysieren dazu seine diversen potenziellen Abwehrmaßnahmen aus allgemeiner Sicht.
Phishing: stets subtilere Aneignung kritischer Informationen
Phishing-Angriffe zielen besonders effizient auf Nutzeridentitäten. Mit erbeuteten IDs gelingt dann zunächst oft unbemerkt der Zugang zu diversen Netzwerken.
Phishing (engl.: fishing - angeln; sinngemäss das Fischen nach Daten in einem Netzwerk) nutzt dazu gefälschte Webseiten bzw. E-Mail-Inhalte.
Eine Zwei-Ebenen-Verteidigung schützt technische sowie menschenbezogene Einfallstore. Hier betrachten wir die technikbezogene Abwehr näher. Auf beiden Ebenen lässt sich prinzipiell IT-Sicherheit erhöhen - jedoch niemals total garantieren, weil stets von der möglichen Existenz einer offenen Lücke auszugehen bleibt.
Ein realistisches Angriffsszenario
Angreifer zielen auf gewisse Konstruktionspläne eines Ingenieur-Büros zum Verkauf an Konkurrenten. Zum unbemerkten Betreten und Verbleiben im Firmennetz brauchen sie gültige Benutzerinformationen.
- Zum effizientesten Identitätsdiebstahl startet eine Phishing-Kampagne.
- Eine einzige Unachtsamkeit eines Mitarbeitenden genügt Angreifern, etwa das versehentliche Ausführen einer Malware-Datei oder Klicken eines als harmlos getarnten Links.
- Einmal installierte Malware sammelt Anmeldeinformationen der Netznutzer für Angreifer.
- Noch smarter als ein Malware-Einsatz erscheinen duplizierte Websites: Nutzer wähnen sich auf einer vertrauenswürdigen Site, während diese real als Phishing-Site sämtliche Anmeldeinformationen den Angreifern vermittelt.
- Besitzen Angreifer sämtliche Login-Informationen, betreten sie mit ihnen unauffällig das Netzwerk und
- akquirieren die Zieldaten. Ohne implementierte Abwehr lassen sich solche Eindringlinge kaum aufspüren und ausschließen.
Ein realistisches Beispiel zeigt Ihnen hier die Abwehr des beschriebenen Angriffs mit Microsoft-Produkten auf.
Schutz vor E-Mail-Phishing
Eingehende E-Mails erreichen den Office 365 Exchange Online Protection (EOP)-Service. Er bietet standardisierten Schutz vor Spam- und Malware in Office 365.
Umgehen Angreifer den EOP, begegnen sie der Office 365 Exchange Online Advanced Threat Protection (ATP). Sie scannt eingetroffene E-Mails und mitgeführte Inhalte mit drei unterschiedlichen Antiviren-Diensten. Zudem bietet ATP zwei weitere Funktionen im Vergleich zu EOP: SafeLinks und Sandboxing.
In einer sogenannten Sandbox (Sandkasten) lassen sich suspekte Dateien isoliert ausführen sowie analysieren und evaluieren. Zusätzlich schreibt SafeLinks etwaige URLs in eingegangenen E-Mails um. Dabei prüft SafeLinks zu jedem Klick auf eine URL, ob sie auf einer entsprechenden schwarzen Liste steht. Zu einer gelisteten URL erhalten Nutzer die jeweilige warnende Information.
Weiterhin lässt SafeLinks sicherheitsbetraute Administratoren exakt nachverfolgen, welcher Nutzer wann welche URL klickte. So optimieren sich Benutzerschulungen.
Im wenig wahrscheinlichen Fall des Versagens von EOP und ATP gelangen Angreifer an eine oder mehrere Benutzeridentitäten. Dann greift Azure Multi-Faktor-Authentifizierung (MFA). Das Konzept einer solchen mehrstufigen Authentifizierung nutzen Sie womöglich in Ihrem Online-Banking. In unserem Abwehrszenario heisst dies:
Auch mit Ihrer erbeuteten Nutzer-ID scheitern Angreifer am Anmeldeprozess, der beispielsweise zusätzlich den Zufallscode verlangt, den MFA als SMS an Ihr Mobiltelefon sendet. Speziell ordnet MFA jedem Anmeldeversuch seinen individuellen Code zu.
Kreativere Angreifer stehlen deswegen neben der ID auch Mobiltelefon und Arbeitsrechner des entsprechenden Nutzers. Dann greifen Azure Active Directory ID Protection (ADIP) sowie Advanced Threat Analytics (ATA):
ATA erkennt mit maschinellen Lernen verdächtige Anomalien von Benutzeraktivitäten und meldet sie ADIP. ADIP fordert entweder den dubiosen Nutzer anhand vorgegebener Richtlinien zur Eingabe eines weiteren Faktors auf oder sperrt das entsprechende Konto sofort.