Cyberattacken

Venafi kommentiert Angriff auf Authentifizierungsdienst Okta

, München, Venafi | Autor: Herbert Wieler

Venafi kommentiert Angriff auf Authentifizierungsdienst Okta

Von Kevin Bocek, Vice President, Security Strategy & Threat Intelligence bei Venafi

Die Gruppe Lapsus$ hat im Zuge eines Hackerangriffs auf Okta im Januar Daten des Authentifizierungsdienstes gestohlen. Angriffe wie dieser auf Software-Builds werden aus mehreren Gründen immer häufiger.

Kevin Bocek, VP Security Strategy und Threat Intelligence bei Venafi

Erstens öffnet der Angriff auf ein Ziel die Tür zu mehreren Zielen. Zweitens arbeiten Sicherheits- und Entwicklungsteams oft nicht zusammen, sodass Entwicklerumgebungen nur unzureichend geschützt sind. Noch besorgniserregender ist jedoch die Tatsache, dass es enorm schwierig ist, eine einmal kompromittierte Entwicklerumgebung wiederherzustellen. Diese Art des Zugriffs gibt Bedrohungsakteuren die Schlüssel in die Hand, sodass sie sich hartnäckig halten. Es ist also keine Überraschung, dass es immer wieder zu Angriffen dieser Art kommt.

Noch beunruhigender ist, dass so viele Unternehmen von einem einzigen Identitätsanbieter abhängig sind und alles auf eine Karte setzen. Das bedeutet, dass eine einzige Sicherheitslücke die Angriffsfläche vollständig öffnet und mehrere Unternehmen dem Risiko künftiger Angriffe aussetzt. Das war bereits bei den Angriffen von SolarWinds der Fall, bei denen Office 365 angegriffen wurde – und die Angriffswellen breiten sich weiter aus. Was Lapsus$ im Speziellen angeht, so haben sie in der Vergangenheit bereits Maschinenidentitäten missbraucht und ihr Verständnis von Entwicklerumgebungen zu ihrem Vorteil genutzt. Dadurch wird das Vertrauenssystem, das die Kommunikation zwischen Maschinen und die Ausführung von Software ermöglicht, gefährdet. Da diese Arten von Angriffen immer häufiger vorkommen, müssen die Ansätze zur Sicherung von Build-Pipelines unbedingt angepasst werden. Wir können keine Entwicklungsteams haben, die ohne Beteiligung der Sicherheitsbehörden arbeiten, und wir können auch nicht erwarten, dass die Sicherheitsbehörden die Feinheiten der Entwicklungsumgebungen verstehen. Wir brauchen eine neue Art von Sicherheitsentwicklern, die die Lücke schließen und Sicherheit in kürzester Zeit ermöglichen können.