Aufrufe
vor 6 Monaten

KINOTE 01.2022

  • Text
  • Wwwbankverlagde
  • Digitale
  • Conversational
  • Optimierung
  • Beispielsweise
  • Mining
  • Modelle
  • Intelligenz
  • Einsatz
  • Banken
  • Unternehmen
Um einen Wandel der Finanzbranche erfolgreich zu meistern, müssen Kreditinstitute sowohl Chancen als auch Herausforderungen der Künstlichen Intelligenz (KI) erkennen. Unter der neuen Marke KINOTE der Bank-Verlag GmbH finden Sie Meldungen, Studien und Fachartikel zum Themenkomplex KI. Wir beantworten Ihre Fragen rund um KI. Wir berichten über Trends, neue Technologien, Forschungsergebnisse und daraus entstehende Möglichkeiten, die KI Ihrem Unternehmen bietet.

42 01 | 2022 Was spornt

42 01 | 2022 Was spornt Sie als Ethical Hacker beim Red Teaming noch an? Gern stellen wir unsere Fähigkeiten, noch tiefer ins Netzwerk vorzudringen, weiter auf die Probe, wenn wir etwa herausfinden, dass der Webserver mit System-Rechten ausgeführt wird. Um unsere Tarnung nicht gleich auffliegen zu lassen, holten wir uns im geschilderten Fall den Inhalt von lsass über rundll32.exe. Die Datei ließ sich bequem über den Webserver und die Dateifreigabe, die wir bereits eingebunden hatten, downloaden. Der Angriffsrechner erwies sich in diesem Fall als Goldgrube, da er die Hashes mehrerer Benutzer enthielt. Ein NThash erregte unsere besondere Aufmerksamkeit, da er zu einem „desktop_admin_7“-Benutzer gehörte. Auch wenn der Name schon alles sagte, zeigte ein schneller Blick auf die Gruppen, denen der Benutzer angehörte, dass er tatsächlich Mitglied von „Desktop Admins“ und „Hotline Support“ war. Bingo! Mit den Ergebnissen eines langsamen, aber gezielten Port-Scans von Webservern auf verfügbaren Desktops bewaffnet, durchsuchten wir die Ergebnisse nach interessanten Zielen. Während wir also ein paar naive Wetten auf die Ergebnisse abschlossen und unsere Hoffnungen auf einen Desktop-Domänenbenutzer hochhielten, führten wir crackmapexec aus, um den lsass-Speicher erneut zu dumpen – aber dieses Mal aus der Ferne. Wir hatten große, wenn auch nicht allzugroße Hoffnungen in ein Mitglied einer anderen privilegierten Gruppe gesetzt, vielleicht einen Servergruppen-Administrator. Ein Domänen- Administrator wäre hier ja sicher auf keinen Fall angemeldet. Unser Kollege, der nach der Gruppenzugehörigkeit des „da_ admin_2“ suchte, verschüttete vor Aufregung seinen Kaffee. Wir kannten die Antwort schon, bevor er „Yess!“ rief. Wir zögerten keine Sekunde, die Beweise dafür zu sichern, dass wir unser Ziel erreicht hatten. Bank gehackt. Game over! Wow, das klingt wirklich spannend! Was sind die Lessons Learned, die Unternehmen aus solchen Einsätzen mitnehmen können? Aus solchen Einsätzen kann man eine Menge lernen. Das Offensichtlichste ist: Domänen-Administratorkonten sollten niemals für die Anmeldung bei Systemen im Netzwerk verwendet werden. Die wichtigste Lektion ist, dass Sicherheitsprozesse und -standards eine wichtige Rolle in der Gesamtsicherheitsstrategie spielen, aber nur, wenn sie in der Realität auch wirklich korrekt umgesetzt werden. Dies gilt auch für so grundlegende Dinge wie die Berechtigungen für gemeinsam genutzte Ordner, die – wenn sie in die falschen Hände geraten – massive Auswirkungen auf das Gesamtsystem haben können. Daher gilt der Grundsatz „Vertrauen ist gut, Kontrolle ist besser“ immer noch goldenen Boden. Ein regelmäßiger Wettbewerb zwischen dem roten und dem blauen Team sollte nicht nur dazu beitragen, echte Sicherheitslücken im Unternehmen zu ermitteln, die Angreifer ausnutzen könnten, er soll auch die Fähigkeiten beider Teams verbessern. Und zu guter Letzt: Der Mensch ist immer noch das schwächste Glied in der Kette. Nicht nur Penetrationstests und Red

01 | 2022 43 Teaming, auch regelmäßige Awareness-Schulungen der Mitarbeitenden rund um Cyber Security sind unerlässlich. Herr Hanic, haben Sie vielen Dank für das interessante Gespräch. (kra) Der Mensch – immer noch das schwächste Glied in der Kette Phishing ist eine Methode, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn z. B. zur Ausführung einer schädlichen Aktion zu bewegen. Vishing ist eine Variante des Phishing. Dabei kommen Sprachsysteme zum Einsatz. Bei dieser Betrugsmasche werden Personen zu Handlungen aufgefordert, von denen sie glauben, sie seien in ihrem Interesse. Ein Gespräch mit einem Mitarbeiter in einem Unternehmen kann modellhaft folgendermaßen ablaufen: „Hallo, hier ist Peter aus der IT-Abteilung (ja, der, über den Sie sich in der Mittagspause immer beschweren). Ich rufe Sie von meinem Mobiltelefon aus an, weil die Hälfte des Teams krank ist und wir ein obligatorisches Homeoffice haben. Tut mir leid, dass ich Sie störe, aber wir sind mitten in der Migration des Mailservers und müssen sie bis Freitag abschließen. Wir müssen nicht nur Überstunden machen, sondern ich muss jetzt auch noch alle Leute von einer Liste anrufen, denen wir eine Mail mit Anweisungen schicken, damit wir sicher sind, dass sie es auch tun. Lächerlich? Ja, das brauchen Sie mir nicht zu sagen. Aber die Leute ignorieren derlei ja wie üblich oder löschen sie, weil es sich um Phishing oder so handeln könnte, und jetzt muss ich die Leute anrufen, um sicherzustellen, dass sie sich in das neue System einloggen, damit wir am Freitag umstellen können. Als ob ich nichts Besseres zu tun hätte! Sie haben die Mail nicht bekommen? Komisch. Geben Sie mir eine Sekunde, ich schicke sie Ihnen noch einmal … Also, bitte loggen Sie sich einfach auf dem neuen OVA-Server ein, ich überprüfe, ob das Konto migriert wurde und spiele dann wieder Call Center. Nein, nicht die ganze Abteilung …, es sind nur einige Leute, deren Konto aus irgendeinem Grund nicht automatisch migriert wurde ... Toll, wie ich sehe, sind Sie fertig! Danke und einen schönen Tag.“

die bank

© die bank 2014-2020