Kritisch: Identitätsbasierte Angriffe

Kritisch: Identitätsbasierte Angriffe

Beitrag teilen

Identitätsbasierte Angriffe zählen heute zu einer der größten Bedrohungen für die IT-Sicherheit, da moderne hybride Unternehmensnetzwerke Cyberkriminellen zahlreiche Einfallstore bieten. Ein Kommentar von Martin Kulendik, Regional Sales Director DACH bei Silverfort.

Hacker verschaffen sich beispielsweise mit gekaperten Konten einen Erstzugang über SaaS-Apps und IaaS in der Public Cloud oder dringen über kompromittierte VPN- oder Remote Desktop Protocol (RDP)-Verbindungen in den Unternehmensperimeter ein. Anschließend können Hacker ihre Angriffe über kompromittierte Anmeldeinformationen von einer Maschine zur nächsten fortsetzen. Lateral Movement dieser Art tritt sowohl bei Advanced Persistent Threats (APT) als auch bei automatisierter Malware- oder Ransomware-Verbreitung auf.

Schwächen bei Identitätssicherheitslösungen

Die hohen Erfolgsraten dieser Angriffe, entweder in Form von Account-Takeover, bösartigem Fernzugriff oder Lateral Movement, offenbaren inhärente Schwächen, die in heutigen Identitätssicherheitslösungen und -praktiken vorherrschen. Dieser Beitrag erläutert die Gründe hierfür und stellt ein neues Sicherheitskonzept für den ganzeinheitlichen Schutz von Identitäten vor, mit dem Unternehmen die bestehenden Lücken in ihrer Identitätssicherheit schließen und wieder die Oberhand gegen identitätsbasierte Angriffe gewinnen können.

Kritische Lücken in der traditionellen Identitätssicherheit

Die Identitätssicherheit heutiger Unternehmen hat sowohl Defizite bei der Erkennung, ob eine Benutzerauthentifizierung ein Risiko darstellt, als auch bei der Verhinderung bösartiger Authentifizierungsversuche. Die Erkennungslücke rührt daher, dass Unternehmen heute mehrere Identitäts- und Zugriffsmanagement-Lösungen (IAM) im gesamten hybriden Netzwerk verwenden. Ein typisches Unternehmen implementiert mindestens ein lokales Verzeichnis wie Active Directory, einen Cloud Identity Provider (IdP) für moderne Webanwendungen, ein VPN für den Remote-Netzwerkzugriff sowie eine Privileged Access Management-Lösung (PAM) für die Verwaltung privilegierter Zugriffe.

Meist fehlt jedoch eine einzelne, einheitliche Lösung, die alle Authentifizierungsaktivitäten des Benutzers über alle Ressourcen und Umgebungen hinweg überwacht und analysiert. Dies schränkt die Fähigkeit erheblich ein, den vollständigen Kontext jedes Zugriffsversuchs zu verstehen und Anomalien zu erkennen, die auf ein riskantes Verhalten oder die böswillige Verwendung kompromittierter Anmeldeinformationen hinweisen.

IAM-Sicherheitskontrollen wie MFA reicht nicht aus

Die Präventionslücke resultiert aus der Tatsache, dass wesentliche IAM-Sicherheitskontrollen wie Multi-Faktor-Authentifizierung (MFA), risikobasierte Authentifizierung (RBA) und Conditional Access Enforcement nicht alle Unternehmensressourcen abdecken und somit kritische Sicherheitslücken hinterlassen. Infolgedessen bleiben viele Assets und Ressourcen ungeschützt: Darunter proprietäre und selbst entwickelte Anwendungen, IT-Infrastruktur, Datenbanken, File Shares, Command-Line-Tools, Industriesysteme und viele andere sensible Assets, die zum Hauptziel für Angreifer werden können. Diese Assets verlassen sich nach wie vor auf passwortbasierte Mechanismen und Legacy-Protokolle, die von den heutigen agenten- oder proxybasierten Lösungen nicht geschützt werden können. Dies liegt daran, dass die meisten IAM-Sicherheitslösungen nicht in der Lage sind, sich mit ihnen zu integrieren, oder ihre Protokolle nicht unterstützen.

Betrachtet man all die verschiedenen Assets in einem hybriden Unternehmensnetzwerk und all die möglichen Zugriffswege zu jedem einzelnen von ihnen, wird klar, dass es nicht ausreicht, nur ein paar dieser Assets zu schützen. Denn jedes ungeschützte System hinterlässt ein mögliches Einfallstor für Angreifer. Alle Unternehmenssysteme einzeln zu schützen, indem Software-Agenten, Proxys und Software Developer Kits (SDK) implementiert werden, ist jedoch nicht mehr realistisch. Deshalb bieten die derzeitigen IAM-Sicherheitslösungen keine effektive Möglichkeit, die Verwendung kompromittierter Anmeldeinformationen für böswillige Zugriffe und laterale Bewegungen effektiv zu verhindern.

Unified Identity Protection

Einheitlicher Identitätsschutz zur Schließung von Sicherheitslücken

Um identitätsbasierten Bedrohungsvektoren zu begegnen und die oben genannten Erkennungs- und Präventionslücken zu schließen, sollte der Sicherheitsansatz für einen ganzeinheitlichen Schutz von Identitäten (Unified Identity Protection) auf den folgenden drei Grundsäulen aufbauen:

1. Kontinuierliche, einheitliche Überwachung aller Zugriffsanfragen

Für vollständige Transparenz und genaue Risikoanalyse ist eine kontinuierliche, ganzheitliche Überwachung aller Zugriffsanfragen über alle Authentifizierungsprotokolle (sowohl von User-to-Machine- als auch von Machine-to-Machine-Zugriffen) und über alle Ressourcen und Umgebungen hinweg erforderlich. Dies umfasst jeden Zugriffsversuch, ob auf Endpunkte, Cloud-Workloads, SaaS-Anwendungen, On-Prem-Dateiserver, Legacy-Geschäftsanwendungen oder andere Ressourcen.

Alle Überwachungsdaten sollten in einem einheitlichen Repository aggregiert werden, um weitere Analysen zu ermöglichen. Ein solches Repository kann Unternehmen dabei helfen, das inhärente Problem der IAM-Silos zu überwinden und die Erkennung und Analyse von Bedrohungen zu ermöglichen.

2. Risikoanalyse in Echtzeit für jeden einzelnen Zugriffsversuch

Martin Kulendik, Regional Sales Director DACH bei Silverfort (Foto: Silverfort).

Um Bedrohungen effektiv zu erkennen und darauf zu reagieren, muss jede Zugriffsanfrage analysiert werden, um ihren Kontext zu verstehen – und zwar in Echtzeit. Dies erfordert die Fähigkeit, das gesamte Verhalten des Benutzers zu analysieren: das heißt, alle Authentifizierungen, die der Benutzer in einem Netzwerk, einer Cloud- oder On-Premises-Ressource durchführt – und zwar nicht nur bei der ersten Netzwerkanmeldung, sondern auch bei allen weiteren Anmeldungen innerhalb dieser Umgebungen. Dies ermöglicht eine hochpräzise Risikoanalyse in Echtzeit, die den nötigen Kontext liefert, um festzustellen, ob die bereitgestellten Anmeldeinformationen kompromittiert sein könnten.

3. Durchsetzung adaptiver Authentifizierungs- und Zugriffsrichtlinien bei allen Zugriffsversuchen

Um einen Echtzeitschutz durchzusetzen, müssen Sicherheitskontrollen wie MFA, risikobasierte Authentifizierung und Conditional Access auf alle Unternehmensressourcen in allen Umgebungen ausgeweitet werden. Wie bereits erläutert, ist es nicht praktikabel, Schutzmaßnahmen systemweise zu implementieren. Das liegt zum einen an der dynamischen Natur moderner Umgebungen, die dies zu einer nie endenden Aufgabe macht; zum anderen an der Tatsache, dass viele Assets von den bestehenden IAM-Sicherheitslösungen einfach nicht abgedeckt werden.

Um wirklich umfassenden und einheitlichen Schutz zu erreichen, benötigt es deshalb eine Technologie, die diese Kontrollen durchsetzt, ohne dass eine direkte Integration mit jedem der verschiedenen Geräte, Server und Anwendungen erforderlich ist und ohne massive Architekturänderungen.

Integration von Unified Identity Protection in bestehende IAM-Lösungen

Eine Unified-Identity-Protection-Lösung konsolidiert die IAM-Sicherheitskontrollen und dehnt sie auf alle Benutzer, Assets und Umgebungen des Unternehmens aus. Durch eine neuartige agenten- und proxylose Architektur kann diese Technologie alle Zugriffsanfragen von Benutzern und Service-Accounts über alle Assets und Umgebungen hinweg überwachen und hochpräzise risikobasierte Analyse-, Conditional-Access- und Multi-Faktor-Authentifizierungsrichtlinien erweitern, um alle Ressourcen in der hybriden Unternehmensumgebung abzudecken. Die Schutzmaßnahmen können dabei auch auf Assets ausgeweitet werden, die zuvor nicht geschützt werden konnten. Hierzu zählen zum Beispiel selbstentwickelte Applikationen und Legacy-Anwendungen, kritische Infrastruktur, Dateisysteme, Datenbanken und Admin-Zugriffs-Tools wie PsExec, die es Angreifern derzeit ermöglichen, agentenbasierte MFA zu umgehen.

Es ist wichtig, klarzustellen, dass Unified Identity Protection bestehende IAM-Lösungen nicht ersetzt. Stattdessen konsolidiert diese Technologie deren Sicherheitsfunktionen und erweitert deren Abdeckung auf alle Assets, einschließlich jener, die nicht nativ durch IAM-Lösungen unterstützt werden. So ist sichergestellt, dass Unternehmen alle ihre Ressourcen über alle Umgebungen hinweg mit einheitlichen Richtlinien und Transparenz verwalten und schützen können, um den zahlreichen identitätsbasierten Angriffsvektoren effektiv zu begegnen.

Mehr bei Silverfort.com

 


Über Silverfort

Silverfort ist Anbieter der ersten Unified Identity Protection Platform, die IAM-Sicherheitskontrollen in Unternehmensnetzwerken und Cloud-Umgebungen konsolidiert, um identitätsbasierte Angriffe abzuwehren. Durch den Einsatz innovativer agenten- und proxyloser Technologie integriert sich Silverfort nahtlos in alle IAM-Lösungen, vereinheitlicht deren Risikoanalyse und Sicherheitskontrollen und erweitert deren Abdeckung auf Assets, die bisher nicht geschützt werden konnten, wie zum Beispiel selbstentwickelter und Legacy-Applikationen, IT-Infrastruktur, Dateisysteme, Command-Line-Tools, Machine-to-Machine-Zugriffe und mehr. Das Unternehmen wurde von Gartner als „Cool Vendor“, von 451 Research als „FireStarter“ und von CNBC als „Upstart 100“ ausgezeichnet.


 

Passende Artikel zum Thema

Risikomanagement App für Microsoft 365

Die Risikomanagement App Cockpit ist eine fertige Plug & Play-Lösung, die über Desktop oder Smartphone bedient werden kann. Sie identifiziert, ➡ Weiterlesen

1 Mill. Euro Preisgelder für 58 Zero-Day-Schwachstellen

Trend Micros Zero Day Initiative (ZDI) vergibt Preisgelder an ethische Hacker für das Aufdecken von Schwachstellen beim Pwn2Own Hacking-Wettbewerb. Für ➡ Weiterlesen

CSaaS: Studie zu Cyber Security as a Service 

Unternehmen stärken sich zunehmend mit externer Expertise. So zeigt die aktuelle Studie, dass 46 Prozent der Unternehmen bereits auf Cyber ➡ Weiterlesen

Proaktiv: Investitionen in IT-Sicherheit als Geschäftsstrategie

IT-Sicherheit ist nicht nur eine Investition, die den Schutz der Unternehmenswerte gewährleistet. Sie schafft auch einen erheblichen Mehrwert für Kunden ➡ Weiterlesen

Höchste Verschlüsselung mit Quantencomputer geknackt?

Die aktuell höchste Verschlüsselung ist der RSA-2048-Schlüssel. Diesen will nun der Forscher Ed Gerck Ph.D, Physiker und Mathematiker, mit einem ➡ Weiterlesen

Passende Datensicherheit in der Industrie

Datensicherheit und Backups für Unternehmen sind theoretisch einfach zu gewährleisten, aber wie funktioniert das in Wirklichkeit? Die aktuelle Fallstudie zeigt ➡ Weiterlesen

Cyber-Resilienz: Trotz Angst vor Angriffen ungenügend vorbereitet

In einer Studie haben sich Führungskräfte aus den Bereichen Sicherheit und IT-Betrieb zur Cyber-Resilienz in ihrem Unternehmen geäußert. Die Mehrzahl ➡ Weiterlesen

Hacken lernen, um Angriffe zu verhindern

"Ethische Hacker" hacken sich in Unternehmensnetzwerke, um Sicherheitslücken zu identifizieren bevor Angreifer sie finden. In einem Kurs lässt sich das ➡ Weiterlesen