Perimetrale Sicherheit hat lange aufgehört, die einzige Barriere zwischen unseren Unternehmen und den Angreifern zu sein, aber was sich mit Gewalt ändert, ist die Art, wie diese Akteure einsteigen: Sie sind nicht mehr so sehr davon abhängig, neue technische Fehler auszunutzen, als von der Nutzung des Zugangs und der Werkzeuge, die die Organisationen selbst als legitim betrachten. Diese Verschiebung, die im jährlichen Bericht einer einfallsreichen Antwortfirma dokumentiert ist, zwingt uns, zu überdenken, wie wir das Risiko messen und was wir im Netz kontrollieren.
Fernzugriffspunkte und zuverlässige administrative Dienstprogramme sind zum Hauptvektor der Intrusion geworden. In vielen Beispielen, die von Antwortteams analysiert wurden, erhielten die Angreifer gültige Sitzungen - oft durch VPNs oder Remote Management Agenten - und zogen seitlich, als wären sie legitime Administratoren. Diese Strategie erforscht genau das Vertrauen um diese Tools: Eine aktive VPN-Session oder RMM-Verbindung scheint für Bediener und Bediener oft normal zu sein, so dass Eindringlinge kritische Systeme erreichen können, ohne sofortige Alarme zu erzeugen.
Der Missbrauch von Remote-Management-Tools ist keine isolierte Anekdote. Es gibt viele öffentliche Untersuchungen und Anleitungen, die darauf warnen, wie böswillige Akteure Monitoring- und Managementlösungen installieren oder wiederverwenden, um Beharrlichkeit zu erhalten und mit legitimem Aussehen zu arbeiten. Diese Realität unterstreicht die Notwendigkeit einer klaren Inventarisierung, deren Agenten autorisiert sind und diese Instrumente einer strengen Überwachung und Politik unterwerfen, wie sie von den öffentlichen Sicherheitsbehörden und den Rahmen für bewährte Praktiken empfohlen werden.
Social Engineering bleibt der effektivste Weg, Türen zu öffnen. Weit davon entfernt, Codelücken zu suchen, erhalten viele Gruppen einen Benutzer, um eine scheinbar harmlose Aktion durchzuführen: einem Link folgen, einen Befehl ausführen oder eine Anleitung in eine Systemausführungsbox einfügen. Einige Kampagnen sind als visuelle Verifikationsschritte verkleidet - Uhren oder "Klicken, um zu überprüfen" Kontrollen - und am Ende belehren Sie das Opfer Befehle in Windows oder andere Konsolen eingeben, so dass der Angreifer die gleichen Systemtools verwenden, um seine Angriffskette auszuführen.
Dieser Ansatz basiert auf dem, was die Sicherheitsgemeinschaft "Leben aus dem Land" nennt - mit binären und standardmäßigen Diensten in Systemen - und ist besonders schwierig zu erkennen, ob die Organisation die legitime Nutzung nicht ausreichend überwacht gegenüber der schädlichen Verwendung dieser Dienstprogramme. Microsoft hält Dokumentation und Warnungen über diese Binäre und Skripte, die oft in Intrusionen verwendet werden, und daher ist die Sichtbarkeit über ihre Ausführung der Schlüssel, um einen administrativen Prozess von einem bösartigen Manöver zu unterscheiden: Microsoft - Leben aus den Landkreisen.
In der Cloud-Umgebung stoppte die Multifaktor-Authentifizierung viele Versuche, direkt zuzugreifen, beendete aber nicht die Intrusionen. Die Angreifer haben es geschafft, bereits authentifizierte Sitzungen zu erfassen und wiederzuverwenden, eine Methode, die aus der Perspektive der Cloud-Plattform eine legitime Sitzung erscheint. Diese Technik zeigt, dass Organisationen neben mehreren Faktoren aktive Sitzungen überwachen und Kontrollen durchführen sollten, die das Risiko der aktuellen Sitzung bewerten, nicht nur den Erfolg der ersten Authentifizierung.
Die Verteidigung muss sich von der absoluten Vorbeugung bis zur Erfassung und Verwaltung von kontextbezogenen Risiken bewegen. Der Schutz des Fernzugriffs bedeutet mehr als das Schließen von Ports: es erfordert Richtlinien, die die Empfindlichkeit der Sitzung wiegen, den Status des Geräts, von dem es abgerufen wird, und den geografischen oder Netzwerkkontext. Die Grundsätze der Architektur und der bedingten Kontrolle von Nullkonfidenz sind hierfür relevante Instrumente, und die technischen Referenzdokumente bieten Rahmen für die Umsetzung dieser Ideen in heterogenen Umgebungen: NIST SP 800-207 - Zero Trust.
Es gibt keine magischen Lösungen, sondern Maßnahmen, die den Risikobereich deutlich reduzieren. Dazu gehören die strenge Verwaltung, deren RMM-Lösungen autorisiert sind und die Entfernung von veralteten Agenten, die Einschränkung der Ausführung von Verzeichnissen mit Benutzergenehmigungen und die Implementierung von bedingten Zugriffskontrollen, die die Position des Geräts und das Risiko der Sitzung berücksichtigen. Offizielle Führer und öffentliche Cybersicherheitsbehörden identifizieren diese Ansätze als beste Praktiken zum Schutz des Fernzugriffs: CISA - Remote Access sichern und CISA - Multi-Factor Authentifizierung.
Außerdem ist es wesentlich, die Telemetrie und die Korrelation zwischen den Schichten zu erhöhen. Ein Erkennungssystem, das nur Versuche zur technischen Ausbeutung betrachtet, kann einen Angreifer ignorieren, der sich mit gültigen Anmeldeinformationen bewegt; deshalb müssen Sicherheitsteams Authentifizierungs-, VPN- und RMM-basierte Tools und Informationen über Endpunkte und Netzwerkverkehr integrieren. Diese kombinierte Vision macht es einfacher, Spuren zu sehen, die Seitenbewegungen oder Wiederverwendung von Sitzungen zeigen.
Die Ausbildung und Ausbildung des Personals bleibt eine Säule: Wenn der Vektor sozial ist, reduziert die Wahrscheinlichkeit, dass jemand, der verdächtige Anweisungen durchführt, einen großen Unterschied. Aber die Ausbildung muss von Prozessen begleitet werden, die es für die tägliche Aktion schwierig machen, eine Katastrophe zu werden, zum Beispiel durch Einschränkung von Standardprivilegien und Validierung sensibler administrativer Anfragen durch sekundäre Kanäle.
Ein weiterer Punkt ist die Annahme von phishing-resistenten Authentifizierungsmechanismen. Organisationen, die zu Schlüssellösungen oder Authentifizierungsstandards migrieren, die nicht wahrscheinlich auf falschen Seiten nachgebildet werden (z.B. FIDO / WebAuthn) erhöhen die Barriere für Kampagnen, die Anmeldeinformationen oder Token erfassen: FI. Allianz.
Schließlich zeigen die jüngsten Vorfälle, dass Angreifer versuchen, mit dem Rauschen des Netzes zu mischen: Sie verwenden Kommunikationskanäle, die dem legitimen Verkehr ähneln und Implantate entwickeln, die mit modernen Methoden wie WebSockets schwenken, um aktiv zu bleiben, ohne Aufmerksamkeit zu ziehen. Diese Raffinesse erfordert, dass Antwortteams ihre Erkennungsregeln aktualisieren und ihre Analyseszenarien erweitern, und dass Organisationen Informationen über aufstrebende Techniken in professionellen Foren und mit Sicherheitsanbietern teilen.
Wenn Sie konkrete Beispiele und aggregierte Daten zu diesen Trends überprüfen möchten, hält das Unternehmen, das tausende von Untersuchungen analysiert hat, eine Sitzung, die praktische Fälle und Empfehlungen abbricht; der Aufruf und der dazugehörige Bericht sind auf der Seite des Veranstalters verfügbar: Blackpoint Cyber - Im SOC (Registrierung).
Kurz gesagt, die aktuelle Bedrohungslandschaft zwingt uns, mit Verdacht zu schauen, was wir immer als gut betrachteten: Remote Access Tools und die Routineaktionen von Benutzern. Die moderne Verteidigung verbindet Politiken, die das Risiko begrenzen, technische Kontrollen, die die Missbrauchsschwierigkeiten erhöhen, und integrierte Sichtbarkeit, die die Erkennung von abnormem Verhalten ermöglichen, bevor eine legitime Sitzung zu einem Ausgangspunkt für ein größeres Engagement wird.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...