Cyberkriminelle nutzen Open Source Intelligence
Ein Social Media-Post eines einzigen Mitarbeiters kann ein ganzes Unternehmen in Gefahr bringen.
Aus öffentlich zugänglichen Quellen lassen sich mit Open Source Intelligence (OSINT) Informationen für nachrichtendienstliche Zwecke sammeln. Wer eine Suchmaschine verwendet, um mehr über einen potenziellen Kunden, Arbeitgeber oder eine Person zu erfahren, nutzt OSINT. Und OSINT gewinnt für Cyberkriminelle zunehmend an Bedeutung. Wenn Bedrohungsakteure OSINT über ein Angriffsziel oder eine Zielorganisation sammeln, werden sie alle Arten von Informationen ausforschen, welche ihnen nützliche Hinweise für einen digitalen Angriff liefern.
Informationen über Einzelpersonen sammeln
Karrierenetzwerke und andere soziale Medien sind eine reichhaltige Informationsquelle über Einzelpersonen und ihre Rollen in einem Unternehmen. Diese Art der Intelligenz ist äußerst nützlich für Social Engineering – häufig lässt sich leicht feststellen, wer für wen arbeitet, wer welche Berechtigungsstufe hat, wer für den IT-Helpdesk tätig ist und den Namen der Führungskraft mit dem größten Einfluss.
Ebenso lassen sich hochwertige Zielpersonen identifizieren und positive Feedbackschleifen der Informationserfassung erstellen. Aus früheren Breaches wiederrum können Informationen über die Wiederverwendung von Passwörtern generiert werden. So werden ehemalige Opfer einer Datenschutzverletzung unwissentlich zu virtuellen Komplizen der Angreifer.
Informationen über genutzte IT
Karrierenetzwerke und Stellenausschreibungen sind ebenfalls eine reichhaltige Informationsquelle in Bezug auf die Technologien, die ein Unternehmen einsetzt. Diese Technologieintelligenz ist offensichtlich sehr nützlich bei der Durchführung eines Angriffs. Sie gibt unter anderem Auskunft darüber, welche Arten von Datenbanken ein Unternehmen verwendet, welche Cloud-Plattformen für kritischen Geschäftsanwendungen es nutzt und welche Betriebssysteme auf den Endpoints laufen.
Oftmals lassen Mitarbeiter sogar die Art von Sicherheitslösungen durchsickern, die ihr Unternehmen verwendet. Denn viele Menschen in technischen Bereichen nutzen Karrierenetzwerke als Plattform für ihren Lebenslauf und fügen reichhaltigere Informationen in ihre Profile ein. So bekommen Angreifer ein gutes Bild der von einem potenziellen Opfer genutzten Technologien, die es zu kompromittieren gilt.
Assets für gezielte Angriffe identifizieren
Cyberkriminelle suchen auch nach Informationen über die spezifischen Assets eines Unternehmens. Die bekommen sie über kostenlose Tools wie Shodan und Censys, ohne einen einzigen Endpoint des Angriffsziels sondieren zu müssen. Diese OSINT ermöglicht es beispielsweise, Webanwendungen zu identifizieren, die für Angriffe geeignet sind. Weitere Risiken birgt die Ausführung von sensiblen Diensten wie Remotedesktop, LDAP oder sogar SQL-Datenbanken, die extern ausgerichtet sind. Auch das Dursuchen öffentlicher Code-Repositories kann für Cyberkriminelle lohnend sein: So sind mehrere Fälle bekannt, in denen Passwörter in öffentlich zugänglichen Skripten hartcodiert wurden.
Doch es gibt online noch viel mehr OSINT-Intelligenz: Branchen- und Unternehmensjargons, die sich ideal für Social Engineering eignen. Bilder von Unternehmensausweisen, mit denen die physische Sicherheit einer Einrichtung in Gefahr gerät. Oder persönliche Informationen wie Mädchennamen von Müttern, Grundschulen und Lieblingsurlaubsorte, mit denen sich Passwörter und Antworten auf Sicherheitsfragen erraten lassen. Social Media ist eine Fundgrube für OSINT-Intelligenz. Was viele zudem nicht berücksichtigen: Sind Informationen erst einmal in sozialen Medien geposted, werden sie aller Wahrscheinlichkeit nach für immer online verfügbar sein.
Pentesting allein hilft nicht
Die meisten Unternehmen denken bei kontradiktorischen Tests in erster Linie an technische Penetrationstests (Pentesting). Sie möchten vielleicht wissen, ob sie ihre Firewalls richtig konfiguriert haben, ob sie ungepatchte Softwareschwachstellen haben und ob geteilte Berechtigungen auf Administratorebene es einem Bedrohungsakteur ermöglichen, sich seitlich durch die Systeme zu bewegen, sobald der Perimeter kompromittiert wurde.
Aber kontradiktorische Tests sind viel mehr als das. Für Sicherheitstests ist es unerlässlich, eine Organisation genau der gleichen Art von böswilligem Verhalten auszusetzen, wie es ein echter Cyberkrimineller oder staatlicher Akteur machen würde. Mittels Red Teaming versucht eine Gruppe von extern beauftragten Pentestern Ihr Unternehmen zu hacken. Auf diese Weise zeigt sich, wie gut die Cyberresilience ist und wo ein Unternehmen nachbessern sollte. Wichtig dabei ist es, möglichst viele potenzielle Angriffsvektoren zu überprüfen: OSINT, Software-Schwachstellen, falsche Konfigurationen, laxe Berechtigungskontrollen oder die schlechten digitalen Gewohnheiten der Mitarbeiter.
Eric Escobar
ist Senior Consultant IT Security bei
Secureworks Adversary Group