DE
DE EN
DE
DE EN
Kontakt
Anmeldung
Themen
Finanzen & Versicherung
Handel
Industrie
IT & Beratung
Tourismus
Transport
Recht
Öffentlich

Eliminierung von Fehlalarmen durch die Erkennung gestohlener Anmeldedaten mit Push

0
Teilen:

In unserer neuesten Version nimmt Push TI-Daten mit gestohlenen Zugangsdaten aus kriminellen Foren und vergleicht sie mit den tatsächlichen Zugangsdaten, die immer noch in Kundenumgebungen verwendet werden, und warnt nur bei validierten echten Positivmeldungen, um das Rauschen zu durchbrechen.

Während auffällig Gold fühlt sich sicher gut an, Gold zu schürfen nicht. All das Sieben für ein paar Körner von Wert.

If you’ve ever tried to make use of a TI feed on stolen credentials, you’ll know exactly how this feels. Yet the need to identify signal from noise is obvious. When it matters, it really matters.

Es gibt zwar eine enorme Menge an TI-Daten zu gestohlenen Berechtigungsnachweisen, aber es ist viel schwieriger, die Vertrauenswürdigkeit der Daten festzustellen. Sind diese Zugangsdaten noch in Gebrauch? Werden sie in Unternehmensanwendungen verwendet? Und ohne Vertrauen in die Daten ist es noch schwieriger, Maßnahmen zu ergreifen.

Eine kürzlich von Push-Forschern durchgeführte Überprüfung von TI-Daten ergab, dass weniger als 1% an gestohlenen Zugangsdaten die in Bedrohungsdaten aus einem Datensatz mehrerer Anbieter enthalten sind, verwertbar waren.

Wir haben uns aufgemacht, dieses Problem bei Push zu lösen, und sind dabei zu dem Schluss gekommen, dass wir die konventionellen Ansätze zur Bewertung von TI mit gestohlenen Anmeldedaten auf den Kopf stellen. (Legen Sie Ihre Schaufel weg, mein Freund.)

Mit unserer neuesten Version nimmt Push TI gestohlene Zugangsdaten aus kriminellen Foren und vergleicht sie mit den tatsächlichen Zugangsdaten, die noch in Kundenumgebungen verwendet werden, Alarmierung nur bei validierten echten Positivmeldungen.

Nennen Sie es das "Schmutz rein, Gold raus"-Modell für TI-Futtermittel.

Das Bild ist nur für Werbezwecke. Push-Kunden erhalten keine 30-Tonnen-TI-Trommelwaschanlage.

In diesem Artikel gehen wir auf einige der Herausforderungen ein, die sich bei Bedrohungsdaten über gestohlene Zugangsdaten ergeben, warum der Anstieg von Infostealern die Bestimmung der Vertrauenswürdigkeit dieser Bedrohungskategorie noch dringlicher gemacht hat und wie Pushs Ansatz zur Validierung gestohlener Zugangsdaten die Unsicherheiten beseitigt.

Warum verwertbare Informationen über Creds schwierig sind

Sowohl Bedrohungsakteure als auch Sicherheitsteams haben leichten Zugang zu Informationen über gestohlene Anmeldedaten, wobei sie offensichtlich entgegengesetzte Ziele verfolgen. Inzwischen gibt es eine solide Wirtschaft für diese Daten, was zum Teil auf den Erfolg von Angriffen mit gestohlenen Zugangsdaten und die SaaSifizierung von Unternehmenssoftware zurückzuführen ist. In der Vergangenheit konnten Sicherheitsteams ihre Active Directory-Passwörter überprüfen. Heute sind viele, wenn nicht sogar die meisten Unternehmensdaten in Anwendungen gespeichert, die diese Transparenz nicht bieten.

Wenn es also um gestohlene Zugangsdaten geht, besteht die Herausforderung nicht in der Verfügbarkeit der Daten - Dutzende von Anbietern machen sich bereits die Mühe, in diesen Foren Präsenz zu zeigen, um Informationen über Zugangsdaten wie Benutzernamen, Kennwörter, Cookies und API-Schlüssel, die durch Datenschutzverletzungen, Phishing-Angriffe, Infodiebe oder andere Methoden gestohlen wurden, zu sammeln und zu verbreiten.

Zu viele Daten, zu wenig Kontext

Die Schwierigkeit besteht vielmehr darin, herauszufinden, auf welche Informationen man reagieren sollte. Das Gold zu finden, mit anderen Worten.

TI mit gestohlenen Zugangsdaten leidet oft darunter:

  • Datenüberlastung: Der doppelte Zwang der TI wird hier besonders deutlich: Sobald man von einem potenziellen echten Positiv erfährt, fühlt man sich verpflichtet, Nachforschungen anzustellen, doch der Umfang der Informationen und die hohe Anzahl veralteter oder unvollständiger Informationen können dazu führen, dass das SOC desensibilisiert wird oder Dutzende von Stunden damit vergeudet werden, Nachforschungen anzustellen, die sich als falsche Positivmeldungen herausstellen, vor allem, wenn diese Zeit besser für eine gründliche Bedrohungssuche hätte genutzt werden können.
  • Minimaler Kontext: Die Informationen sind oft unvollständig oder veraltet. In TI-Feeds werden gestohlene Kennwörter möglicherweise als neue Sicherheitsverletzungen dargestellt, aber in Wirklichkeit handelt es sich bei den Daten nicht um einen neuen Vorfall, sondern um eine wiederverwendete Kombiliste (eine aggregierte Liste von Listen). In manchen Fällen können die Informationen über die Bedrohung durch Infostealer von einem persönlichen Gerät stammen, das kompromittiert wurde und einst auf Unternehmensressourcen zugriff, aber nicht mehr aktiv ist oder das Passwort nicht mehr verwendet. Dann gibt es noch die falsch-negativen Fälle, in denen Sie nach einem Einbruch eine Warnung für gestohlene Zugangsdaten in einer zentralen Anwendung erhalten und die Zugangsdaten dort nicht mehr verwendet werden - aber sie werden immer noch in einer anderen hochwertigen Anwendung verwendet.

Bei der Auswertung von Bedrohungsdaten, die kürzlich bei Push durchgeführt wurde, analysierten unsere Forscher 5.763 Kombinationen von Benutzernamen und Passwörtern, die mit Domänen übereinstimmten, die von Push-Kunden genutzt werden. Wir fanden heraus, dass weniger als 1% der Anmeldedaten in dem herstellerübergreifenden Datensatz "True Positives" waren - was bedeutet, dass die mutmaßlich gestohlenen Anmeldedaten immer noch von Mitarbeitern in diesen Unternehmen verwendet wurden. Mit anderen Worten: 99,5% der von uns überprüften gestohlenen Anmeldedaten waren zum Zeitpunkt der Überprüfung falsch positiv.

 

Trotz dieser Herausforderungen gibt es einen wichtigen Grund, warum Sie TI für gestohlene Zugangsdaten in Ihre Cyberverteidigungspraxis einbeziehen sollten: Angreifer nutzen zunehmend gestohlene Anmeldedaten, um Unternehmen zu kompromittieren.

Die Kommerzialisierung von gestohlenen Krediten im Zeitalter der Infostahler

Ein paar Schlagzeilen darüber, wie allgegenwärtig die Ausnutzung gestohlener Zugangsdaten geworden ist:

  • Die 2024 Verizon DBIR ergab, dass 79% der Kompromittierungen von Webanwendungen auf verletzte Zugangsdaten zurückzuführen waren.
  • Forscher bei IBM einen Anstieg von 71% im Vergleich zum Vorjahr bei Cyberangriffen mit gestohlenen oder kompromittierten Anmeldedaten fest. Damit sind gestohlene Zugangsdaten in der Studie die wichtigste Quelle für den Erstzugang zu Cyberangriffen. Außerdem wurde im letzten Jahr ein Anstieg von 266% bei der Verwendung von Infostealern festgestellt - Malware, die darauf ausgelegt ist, Passwörter, Cookies und andere Anmeldedaten abzufangen.
  • Forscher beim Anbieter von Bedrohungsdaten Aufgezeichnete Zukunft stellte im letzten Jahr einen Anstieg von 135% bei der Anzahl der erbeuteten Anmeldedaten in ihren Datenquellen fest, und einen Anstieg von 166% bei Anmeldedaten, die Cookies enthielten, was für Angreifer eine einfache Möglichkeit darstellt, den MFA-Schutz zu umgehen.
  • In der Zwischenzeit wurden die letzten beiden Mandiant M-Trends berichtet fanden heraus, dass gestohlene Zugangsdaten die dritt- und viertmeistgenutzte Methode für den ersten Einbruch in den letzten zwei Jahren waren. Forscher von Cisco Talos fanden heraus, dass die Verwendung von gültigen Konten war die zweithäufigste Angriffstechnik, die sie im vergangenen Jahr beobachtet haben.
  • Pushs eigene Untersuchung der 25 bemerkenswertesten Sicherheitsverletzungen im Zusammenhang mit öffentlichen Identitäten im letzten Jahr ergab, dass 23 mit gestohlenen Anmeldedaten in Verbindung standen.

Was aus diesen Statistiken nicht sofort ersichtlich ist, ist die Tatsache, dass auf Anmeldeinformationen basierende Angriffe nicht nur immer häufiger, sondern auch immer einfacher für Angreifer auszuführen sind.

IBM X-Force Forscher haben herausgefunden, dass Anmeldeinformationen für Cloud-Konten 90% aller im Dark Web zum Verkauf stehenden Cloud-Assets ausmachen und somit leicht zugänglich sind. Die Preise können so niedrig wie $10 sein.

Das Aufkommen von Infostealern hat den Markt für gestohlene Zugangsdaten in die Höhe getrieben

Eine Kategorie von Bedrohungen - Infostealer-Malware - hat sich als besonders erfolgreicher Weg der Kompromittierung erwiesen. Infostealer sind zwar nicht neu, aber sie haben sich parallel zu einer robusten Wirtschaft für gestohlene Anmeldeinformationen entwickelt (man denke nur an die speziellen Telegram-Kanäle, die gestohlene Daten der beliebtesten Infostealer anbieten), was sie zu einer fruchtbaren Option für Angreifer macht. Einen tieferen Einblick in die Entwicklung von Infostealern erhalten Sie in unserem vorheriger Artikel.

Sobald Angreifer in den Besitz von gestohlenen Zugangsdaten gelangen, haben sie viele weiche Ziele. Für Unternehmen mit einer großen Anzahl von SaaS - von denen ein gewisser Prozentsatz immer eine nicht verwaltete Schatten-IT oder Freemium-Lösung sein wird - erhöht sich das Risiko, da sich Angreifer nur bei potenziell Hunderten von Diensten anmelden müssen, die gefundenen Daten (in einigen Fällen auch zusätzliche Zugangsdaten) ausspähen und davon profitieren.

Mit anderen Worten: Der durchschnittliche Angriffspfad für SaaS ist kürzer und erfolgt innerhalb der Anwendung, wobei häufig legitime Arbeitsabläufe verwendet werden, so dass er schwerer zu erkennen ist als herkömmliche Netzwerkangriffe. Wir erörtern dieses Phänomen in unserem Erkennung nach links verschieben Artikel.

Unsere Meinung: Wir haben den Höhepunkt der Identitätsangriffe, die kompromittierte Anmeldedaten ausnutzen, noch nicht erreicht. Die Möglichkeiten für Angreifer sind zu zahlreich, und Schutzmaßnahmen wie MFA werden immer noch nicht in ausreichendem Maße durchgesetzt, insbesondere bei nicht verwalteten Anwendungen, die für die Arbeit genutzt werden.

Push Security's eigene Forschung hat festgestellt, dass 37% der Unternehmensidentitäten Passwörter ohne MFA verwenden. Für Angreifer, die im Besitz von gestohlenen Passwörtern sind, sind dies leichte Beute.

Wie Push gestohlene Gutschriften mit hoher Sicherheit erkennt

Schauen wir uns nun an, inwiefern sich der Ansatz von Push bei diesem Problem unterscheidet.

Wenn Sie mit der Push-Plattform nicht vertraut sind, sind ein paar Hintergrundinformationen hilfreich: Push verwendet einen Browser-Agenten, der in den Browsern der Mitarbeiter eingesetzt wird (wir unterstützen alle wichtigen Browser), um Identitätsangriffe zu verhindern, zu erkennen und zu blockieren.

Neben der Durchsetzung Sicherheitskontrollen im Browser prüft Push auch die Stärke der Passwörter der Endbenutzer, indem es Erstellen und Analysieren einen verkürzten, gesalzenen SHA256-Hash des Kennworts für ein bestimmtes Konto. Dies wird als Passwort-Fingerabdruck bezeichnet. Diese k-anonymisierten Fingerabdrücke werden vom Push-Backend nie gesehen und existieren nur im lokalen Speicher der Browsererweiterung.

Mit diesem Ansatz verfügt Push über eine direkt beobachtbare Quelle der Wahrheit für Unternehmensdaten, und dieser Datenpunkt erweist sich als Schlüssel zur Umkehrung der Art und Weise, wie Bedrohungsdaten über gestohlene Zugangsdaten normalerweise ausgewertet werden.

In der Vergangenheit bedeutete die Bewertung von TI zu gestohlenen Informationen die Durchführung herkömmlicher nachrichtendienstlicher Beurteilungen, wie z. B. der Vertrauensgrad auf der Grundlage von Faktoren wie der Informationsquelle und der Aktualität der Daten. Erst nachdem man festgestellt hatte, ob die Informationen vertrauenswürdig waren, konnte man Maßnahmen ergreifen.

Es sei auch darauf hingewiesen, dass das Alter von TI allein kein ausreichender Indikator ist, um zu entscheiden, ob Maßnahmen ergriffen werden müssen. Mit der Snowflake-Verletzung Anfang des Jahreshaben wir gesehen, dass auch ältere Zugangsdaten eine Bedrohung für die Übernahme von Konten darstellen, wenn diese Zugangsdaten noch in Gebrauch sind. Im Fall von Snowflake verwendete der Angreifer Anmeldedaten aus historischen Infostealer-Kampagnen, die teilweise bis ins Jahr 2020 zurückreichen.

Holen Sie sich eine Demo der verifizierten Erkennung gestohlener Zugangsdaten und mehr

Vergessen Sie die zeitaufwändige manuelle TI-Validierung und finden Sie direkt die echten Positivmeldungen.

Mit Push kann die Plattform jetzt Bedrohungsdaten zu gestohlenen Anmeldedaten analysieren und eine Warnung ausgeben, wenn es eine validierte Übereinstimmung mit aktuellen Anmeldedaten gibt, die in Ihrer Umgebung verwendet werden. Diese Methode funktioniert unabhängig von der Quelle der Daten oder ihrem Alter. Diese Methode findet auch die Nadeln im Heuhaufen - Situationen, in denen die Bedrohungsdaten einen gestohlenen Berechtigungsnachweis in einer Anwendung markieren, dieser Berechtigungsnachweis aber auch in mehreren anderen Anwendungen verwendet wird.

Wie Push gestohlene Anmeldedaten aus TI-Quellen verifiziert

Und so funktioniert es:

  • Push empfängt TI über gestohlene Anmeldeinformationen aus Anbieter-Feeds.
  • Für jede Kundenumgebung sucht Push nach Kundendomänen im Datensatz.
  • Wenn der Verdacht besteht, dass gestohlene Zugangsdaten für eine Kundenumgebung vorliegen, hasht und salzt Push die Passwörter und sendet diese Fingerabdrücke zum Vergleich an die entsprechenden Browser-Agenten.
  • Wenn der Fingerabdruck der gestohlenen Anmeldedaten mit einem bekannten Fingerabdruck übereinstimmt, der vom Push-Browser-Agenten als in Gebrauch befindlich beobachtet wurde, gibt die Plattform einen validierten True-Positive-Alarm zurück. Beachten Sie, dass Push bei einem validierten True-Positive-Alarm alarmieren kann, unabhängig davon, welche Plattform die TI-Quelle als Quelle der gestohlenen Zugangsdaten angibt, so dass Sie die kompromittierten Zugangsdaten in allen Ihren Anwendungen finden können.
  • Sie können wählen, ob Sie Benachrichtigungen für diese Erkennung per Webhook, ChatOps-Benachrichtigung oder in der Push-Verwaltungskonsole erhalten möchten.

Von dort aus können die Sicherheitsteams Maßnahmen ergreifen, um Passwörter zurückzusetzen, potenziell gefährdete Geräte zu identifizieren oder andere Untersuchungen durchzuführen.

Durch den Vergleich aller möglichen Übereinstimmungen mit nur denjenigen Anmeldedaten, die noch in Gebrauch sind, macht Push zeitaufwändige Validierungsübungen überflüssig. Im Grunde ist die Herkunft der Informationen nicht mehr wichtig, sondern nur noch die echten positiven Ergebnisse.

Probieren Sie Push selbst aus

Die validierte Funktion zur Erkennung gestohlener Zugangsdaten ist für alle Push-Kunden ohne zusätzliche Kosten verfügbar. Wenn Sie die Plattform selbst ausprobieren möchten, können Sie sich anmelden oder eine Demo anfordern.

Quelle

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

lade-bild
London, GB
10:32 pm, Jan. 15, 2025
Wetter-Symbol 8°C
L: 5° | H: 9°
overcast clouds
Luftfeuchtigkeit: 92 %
Druck: 1034 mb
Wind: 3 mph S
Windböe: 0 mph
UV-Index: 0
Niederschlag: 0 mm
Wolken: 100%
Regen Chance: 0%
Sichtbarkeit: 7 km
Sonnenaufgang: 7:59 am
Sonnenuntergang: 4:20 pm
TäglichStündlich
Tägliche VorhersageStündliche Vorhersage
Tomorrow 9:00 pm
Wetter-Symbol
5° | 9°°C 0 mm 0% 5 mph 96 % 1035 mb 0 mm/h
Fr. Jan. 17 9:00 pm
Wetter-Symbol
3° | 7°°C 0 mm 0% 4 mph 93 % 1036 mb 0 mm/h
Sa. Jan. 18 9:00 pm
Wetter-Symbol
2° | 7°°C 0 mm 0% 3 mph 92 % 1033 mb 0 mm/h
So. Jan. 19 9:00 pm
Wetter-Symbol
2° | 6°°C 0 mm 0% 4 mph 92 % 1023 mb 0 mm/h
Mo. Jan. 20 9:00 pm
Wetter-Symbol
3° | 6°°C 0 mm 0% 6 mph 97 % 1021 mb 0 mm/h
Tomorrow 12:00 am
Wetter-Symbol
6° | 7°°C 0 mm 0% 3 mph 94 % 1034 mb 0 mm/h
Tomorrow 3:00 am
Wetter-Symbol
6° | 6°°C 0 mm 0% 3 mph 95 % 1033 mb 0 mm/h
Tomorrow 6:00 am
Wetter-Symbol
5° | 5°°C 0 mm 0% 4 mph 96 % 1034 mb 0 mm/h
Tomorrow 9:00 am
Wetter-Symbol
5° | 5°°C 0 mm 0% 3 mph 96 % 1034 mb 0 mm/h
Tomorrow 12:00 pm
Wetter-Symbol
8° | 8°°C 0 mm 0% 5 mph 79 % 1034 mb 0 mm/h
Tomorrow 3:00 pm
Wetter-Symbol
9° | 9°°C 0 mm 0% 3 mph 81 % 1033 mb 0 mm/h
Tomorrow 6:00 pm
Wetter-Symbol
6° | 6°°C 0 mm 0% 4 mph 92 % 1034 mb 0 mm/h
Tomorrow 9:00 pm
Wetter-Symbol
5° | 5°°C 0 mm 0% 3 mph 90 % 1035 mb 0 mm/h
Wetter von OpenWeatherMap
Name Preis24H (%)
Bitcoin(BTC)
€96,807.92
3.17%
Ethereum(ETH)
€3,330.55
6.21%
XRP(XRP)
€2.97
14.72%
Fesseln(USDT)
€0.97
0.05%
Solana(SOL)
€197.01
8.09%
Dogecoin(DOGE)
€0.367645
6.06%
USDC(USDC)
€0.97
-0.01%
Shiba Inu(SHIB)
€0.000021
3.08%
Pepe(PEPE)
€0.000018
6.88%
Peanut das Eichhörnchen(PNUT)
€0.62
1.84%
Erkennen und überwachen Sie IT-Schwachstellen mit nur einem Klick, bevor es zu spät ist.

Verbindung zum Dienstprogramm

Nützlicher Link

Newsletter

Folgen Sie uns

Facebook Twitter Youtube Linkedin

© 2025 risikomonitor.com gmbh

Nach oben scrollen