Flexible Security for Your Peace of Mind

Threat Intelligence und kompromittierte Kennwörter – Win-Win für unsere Kunden

Was zeichnet eine gute Liste mit kompromittierten Passwörtern aus? Die Anzahl der Passwörter in der Liste ist ein guter Anfang – je mehr kompromittierte Passwörter Sie mit Ihrem Active Directory abgleichen können, desto besser. Schließlich wollen Sie Ihre Chancen maximieren, kompromittierte Kennwörter Ihrer User aufzudecken. Aber auch die Qualität der Daten ist wichtig. So behauptete z. B. Rockyou2024, eine Liste von Kennwörtern, die von einem Poster in einem Untergrundforum veröffentlicht wurde, dass es sich dabei um die umfangreichste Liste von kompromittierten Kennwörtern aller Zeiten handelt. Bei der Analyse durch einen unserer Techniker stellte sich jedoch heraus, dass es sich bei Rockyou2024 hauptsächlich um unbrauchbare Daten handelte.

Im Gegensatz dazu enthält die Datenbank von Specops Breached Password Protection Services über 4 Milliarden einzigartige Passwörter, von denen bekannt ist, dass sie kompromittiert oder veröffentlicht wurden. Diese Passwörter stammen aus drei Hauptquellen:

  • Öffentlich verfügbare Listen mit kompromittierten Passwörtern aus seriösen Quellen wie Haveibeenpwned
  • Passwörter aus unseren Honeypot-Systemen, die Passwörter aus Credential Stuffing, Password Spraying und Brute-Force-Angriffen auslesen. So können wir Passwörter sammeln, die bei aktuellen und echten Angriffen auf die Systeme unserer Kunden verwendet werden könnten.
  • Durch Malware gestohlene Informationen aus unserem Threat Intelligence Team

Besonders interessant ist dabei die dritte Quelle (Threat Intelligence), denn sie enthält Kennwörter, die von tatsächlichen Personen gestohlen wurden und die Sie in öffentlichen Listen kaum finden werden. Im Folgenden erläutern wir, wie unser Team Bedrohungsinformationen nutzt, um kompromittierte Zugangsdaten zu finden, und wie dadurch die Active Directories unserer Kunden vor kennwortbasierten Angriffen geschützt werden können.

Specops Password Auditor Reports
Schlummern gestohlene Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Wie finden wir mithilfe von Threat Intelligence gestohlene Zugangsdaten?

Outpost24 (die Muttergesellschaft von Specops) verfügt über ein Team von Threat-Intelligence-Analysten namens KrakenLabs. Dieses Team durchsucht kontinuierlich das Open-, Deep- und Dark-Web, um kundenrelevante Bedrohungsinformationen zu finden, wobei auch automatisierte Lösungen zum Einsatz kommen, um die Verarbeitungsgeschwindigkeit und die Reichweite der Analysen zu erhöhen. Diese Daten werden vom Team aufbereitet und in einer modularen Lösung (dem Outpost24 Threat Compass) zur Verfügung gestellt. Auf diese Weise können Kunden externe Gefahren aufdecken und proaktiv reagieren, um ihr Cyber-Risiko zu reduzieren. Darüber hinaus fließen auch wertvolle Informationen in Form von durch Malware gestohlenen Anmeldedaten in die Arbeit des Specops-Teams ein.

KrakenLabs haben sich in mehrere Netzwerke eingeschleust, wo sie die gestohlenen Daten abfangen können. Neben anderen Informationen werden auch die von Infostealer-Malware erbeuteten Passwörter gesammelt. Darüber hinaus stehen die Analysten in Kontakt mit Insidern, die wertvolle Informationen, wie z. B. Listen mit kompromittierten Anmeldeinformationen, preisgeben. Infiltrierte Untergrundforen und Dark-Net-Organisationen, zum Beispiel Traffer-Gruppen, die Malware nutzen, um Anmeldedaten zu sammeln und diese mit Profit verkaufen, helfen beim Zusammentragen von Informationen.

Es gibt auch einige Methoden, die wir in diesem Beitrag nicht vorstellen können: Das Wissen unseres Teams über das Innenleben von Malware, kriminellen Organisationen und den von ihnen genutzten Infrastrukturen hat es ihnen ermöglicht, geheime und patentierte Methoden zum Sammeln von Zugangsdaten und zur Informationsbeschaffung zu entwickeln.

Wie helfen diese Informationen den Kunden von Specops beim Schutz ihrer Passwörter?

Bei den Passwörtern, die unser Threat-Intelligence-Team aufspürt, handelt es sich um reale Anmeldedaten, die zum Zeitpunkt des Diebstahls von realen Personen aktiv genutzt wurden. Dies unterscheidet sie von Passwörtern, die in Wortlisten oder Wörterbüchern gefunden werden, die vielleicht durch Algorithmen generiert wurden oder auf früheren und wahrscheinlich veralteten Daten basieren. Hier handelt es sich um tatsächlich genutzte Passwörter. Die Aktualität und Echtheit dieser Zugangsdaten trägt dazu bei, eine umfangreichere und aktuelle Datenbank zu erstellen, die unseren Specops Password Policy Kunden einen zusätzlichen Sicherheitsnutzen bietet.

Specops Password Policy mit Breached Password Protection ermöglicht es Unternehmen, ihr Active Directory kontinuierlich auf über 4 Milliarden kompromittierte Passwörter zu scannen. Besonders wichtig ist die kontinuierliche Überprüfung aller Active Directory Passwörter mit der Breached Password Protection API, sodass neu entdeckte, kompromittierte Passwörter auch sofort in Ihrem Active Directory aufgespürt werden. Denn die API wird täglich durch neue kompromittierte Passwörter aus unserem Honeypot-System, Datenleaks und von Malware gestohlene Zugangsdaten aus den KrakenLabs aktualisiert.

Eine kontinuierliche Überprüfung Ihres Active Directory mit Specops Password Policy

Wird festgestellt, dass ein Nutzer ein kompromittiertes Passwort verwendet, wird er benachrichtigt und zur Änderung gezwungen. Dadurch wird die Gefahr durch kompromittierte Passwörter als einfache Angriffsmöglichkeit für Hacker auf Ihr Unternehmen minimiert.
Möchten Sie testen, ob Specops Password Policy auch einen Mehrwert für Ihre Cybersecurity-Maßnahmen bieten kann? Gerne beraten wir Sie zu den nächsten Schritten.

NIST 800 Anforderungen an Passwortsicherheit
Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenloses Assessment vereinbaren!

(Zuletzt aktualisiert am 23/10/2024)

Zurück zum Blog