Gemeinsam von den USA, Kanada, Neuseeland, Niederlande und Großbritannien herausgegebene Empfehlung enthält Anleitungen zur Eindämmung der Schwachstellen und unzureichenden Sicherheitskonfigurationen. Angreifer setzen regelmäßig Techniken, um sich Zugang zu den Netzwerken ihrer Opfer zu verschaffen. Dazu gehören Internet-Anwendungen, externe Remote-Diensten, Phishing, Vertrauensmissbrauch und die Verwendung gestohlener Anmeldedaten.
Die 10 wichtigsten Vektoren für den Erstzugriff und das Eindringen in Netzwerke:
- Die Multifaktor-Authentifizierung (MFA) wird nicht umgesetzt. MFA, insbesondere für den AuthRemote-Desktop-Zugriff, kann dazu beitragen, die Übernahme von Konten zu verhindern.
- Falsch angewendete Privilegien oder Berechtigungen sowie Fehler in Zugriffskontrolllisten. Zugriffskontrollregeln können den Zugriff von unbefugten Benutzern oder Systemprozessen auf Dokumente verhindern.
- Nicht gepatchte Software kann es einem Angreifer ermöglichen, öffentlich bekannte Schwachstellen auszunutzen, um Zugang zu vertraulichen Informationen zu erhalten, einen Denial-of-Service-Angriff zu starten oder die Kontrolle über ein System zu übernehmen.
- Verwendung von Standardkonfigurationen oder Standard-Benutzernamen und -Kennwörtern, die vom Hersteller bereitgestellt werden. Viele Software- und Hardwareprodukte werden ab Werk mit allzu freizügigen Standardkonfigurationen ausgeliefert, um die Produkte benutzerfreundlich zu machen und den Zeitaufwand für den Kundendienst bei der Fehlersuche zu verringern.
- Remote-Dienste, wie z. B. ein virtuelles privates Netzwerk (VPN), weisen keine ausreichenden Kontrollen auf, um unbefugten Zugriff zu verhindern. In den letzten Jahren wurde beobachtet, dass bösartige Akteure Remote-Dienste angreifen.
- Es sind keine strengen Passwortrichtlinien implementiert. Böswillige Cyberangreifer wenden eine Vielzahl von Methoden an, um schwache, durchgesickerte oder kompromittierte Passwörter auszunutzen und sich unbefugten Zugriff auf ein Opfersystem zu verschaffen.
- Falsch konfigurierte Cloud-Dienste sind ein häufiges Ziel für Cyberattacken. Schlechte Konfigurationen können den Diebstahl sensibler Daten und sogar Kryptojacking ermöglichen.
- Offene Ports und falsch konfigurierte Dienste sind dem Internet ausgesetzt. Dies ist eine der am häufigsten festgestellten Schwachstellen. Angreifer verwenden Scanning-Tools, um offene Ports aufzuspüren und nutzen diese oft als ersten Angriffsvektor.
- Angreifer versenden E-Mails mit bösartigen Makros – vor allem in Microsoft Word-Dokumenten oder Excel-Dateien -, um Computersysteme durch Phishing zu infizieren.
- Cyber-Akteure verwenden verschleierte bösartige Skripte und PowerShell-Angriffe, um Endpunkt-Sicherheitskontrollen zu umgehen und Angriffe auf Zielgeräte zu starten.