Thought Leadership
Die APT-Gruppe namens Billbug, die auch unter dem Namen Lotus Blossom und Thrip agiert, scheint seit 2009 aktiv zu sein und hat in seiner jüngsten Kampagne eine Zertifizierungsstelle in Asien ins Visier genommen.
Der Angriff war ein Bestandteil einer größeren Welle gegen Regierungsstellen in verschiedenen Ländern Asiens. Entdeckt hatten die Attacke die Sicherheitsforscher von Symantec, ob eine Kompromittierung stattgefunden hat, lässt sich aktuell nicht verifizieren.
Kevin Bocek, VP für Sicherheitsstrategie & Threat Intelligence bei Venafi kommentiert: „Die mögliche Kompromittierung einer digitalen Zertifizierungsstelle (Certificate Authority, CA) ist eine schlechte Nachricht. CAs sind ein wichtiges Herzstück des Identitätssystems, das unsere Online-Welt sicher macht. Eine CA stellt für Unternehmen TLS-Zertifikate aus – eine Art von Maschinenidentität, die eine sichere Kommunikation von Maschine zu Maschine ermöglicht. Diese Identität teilt anderen Maschinen mit, dass man ihr vertrauen kann. Dieses System ermöglicht das grüne Vorhängeschloss auf einer Webseite, dem der Nutzer Vertrauen schenkt, wenn er diese besucht. Wenn eine Zertifizierungsstelle kompromittiert wird, werden alle mit ihr verbundenen Identitäten in Frage gestellt.
In diesem speziellen Fall weist der Angriff auf die Zertifizierungsstellen alle Anzeichen eines ausgeklügelten Angriffs durch einen Nationalstaat auf. Betroffen sind im Falle einer Kompromittierung jedoch nicht nur die CAs, sondern alle Unternehmen, Verbraucher und Behörden, die sich auf diese CAs verlassen, um zu wissen, ob ein digitaler Dienst echt oder gefälscht ist. Darüber hinaus geht es darum, ob die Kommunikation sicher ist oder von einer dritten Partei abgehört wird. Ein Angreifer könnte diese Machtposition nutzen, um Man-in-the-Middle-Angriffe durchzuführen, verschlüsselten Datenverkehr abzufangen oder Identitäten für bösartige oder betrügerische Dienste auszustellen, damit diese von den wichtigsten Browsern und Betriebssystemen als vertrauenswürdig eingestuft werden. Ähnliche Vorfälle hat es bei Angriffen wie DigiNotar 2012 in den Niederlanden bereits gegeben.
Um das Problem zu beheben, müssen CISOs, CIOs und CEOs ihre Passwörter ändern, wenn sie missbraucht werden, und die IT-Verantwortlichen das Gleiche für Maschinenidentitäten tun. Unternehmen, die in der Cloud arbeiten, müssen schnell alle Zertifikate identifizieren und entfernen, die mit unbekannten und nicht vertrauenswürdigen Zertifizierungsstellen verbunden sind. Sie müssen sie durch neue Zertifikate aus vertrauenswürdigen Quellen ersetzen. Dabei kann ein Unternehmen Hunderte, wenn nicht gar Tausende von Identitäten ersetzen müssen. Aus diesem Grund müssen Unternehmen in eine Steuerungsebene investieren, die die Verwaltung von Maschinenidentitäten automatisieren kann.“
Sitaram Iyer, Senior Director of Cloud Native Solutions bei Venafi fügt hinzu: „Diese Attacke auf eine Zertifizierungsstelle zeigt, wie wichtig die Verwaltung aller Maschinenidentitäten in einem Unternehmen ist. Wenn es sich bei der kompromittierten Stelle um die Root-CA handelt, kann der Angreifer potenziell die vollständige Kontrolle über die gesamte PKI-Infrastruktur erlangen und das Vertrauen in das System gefährden. Alle von dieser CA ausgestellten Zertifikate müssen widerrufen und ersetzt werden. Dies ist natürlich mit einem hohen Aufwand verbunden – und in den meisten Fällen mit der Glaubwürdigkeit der Organisation.
Dies kann sogar noch katastrophaler sein, wenn Organisationen untergeordnete CAs erstellen, die zum Signieren von Workloads in nativen Cloud-Umgebungen für die Verwaltung von Pod- oder Mesh-Identitäten verwendet werden. Die schiere Menge dieser Identitäten und die Notwendigkeit, alle untergeordneten CAs zu widerrufen, sie neu zu erstellen und Identitäten für Workloads auszustellen, ist ein enormer Aufwand.
Der Schutz und die Verwaltung aller Maschinenidentitäten, unabhängig davon, wo und wie sie verwendet werden, ist für die Schaffung einer unternehmensweiten Sicherheitslage von entscheidender Bedeutung. Manuelle Prozesse müssen eliminiert werden und die gesamte Verwaltung von Maschinenidentitäten sollte zu 100 Prozent automatisiert sein. Zuletzt müssen die Cybersicherheitsteams über die Möglichkeit des Monitorings verfügen.“
www.venafi.com
