Secure data access
Ohne starke Zugriffskontrolle kann eine schwache Authentifizierung nicht verbessert werden
Reverse Access Technology
Denken Sie mal an das letzte Mal, als Sie sich von Extern auf Ihr eigenes Unternehmensnetzwerk angemeldet haben. Angenommen, Sie haben dabei ein herkömmliches VPN mit einem traditionellen IAM-Schema verwendet, ist dies generell kein schlechter Ansatz, da 25% des gesamten Internetverkehrs über VPNs laufen. Wenn das tatsächlich der der Fall war, sah Ihr Anmeldevorgang wahrscheinlich so aus:
- Sie navigieren zu einer bestimmten URL
- Sie werden aufgefordert, Ihren Benutzernamen und Ihr Passwort einzugeben
- Sie geben Benutzername und Passwort ein
- Das VPN überprüft den Hash Ihres Kennworts anhand seiner Datenbank
- Wenn das Passwort korrekt ist, kann der Server Sie mit beispielsweise 2FA authentifizieren
- (Selbst wenn sie das tun, sind einige Formen der 2FA sehr schwach )
- Angenommen, Sie authentifizieren sich korrekt, dann befinden Sie sich jetzt im Netzwerk
Ist Ihnen ein entscheidender Punkt in diesem Workflow aufgefallen, der Sie erschrecken sollte?
Es ist der zweite Schritt. Zu diesem Zeitpunkt im Workflow sind Sie noch nicht im Netzwerk angemeldet, aber Sie haben bereits Zugriff darauf. Dies ist bereits eine gravierende Sicherheitslücke, bevor dann die eigentliche Authentifizierung greifen kann. Eine Schwachstelle die viele Angreifer ausnutzen und damit die eigentliche 2FA aushebeln können.
Wie könnte ein Hacker diese Schwachstelle ausnutzen?
Technisch gesehen sollte die Anmeldeseite für ein privates Netzwerk, außer den Benutzern, niemandem bekannt sein. In der Realität sieht dies allerdings anders aus. Traditionelle Netzwerkdesigns zwingen den Admin oftmals dazu, die Anmeldeseite außerhalb der DMZ, vor eine Firewall zu platzieren. Dies ermöglicht aber einem potentiellen Angreifer die Chance, das öffentlich verfügbare Internet nach Ihrer Netzwerkpräsenz zu durchsuchen und die Login Seite zu finden und damit eine Reihe von Dingen anzustellen.
Zuerst wird er versuchen alle offenen Ports im Netzwerk zu scannen, um dadurch weitere zusätzliche Angriffsflächen ausfindig zu machen. Beispielsweise exponierte Datenbanken, oder Geräte und Dienste, die möglicherweise nicht einmal durch ein Passwort geschützt sind. Das kommt öfters vor als man denkt. Auch bei großen Organisationen, wie bei einem New Yorker Flughafen, bei dem festgestellt wurde, dass deren Server fast ein Jahr lang ungeschützt waren.
Nachdem die Angriffsflächen gefunden wurden, können Hacker sie mit verschiedenen Techniken bearbeiten. Am einfachsten ist der Diebstahl von Anmeldeinformationen, oder eine Code-Injection, bei der versucht wird einen bösartigen Code auf Ihrem Login-Server auszuführen, indem entsprechender Code in Ihr Login-Formular, Kontaktformular, usw… eingefügt wird. Eine weitere Methode besteht darin, einfach abzuwarten und passiv Ihre Webpräsenz zu überwachen, bis ein ausnutzbaren Fehler passiert. Diese Methode ist nahezu narrensicher und funktioniert nur, weil den Benutzern zuerst Zugriff gewährt wird und dann erst die Authentifizierung angewendet wird.
Wie kann man diese Zugriffskontrolle realisieren?
Um den eigentlichen Zugriff zu stärken, müssen Benutzer zuerst authentifiziert werden, bevor sie ein einzelnes Byte von Ihren Daten sehen dürfen. Sobald sie sich in Ihrem Netzwerk befinden, müssen Sie die User weiterhin wie einen potenziellen Angreifer behandeln. Sie sollten niemals externe Benutzer in Ihr Netzwerk einspeisen lassen – Daten sollten nur von innen nach außen fließen. Wie kann man das erreichen?
Die von Safe-T patentierte Reverse Access Technology prüft einen Benutzer, bevor er auf einen beliebigen Teil Ihrer Netzwerkdaten zugreifen kann. Dieses System erstellt Reverse-Proxys, die in der DMZ gespeichert sind und alle Informationen enthalten, die für eine Front-End-App oder einen Benutzer zum Navigieren im gesamten Netzwerk erforderlich sind. In Kombination mit einem Netzwerk ohne Vertrauenswürdigkeit ist das Ergebnis eine Architektur, in der die Benutzer in einer Sandbox navigieren, die seitliche Bewegungen verhindert. Die Benutzer bemerken diese Reverse Technik eigentlich nicht, aber für potentielle Angreifer werden zunächst die Angriffsflächen für Code-Injection und Diebstahl von Anmeldeinformationen dramatisch verringert. Sobald eine Angriffsfläche für die Überwachung entfällt, werden Hacker fast unweigerlich zu einem weicheren Ziel übergehen – was Administratoren vor einer ganzen Reihe von Schwierigkeiten bewahrt.
Download Product Brief: Secure File and Email Access Kostenlose Testversion