>_AYSOLI SECURITY HUB
THREAT AREA

Internal Admin Portals

Interne Administrations-Werkzeuge sind oft weniger gesichert als öffentliche Portale, bieten Angreifern aber die weitreichendsten Möglichkeiten zur vollständigen Systemübernahme.

Deine Strategie

Behandle interne Tools mit maximaler Strenge. Erzwinge eine granulare Rollenverteilung (RBAC), sodass kein Administrator mehr Rechte hat als für seine spezifische Aufgabe notwendig. Isoliere den Zugriff über verwaltete Admin-Geräte (PAW).

Best Practices

  • Authentifizierung: Erzwinge FIDO2-Sicherheitsschlüssel für alle administrativen Logins.
  • Sichtbarkeit: Protokolliere jede Änderung an Benutzerrechten oder Systemkonfigurationen im SIEM.
  • Netzwerk: Admin-Portale dürfen niemals ohne ZTNA oder VPN aus dem Internet erreichbar sein.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-01

Data Tampering

Unbefugte Änderung von geteilten Daten oder Konfigurationen.

RepudiationR-ADM-01

Audit Log Erasure

Gezieltes Löschen von Spuren administrativer Aktionen.

Information DisclosureI-01

Sensitive Data Exposure

Unbeabsichtigte Offenlegung von internen Informationen an Externe.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-API-01

Broken Function Level Authorization

Zugriff auf administrative API-Endpunkte durch reguläre Partner.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-ADM-01

Stealthy Persistence

Unbemerkte Hintertüren durch Admin-Rechte.

MITRE ATT&CK® Techniken

Reconnaissance
T1592

Gather Victim Digital Network Information

ATT&CK

Sammeln von Informationen über die Ziel-Infrastruktur.

Mitigiert durch
Data Anonymization (Differential Privacy)Erweiterter SchutzHoch
NIST: PR.PT-3
Initial Access
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Fine-Grained RBAC / ABACGrundschutzMittel
CIS: 6.2OWASP: A01:2021
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Tiered Administration ModelErweiterter SchutzHoch
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
T1484

Domain Policy Modification

ATT&CK

Ändern von Domänen-Richtlinien zur Rechteausweitung.

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Break-Glass AccountsGrundschutzNiedrig
CIS: 6.5NIST: PR.IP-4
Privilege Escalation
T1548

Abuse Elevation Control Mechanism

ATT&CK

Umgehung von Mechanismen zur Rechteausweitung (z.B. UAC).

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Fine-Grained RBAC / ABACGrundschutzMittel
CIS: 6.2OWASP: A01:2021
Tiered Administration ModelErweiterter SchutzHoch
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Defense Evasion
T1070

Indicator Removal

ATT&CK

Gezieltes Löschen von Logs und Beweisen zur Verschleierung eines Angriffs.

Mitigiert durch
PowerShell Constrained Language ModeErweiterter SchutzMittel
CIS: 2.1NIST: PR.PT-1
Credential Access
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
T1003

OS Credential Dumping

ATT&CK

Extrahieren von Anmeldedaten aus dem Betriebssystem.

Mitigiert durch
Privileged Access Workstation (PAW)Erweiterter SchutzHoch
CIS: 6.4NIST: PR.AC-3
Discovery
T1087

Account Discovery

ATT&CK

Aufzählung interner Konten und Gruppenstrukturen nach erstem Zugriff.

Mitigiert durch
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Tiered Administration ModelErweiterter SchutzHoch
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
T1580

Shadow IT Asset Discovery

ATT&CK

Finden von unmanaged Ressourcen im Netzwerk.

Mitigiert durch
Tiered Administration ModelErweiterter SchutzHoch
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Lateral Movement
T1021

Remote Services

ATT&CK

Nutzung legitimer Remote-Dienste für laterale Bewegung im Netzwerk.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Tiered Administration ModelErweiterter SchutzHoch
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Collection
T1213

Data from Information Repositories

ATT&CK

Abgreifen von Daten aus Wissensdatenbanken (SharePoint, Confluence).

Mitigiert durch
Fine-Grained RBAC / ABACGrundschutzMittel
CIS: 6.2OWASP: A01:2021

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch