Sie sind überprivilegiert

Neue Daten über die versteckten Risiken nicht-menschlicher Identitäten

Der Angreifer nutzt Zugangsdaten, die er entweder bei einem kürzlich erfolgten Datenleck eines Drittanbieters erlangt hat oder durch Phishing eines IT-Administrators über eine gefälschte Login-Seite.

Mit diesen Zugangsdaten verschafft er sich Zugriff auf personenbezogene Daten (PII), die z. B. in einer Snowflake-Datenbank oder einer anderen SaaS-Anwendung gespeichert sind, auf die er über den kompromittierten IdP-Zugang zugreifen kann.

Anschließend durchsucht er synchronisierte Service Accounts (Namenskonventionen dienen oft als Orientierung), bis er einen findet, über den er Zugang zur On-Prem-Umgebung erhält.

Einmal dort angekommen, kann der Angreifer Code ausführen, Daten exfiltrieren oder sich seitlich weiterbewegen, um weitere Systeme zu kompromittieren.

4

3

2

1

NHIs spielen eine entscheidende Rolle für den reibungslosen
Betrieb von Unternehmen. Dementsprechend benötigen sie häufig Zugriff auf spezifische Ressourcen und Berechtigungen, die genau auf ihre Funktionen zugeschnitten sind — was wiederum zu deutlich umfangreicheren Zugriffsumfängen führen kann als bei menschlichen Benutzern üblich.

Doch das Problem reicht tiefer: NHIs verfügen häufig über übermäßige Berechtigungen. Beim Einrichten von Machine-to-Machine-Kommunikation ist es oft einfacher und bequemer,
weiten Zugriff zu gewähren, anstatt die Berechtigungen präzise abzustimmen und streng auf den eigentlichen Verwendungszweck zu begrenzen. Das senkt zwar das Risiko von Reibungsverlusten — erhöht aber das Sicherheitsrisiko erheblich.

Die hohen Zugriffsrechte von NHIs, kombiniert mit ihrer mangelnden Überwachung und unzureichendem Schutz, machen sie zu attraktiven Zielen für Angreifer, die nach Möglichkeiten für laterale Bewegungen und Privilegieneskalation suchen. 56 % der Unternehmen synchronisieren mehr als die Hälfte ihrer Service Accounts unbewusst mit ihrem SaaS-Verzeichnis — und vergrößern so ihre Angriffsfläche erheblich.

Hier ist ein Beispiel dafür, wie eine kompromittierte NHI – in diesem Fall ein AD-Servicekonto — zur Gefährdung der gesamten SaaS-Umgebung eines Unternehmens führen kann:

NHIs haben hohe Privilegien - oft mehr als sie brauchen

Beispielhafter Ablauf eines Angriffs

Sie sind überprivilegiert

Neue Daten über die versteckten Risiken nicht-menschlicher Identitäten

Der Angreifer nutzt Zugangsdaten, die er entweder bei einem kürzlich erfolgten Datenleck eines Drittanbieters erlangt hat oder durch Phishing eines IT-Administrators über eine gefälschte Login-Seite.

Mit diesen Zugangsdaten verschafft er sich Zugriff auf personenbezogene Daten (PII), die z. B. in einer Snowflake-Datenbank oder einer anderen SaaS-Anwendung gespeichert sind, auf die er über den kompromittierten IdP-Zugang zugreifen kann.

Anschließend durchsucht er synchronisierte Service Accounts (Namenskonventionen dienen oft als Orientierung), bis er einen findet, über den er Zugang zur On-Prem-Umgebung erhält.

Einmal dort angekommen, kann der Angreifer Code ausführen, Daten exfiltrieren oder sich seitlich weiterbewegen, um weitere Systeme zu kompromittieren.

4

3

2

1

Beispielhafter Ablauf
eines Angriffs

NHIs spielen eine entscheidende Rolle für den reibungslosen Betrieb von Unternehmen. Dementsprechend benötigen sie häufig Zugriff auf spezifische Ressourcen und Berechtigungen, die genau auf ihre Funktionen zugeschnitten sind — was wiederum zu deutlich umfangreicheren Zugriffsumfängen führen kann als bei menschlichen Benutzern üblich.

Doch das Problem reicht tiefer: NHIs verfügen häufig über übermäßige Berechtigungen. Beim Einrichten von Machine-to-Machine-Kommunikation ist es oft einfacher und bequemer, weiten Zugriff zu gewähren, anstatt die Berechtigungen präzise abzustimmen und streng auf den eigentlichen Verwendungszweck zu begrenzen. Das senkt zwar das Risiko von Reibungsverlusten — erhöht aber das Sicherheitsrisiko erheblich.

Die hohen Zugriffsrechte von NHIs, kombiniert mit ihrer mangelnden Überwachung und unzureichendem Schutz, machen sie zu attraktiven Zielen für Angreifer, die nach Möglichkeiten für laterale Bewegungen und Privilegieneskalation suchen. 56 % der Unternehmen synchronisieren mehr als die Hälfte ihrer Service Accounts unbewusst mit ihrem SaaS-Verzeichnis — und vergrößern so ihre Angriffsfläche erheblich.

Hier ist ein Beispiel dafür, wie eine kompromittierte NHI – in diesem Fall ein AD-Servicekonto — zur Gefährdung der gesamten SaaS-Umgebung eines Unternehmens führen kann:

NHIs haben hohe Privilegien - oft mehr als sie brauchen