fdsonne schrieb:
Die Frage ist eher, ob das Zugriffsmuster auch als solches erkennbar ist, wenn man nicht den Vergleich hat. Sprich findet ein Analyse Tool ein Zugriffsmuster und erkennt, dass das nicht legitim ist, wenn es gar keinen Verdacht gibt, dass das nicht normal sein könnte?
Btw. ist da auch noch ein Datenschutzthema zu beachten. Logfiles in der Form auszuwerten, dass Zugriffszeiten protokolliert und ausgewertet werden ist Datenschutzrechtlich durchaus ein Problem.[...]
Die DSGVO räumt Datenverarbeitung "aus berechtigtem" Interesse ein. In den Erwägungsgründen dazu sind u.a. genannt: "fraud prevention", "IT security" (
https://www.gdpreu.org/the-regulation/key-concepts/legitimate-interest/)
Ein Monitoring, welches diesen und ausschließlich diesen Zielen dient sollte normalerweise kein Problem sein. Zudem es auf staatlicher und innereuropäischer Ebene ja durchaus Gesetze gibt, die Vorgaben zur Sicherheit von IT-Systemen machen. Wobei Datenverarbeitung natürlicher Personen in der DSGVO ausdrücklich erlaubt ist, wenn rechtliche Vorgaben dies erfordern.
Ich bekomme ja arg Lust den Wartungshammer zu schwingen, wenn mir wer erzählen will, dass die DSGVO legitimen Schutzinteressen in der IT entgegenstünde..
Solchen Berichten kann man üblicherweise nicht "trauen" - vor allem wenn sie x-fach durch die Presse gehen.
Sieht man auch sehr schön hier im Artikel, da wird alles in einem Topf geworfen und möglichst reißerisch beschrieben.
So viel Mehrwert liefert der öffentliche Bericht auch nicht. Bei deren IT wurde nicht darauf reagiert, dass es "BruteForce" auf Logins von "einer recht begrenzten Anzahl an IPs" gab und davon Einige erfolgreich waren. Das steht in etwa auch in der Presse. Es wäre interessant wie das Muster für diese Versuche genau aussahen, aber sowas steht in keinem öffentlichem Bericht.
"Dabei seien unter anderem E-Mail-Postfächer und Chipdesigns abgeflossen." -> das geht halt so überhaupt nicht unter einen Hut. [...] Aber am Ende sind das zwei völlig getrennte paar Schuhe. Zwei Sachen aufzuführen ließt sich aber schwerer als nur eine.
[...]Dass aber mit Zugriff auf ein Mail Postfach Werte abgegriffen werden können, die mMn wahrscheinlich nicht per Mail übertragen wurden, hingegen schon...
Die Pedanterie verstehe ich an der Stelle überhaupt nicht. In der Praxis sind die Credentials vom Office356 und AD oftmals identisch, in dem Moment wo entsprechend Zugang zum Postfach besteht, ist der gesamte Userspace des Nutzers ebenso übernommen.
Gegenfrage aus der Praxis - kennt der Supporter aus einem x-hunderte MA großen Unternehmen jede Stimme und jeden Hansel persönlich um zu verifizieren ob die Anfrage 100% authentisch ist?
2FA ist cool, aber es hat einen gewaltigen Pferdefuß. Nämlich den Selfservice bei "Vergessen" respektive den Support in der IT Abteilung, der dann agiert, wenn etwas nicht geht.
Selfservice beim 2FA ohne stabile Verifikation ist eben auch Selfservice für Angreifer, gerade wenn SingleFaktor reicht, um den Zugang zum zweiten Erkennungsmerkmal zu modifizieren -.-.
Und wenn es die IT nicht abbilden kann, dann gibt es normalerweise Hierarchien in Firmen. Gruppen/Abteilungsleiter, die ihre Leute (er)kennen sollten. Dann muss der Prozess halt so aussehen, dass diese Personen Änderungen beim zweiten Faktor signieren.
Je nach Unternehmen ist das schlicht nicht machbar...
Dieser Satz kommt mir bekannt vor o.O
Btw. wurden die Credentials offenbar durch durchprobieren von bekannten Passwörtern erraten. Der Angriffsvector war wohl ein oder mehrere externe Cloud Anbieter. Und nach Findung von validen Zugängen gab es dann gezielt den Versuch über das VPN Portal. Gefolgt von der Nutzung einer internen Citrix Installation gefolgt von einer Rechteausweitung durch ausspähen von Credentials administrativer Accounts usw. usf.
Und jetzt heben alle Forensiker ihre Hände, die genau diesen Bericht eine Vorlage haben, wo nur noch Firmennamen, Cloudanbieter, Angreifer, Zeit, Ort angepasst werden müsssen.
