Strategien zur Verhinderung von AiTM-Angriffen: Die Sichtweise eines Herausforderers

Die zunehmende Verbreitung von AiTM-Bedrohungen (Adversary in the Middle) im Jahr 2023 erfordert innovative und zuverlässige Gegenmaßnahmen im Bereich der Cybersicherheit. In diesem Blog stellen wir zwei unterschiedliche AiTM-Abwehrstrategien gegenüber: eine vom etablierten Marktführer Microsoft und eine von uns, die auf einem First-Principles-Ansatz basiert, der eine Lösung für eine Grundursache findet und AiTM gänzlich verhindert. Unsere Untersuchung deckt die Stärken und Schwächen jeder Strategie ab und bewertet ihre Auswirkungen auf die breitere Cybersicherheitslandschaft, was Entscheidungsträgern, die mit der Stärkung der Fähigkeiten zur Abwehr von AiTM-Bedrohungen betraut sind, wichtige Erkenntnisse liefert.

Wichtigste Ergebnisse:

- Microsoft bietet eine robuste Lösung zur Erkennung, aber nicht zur Vorbeugung.
- Die Microsoft-Lösung umfasst mehrere Lizenzschichten, die die Komplexität erhöhen und schnell teuer pro Benutzer und Jahr werden können.
-AuthN von IDEE bietet einen proaktiven Ansatz, der sich auf die Vorbeugung mit einer einfachen Lösung konzentriert.

Der Ansatz von Microsoft: Umfassend, aber kostspielig

Die AiTM-Abwehrstrategie von Microsoft ist ein mehrstufiger Ansatz, der zahlreiche Kontroll-, Warn- und Erkennungssysteme integriert, die in den Premium-Lizenzplänen wie Business Premium oder E5 verfügbar sind. Es ist ein bequemer Weg, um ein umfassendes Tooling Kit aus einer Hand zu erwerben.

Das Flaggschiff von Microsofts Lösung umfasst risikobasierten bedingten Zugriff, eine fähige Methode zum Hinzufügen von Kontrollen/Richtlinien nach der Authentifizierung. Microsoft Defender und die von den Identity Protection-Implementierungen generierten Warnmeldungen ergänzen dies durch ausgefeilte Warnungen, Datensätze und Dashboards.

Obwohl diese Tools potenzielle AiTM-Bedrohungen effizient erkennen, verhindern sie diese nicht von vornherein und können sogar gültige Benutzer aufgrund falsch positiver Warnmeldungen blockieren.

Darüber hinaus erfordert die Conditional Access Policy in den meisten Fällen nach dem Blockieren einer verdächtigen Anmeldung den Abschluss der MFA, um den Zugriff zu gewähren. Das bedeutet, dass die Effektivität der Zugriffskontrollrichtlinie eng mit der Zuverlässigkeit der MFA-Methode zusammenhängt, auf die sie sich bei der Zugriffsautorisierung stützt.

Hier demonstrieren wir, wie Microsofts MFA-Methode in nur wenigen Minuten mit einem Adversary in the Middle (AiTM)-Angriff umgangen werden kann.

Darüber hinaus wirft der Vorschlag, einige Administratorkonten von der Richtlinie für bedingten Zugriff auszuschließen, potenziell Sicherheitsprobleme auf, und die Schutzmaßnahmen erstrecken sich nicht auf andere Unternehmensdienste, die nicht unter Azure AD verwaltet werden.

Die von Microsoft empfohlene Architektur hat ihren Preis, denn zwischen den regulären Abonnements und den Premium-Abonnements ist ein erheblicher Anstieg zu verzeichnen, und diese zusätzlichen Ebenen schaffen eine komplexe Umgebung, die sich auch auf die Ausgaben für Dienste oder Outsourcing auswirken könnte.

Microsofts MFA: Ein schwaches Glied

Microsofts MFA-Lösung, der Microsoft Authenticator, weist erhebliche Schwächen auf, die sie anfällig für AiTM-Angriffe machen. Der Hauptnachteil liegt in der inhärenten Abhängigkeit von Phishing-Authentifizierungsfaktoren während der entscheidenden Phasen - Registrierung, Hinzufügen eines neuen Geräts, Authentifizierung und Wiederherstellung - was die Lösung sehr anfällig für AiTM-Bedrohungen macht.

Darüber hinaus sind selbst die Phishing-resistenten Protokolle wie FIDO2 und WebAuthN in kritischen Phasen ihres Betriebs von Microsoft Authenticator abhängig. Das Problem liegt nicht in der Verwendung von FIDO2 und WebAuthN an sich, sondern in der Abhängigkeit von phishbaren Faktoren bei der Registrierung, dem Hinzufügen eines neuen Geräts und der Wiederherstellung. Diese Schwachstellen können von Angreifern ausgenutzt werden und untergraben somit die Sicherheit, die Protokolle wie FIDO2 und WebAuthN bieten sollten.

Warum nicht einfach von Anfang an auf Prävention setzen?

Der Ansatz von AuthN by IDEE: Transitives Vertrauen und mehr

Im Bereich der AiTM-Angriffsabwehr verfolgt AuthN by IDEE einen einzigartigen Weg, der sich von der Strategie von Microsoft unterscheidet. Der Ansatz von AuthN by IDEE legt den Schwerpunkt auf die präventive Abwehr von AiTM-Angriffen, wodurch die Notwendigkeit zusätzlicher Detektiv-Tools umgangen wird. Dieser Fokus reduziert den administrativen Aufwand, der traditionell mit der Verwaltung von Tools wie Microsoft 365 Defender, Conditional Access Policy und Identity Protection verbunden ist, erheblich.

Darüber hinaus führt der AuthN-Ansatz einen entscheidenden Unterscheidungsfaktor ein: das Konzept des transitiven Vertrauens während der Registrierung und des Hinzufügens eines Geräts. Anstatt sich auf potentiell angreifbare, phishable Authentifizierungsfaktoren zu verlassen, etabliert AuthN ein transitives Vertrauensmodell zwischen dem Benutzer und dem Gerät während der Registrierung. Dieses Vertrauen erstreckt sich auch auf den Prozess des Hinzufügens neuer Geräte, wodurch diese kritischen Phasen effektiv gegen AiTM-Angriffe gestärkt werden.

Durch die Sicherstellung dieser kontinuierlichen, zuverlässigen Vertrauenskette entschärft AuthN erfolgreich die inhärenten Schwachstellen von MFA und umgeht die Einschränkungen von Conditional Access Policies. Das Ergebnis ist eine Strategie, die immun gegen potenzielle interne Bedrohungen ist und eine robuste Authentifizierung über den gesamten Identitätslebenszyklus garantiert: von der Registrierung über das Hinzufügen eines neuen Geräts bis hin zur Authentifizierung und Wiederherstellung. Dabei bietet sie eine zusätzliche Schutzschicht gegen die Manipulation von Zugriffsberechtigungen durch interne böswillige Akteure, wie sie von Ransomware-Gruppen wie Lapsus$ ausgenutzt werden.

AuthN von IDEE stellt somit eine zukunftsweisende, umfassende Lösung zur Verhinderung von AiTM-Angriffen dar, die die Schwachstellen in den traditionellen Ansätzen effektiv beseitigt und die Standards für Cybersicherheit neu definiert.

Fazit

Die Richtlinien von Microsoft bieten zwar eine solide Grundlage für die AiTM-Verteidigung, sind jedoch mit Herausforderungen verbunden, die die Wirksamkeit der Cybersicherheitsstrategie eines Unternehmens untergraben können. Ganz zu schweigen von einem erheblichen Preis pro Benutzer und Monat durch die Bündelung vieler Produkte.

Im Gegensatz dazu bietet AuthN einen überlegenen, umfassenden Ansatz zur Cybersicherheit. Anstatt nur potentielle Bedrohungen zu erkennen, nimmt AuthN eine proaktive Haltung ein, indem es Credential-Phishing vollständig verhindert und damit die Möglichkeit von AiTM-Angriffen gänzlich eliminiert.

Darüber hinaus verbessert AuthN die Cybersicherheit eines Unternehmens, indem es die Sicherheit verbessert und gleichzeitig die Einfachheit bewahrt. Im Gegensatz zu komplexeren Systemen, die einen hohen Einrichtungs- und Wartungsaufwand erfordern, können Unternehmen mit AuthN ihre Sicherheitsvorkehrungen schnell verstärken.

Zusammenfassend lässt sich sagen, dass AuthN nicht nur einen überragenden Schutz gegen AiTM-Angriffe bietet, sondern dies auch mit konkurrenzloser Geschwindigkeit und Einfachheit tut. Sein proaktiver, präventiver Ansatz in Kombination mit einer einfachen Implementierung macht AuthN zu einem bedeutenden Werkzeug im Cybersicherheitsumfeld.

‍