Strategien zur Abwehr von AiTM-Angriffen: Die Perspektive eines Herausforderers

Die eskalierte Prävalenz von AitM (Gegner in der Mitte) Bedrohungen im Jahr 2023 erfordern innovative und zuverlässige Gegenmaßnahmen zur Cybersicherheit. In diesem Blog stellen wir zwei unterschiedliche Strategien zur Bekämpfung von AiTM gegenüber: eine vom etablierten Marktführer Microsoft und eine weitere von uns, die auf einem First-Prinzipies-Ansatz basiert, bei dem eine Lösung für eine Grundursache gefunden und AiTM vollständig verhindert wird. Unsere Forschung befasst sich mit den Stärken und Schwächen der einzelnen Strategien und bewertet deren Auswirkungen auf die gesamte Cybersicherheitslandschaft. So erhalten Entscheidungsträger, die mit der Stärkung der Fähigkeiten zur Abwehr von AiTM-Bedrohungen beauftragt sind, wichtige Erkenntnisse.

Wichtigste Ergebnisse:

- Microsoft bietet eine robuste Lösung für die Erkennung, verhindert jedoch nicht.
- Die Microsoft-Lösung umfasst mehrere Lizenzebenen, die die Komplexität erhöhen und pro Benutzer und Jahr schnell teuer werden können.
-AuthN von IDEE präsentiert einen proaktiven Ansatz, der sich auf die Prävention mit einer einfachen Lösung konzentriert.

Microsofts Ansatz: Umfassend, aber kostspielig

Die AiTM-Abwehrstrategie von Microsoft ist ein mehrstufiger Ansatz, der zahlreiche Kontroll-, Warn- und Erkennungssysteme integriert, die in den Premium-Lizenzplänen wie Business Premium oder E5 verfügbar sind. Es ist eine bequeme Möglichkeit, ein umfassendes Toolkit aus einer Hand zu erwerben.

Das Flaggschiff der Microsoft-Lösung umfasst risikobasierten Conditional Access, eine Möglichkeit, Kontrollen/Richtlinien nach der Authentifizierung hinzuzufügen. Microsoft Defender und die von Identity Protection-Implementierungen generierten Warnmeldungen ergänzen das Angebot durch ausgefeilte Warnmeldungen, Datensätze und Dashboards.

Obwohl diese Tools potenzielle AiTM-Bedrohungen effizient identifizieren, verhindern sie von Natur aus nicht und blockieren möglicherweise sogar gültige Benutzer aufgrund falscher positiver Warnungen.

Darüber hinaus erfordert die Conditional Access Policy in den meisten Fällen beim Blockieren einer verdächtigen Anmeldung den Abschluss von MFA, um Zugriff zu gewähren. Das bedeutet, dass die Wirksamkeit der Conditional Access Policy eng mit der Zuverlässigkeit der MFA-Methode verknüpft ist, mit der sie den Zugriff autorisiert.

Hier zeigen wir, wie es bei einem Adversary in the Middle (AiTM)-Angriff problemlos möglich ist, die MFA-Methode von Microsoft in nur wenigen Minuten zu umgehen.

Darüber hinaus wirft der Vorschlag, einige Administratorkonten von der Conditional Access Policy auszuschließen, möglicherweise Sicherheitsprobleme auf, und die Abwehrmaßnahmen erstrecken sich nicht auf andere Unternehmensdienste, die nicht unter Azure AD verwaltet werden.

Die von Microsoft empfohlene Architektur hat ihren Preis, da zwischen regulären Abonnements und Premium-Abonnements ein erheblicher Unterschied besteht. Diese zusätzlichen Ebenen schaffen ein komplexes Umfeld, das sich möglicherweise auch auf Dienstleistungen oder Outsourcing-Ausgaben auswirken könnte.

Microsofts MFA: Ein schwaches Glied

Die MFA-Lösung von Microsoft, der Microsoft Authenticator, weist erhebliche Schwächen auf, die sie anfällig für AiTM-Angriffe machen. Der Hauptnachteil liegt in der inhärenten Abhängigkeit von Phishing-fähigen Authentifizierungsfaktoren in entscheidenden Phasen - Registrierung, Hinzufügen eines neuen Geräts, Authentifizierung und Wiederherstellung -, wodurch die Lösung sehr anfällig für AiTM-Bedrohungen ist.

Darüber hinaus sind selbst die phishing-resistenten Protokolle wie FIDO2 und WebAuthn in kritischen Phasen ihres Betriebs auf Microsoft Authenticator angewiesen. Das Problem liegt nicht in der Verwendung von FIDO2 und WebAuthn an sich, sondern in der Abhängigkeit von Phishing-Faktoren bei der Registrierung, dem Hinzufügen eines neuen Geräts und der Wiederherstellung. Diese schwachen Verbindungen können von Angreifern ausgenutzt werden und untergraben so die Sicherheit, für die Protokolle wie FIDO2 und WebAuthn entwickelt wurden.

Warum nicht einfach von Anfang an auf Prävention setzen?

Der Ansatz von AuthN by IDEE: Transitives Vertrauen und mehr

Im Bereich der Abwehr von AiTM-Angriffen zeichnet AuthN von IDEE einen einzigartigen Weg ein, der sich von der Strategie von Microsoft unterscheidet. Ihr Ansatz legt den Schwerpunkt auf die präventive Abwehr von AiTM-Angriffen, wodurch die Notwendigkeit zusätzlicher Detektivtools umgangen wird. Dieser Fokus reduziert den Verwaltungsaufwand, der traditionell mit der Verwaltung von Tools wie Microsoft 365 Defender, Conditional Access Policy und Identity Protection verbunden ist, erheblich.

Darüber hinaus führt der Ansatz von AuthN einen wichtigen Unterscheidungsfaktor ein: das Konzept des transitiven Vertrauens bei der Registrierung und beim Hinzufügen eines Geräts. Anstatt sich auf potenziell anfällige, Phishing-fähige Authentifizierungsfaktoren zu verlassen, etabliert AuthN bei der Registrierung ein transitives Vertrauensmodell zwischen dem Benutzer und dem Gerät. Dieses Vertrauen erstreckt sich auch auf den Prozess des Hinzufügens neuer Geräte, wodurch diese kritischen Phasen effektiv vor AiTM-Angriffen geschützt werden.

Durch die Sicherstellung dieser kontinuierlichen, zuverlässigen Vertrauenskette mindert AuthN erfolgreich die inhärenten Sicherheitslücken von MFA und umgeht die Einschränkungen der Conditional Access Policies. Das Ergebnis ist eine Strategie, die vor potenziellen internen Bedrohungen gefeit ist und eine robuste Authentifizierung während des gesamten Identitätslebenszyklus garantiert: von der Registrierung über das Hinzufügen eines neuen Geräts bis hin zur Authentifizierung und Wiederherstellung. Auf diese Weise bietet sie eine zusätzliche Schutzebene vor der Manipulation von Zugriffsberechtigungen durch interne böswillige Akteure, die beispielsweise von Ransomware-Gruppen wie Lapsus$ ausgenutzt werden.

Somit bietet AuthN von IDEE eine zukunftsorientierte, umfassende Lösung zur Verhinderung von AiTM-Angriffen, die die Schwachstellen traditioneller Ansätze effektiv behebt und die Standards für Cybersicherheit neu definiert.

Abschließend

Die Richtlinien von Microsoft bieten zwar eine solide Grundlage für die AiTM-Verteidigung, sind jedoch mit inhärenten Herausforderungen verbunden, die möglicherweise die Wirksamkeit der Cybersicherheitsstrategie eines Unternehmens untergraben könnten. Ganz zu schweigen von einem erheblichen Preis pro Benutzer und Monat, der sich aus der Bündelung vieler Produkte ergibt.

Im Gegensatz dazu bietet AuthN einen überlegenen, umfassenden Ansatz für Cybersicherheit. AuthN erkennt nicht nur potenzielle Bedrohungen, sondern nimmt eine proaktive Haltung ein und verhindert das Phishing mit Anmeldeinformationen vollständig, wodurch die Möglichkeit von AiTM-Angriffen vollständig ausgeschlossen wird.

Darüber hinaus verbessert AuthN die Cybersicherheit eines Unternehmens, indem es die Sicherheit verbessert und gleichzeitig die Einfachheit bewahrt. Mit AuthN können Unternehmen ihre Sicherheitsvorkehrungen schnell verstärken, im Gegensatz zu komplexeren Systemen, die eine umfangreiche Einrichtung und Wartung erfordern.

Zusammenfassend lässt sich sagen, dass AuthN nicht nur erstklassigen Schutz vor AiTM-Angriffen bietet, sondern dies auch mit unübertroffener Geschwindigkeit und Einfachheit. Sein proaktiver, präventiver Ansatz in Kombination mit der einfachen Implementierung macht AuthN zu einem bedeutenden Disruptor in der Cybersicherheitslandschaft.

‍