Kritisch: Identitätsbasierte Angriffe

Kritisch: Identitätsbasierte Angriffe
Anzeige

Beitrag teilen

Identitätsbasierte Angriffe zählen heute zu einer der größten Bedrohungen für die IT-Sicherheit, da moderne hybride Unternehmensnetzwerke Cyberkriminellen zahlreiche Einfallstore bieten. Ein Kommentar von Martin Kulendik, Regional Sales Director DACH bei Silverfort.

Hacker verschaffen sich beispielsweise mit gekaperten Konten einen Erstzugang über SaaS-Apps und IaaS in der Public Cloud oder dringen über kompromittierte VPN- oder Remote Desktop Protocol (RDP)-Verbindungen in den Unternehmensperimeter ein. Anschließend können Hacker ihre Angriffe über kompromittierte Anmeldeinformationen von einer Maschine zur nächsten fortsetzen. Lateral Movement dieser Art tritt sowohl bei Advanced Persistent Threats (APT) als auch bei automatisierter Malware- oder Ransomware-Verbreitung auf.

Anzeige

Schwächen bei Identitätssicherheitslösungen

Die hohen Erfolgsraten dieser Angriffe, entweder in Form von Account-Takeover, bösartigem Fernzugriff oder Lateral Movement, offenbaren inhärente Schwächen, die in heutigen Identitätssicherheitslösungen und -praktiken vorherrschen. Dieser Beitrag erläutert die Gründe hierfür und stellt ein neues Sicherheitskonzept für den ganzeinheitlichen Schutz von Identitäten vor, mit dem Unternehmen die bestehenden Lücken in ihrer Identitätssicherheit schließen und wieder die Oberhand gegen identitätsbasierte Angriffe gewinnen können.

Kritische Lücken in der traditionellen Identitätssicherheit

Die Identitätssicherheit heutiger Unternehmen hat sowohl Defizite bei der Erkennung, ob eine Benutzerauthentifizierung ein Risiko darstellt, als auch bei der Verhinderung bösartiger Authentifizierungsversuche. Die Erkennungslücke rührt daher, dass Unternehmen heute mehrere Identitäts- und Zugriffsmanagement-Lösungen (IAM) im gesamten hybriden Netzwerk verwenden. Ein typisches Unternehmen implementiert mindestens ein lokales Verzeichnis wie Active Directory, einen Cloud Identity Provider (IdP) für moderne Webanwendungen, ein VPN für den Remote-Netzwerkzugriff sowie eine Privileged Access Management-Lösung (PAM) für die Verwaltung privilegierter Zugriffe.

Anzeige

Meist fehlt jedoch eine einzelne, einheitliche Lösung, die alle Authentifizierungsaktivitäten des Benutzers über alle Ressourcen und Umgebungen hinweg überwacht und analysiert. Dies schränkt die Fähigkeit erheblich ein, den vollständigen Kontext jedes Zugriffsversuchs zu verstehen und Anomalien zu erkennen, die auf ein riskantes Verhalten oder die böswillige Verwendung kompromittierter Anmeldeinformationen hinweisen.

IAM-Sicherheitskontrollen wie MFA reicht nicht aus

Die Präventionslücke resultiert aus der Tatsache, dass wesentliche IAM-Sicherheitskontrollen wie Multi-Faktor-Authentifizierung (MFA), risikobasierte Authentifizierung (RBA) und Conditional Access Enforcement nicht alle Unternehmensressourcen abdecken und somit kritische Sicherheitslücken hinterlassen. Infolgedessen bleiben viele Assets und Ressourcen ungeschützt: Darunter proprietäre und selbst entwickelte Anwendungen, IT-Infrastruktur, Datenbanken, File Shares, Command-Line-Tools, Industriesysteme und viele andere sensible Assets, die zum Hauptziel für Angreifer werden können. Diese Assets verlassen sich nach wie vor auf passwortbasierte Mechanismen und Legacy-Protokolle, die von den heutigen agenten- oder proxybasierten Lösungen nicht geschützt werden können. Dies liegt daran, dass die meisten IAM-Sicherheitslösungen nicht in der Lage sind, sich mit ihnen zu integrieren, oder ihre Protokolle nicht unterstützen.

Betrachtet man all die verschiedenen Assets in einem hybriden Unternehmensnetzwerk und all die möglichen Zugriffswege zu jedem einzelnen von ihnen, wird klar, dass es nicht ausreicht, nur ein paar dieser Assets zu schützen. Denn jedes ungeschützte System hinterlässt ein mögliches Einfallstor für Angreifer. Alle Unternehmenssysteme einzeln zu schützen, indem Software-Agenten, Proxys und Software Developer Kits (SDK) implementiert werden, ist jedoch nicht mehr realistisch. Deshalb bieten die derzeitigen IAM-Sicherheitslösungen keine effektive Möglichkeit, die Verwendung kompromittierter Anmeldeinformationen für böswillige Zugriffe und laterale Bewegungen effektiv zu verhindern.

Unified Identity Protection

Einheitlicher Identitätsschutz zur Schließung von Sicherheitslücken

Um identitätsbasierten Bedrohungsvektoren zu begegnen und die oben genannten Erkennungs- und Präventionslücken zu schließen, sollte der Sicherheitsansatz für einen ganzeinheitlichen Schutz von Identitäten (Unified Identity Protection) auf den folgenden drei Grundsäulen aufbauen:

1. Kontinuierliche, einheitliche Überwachung aller Zugriffsanfragen

Für vollständige Transparenz und genaue Risikoanalyse ist eine kontinuierliche, ganzheitliche Überwachung aller Zugriffsanfragen über alle Authentifizierungsprotokolle (sowohl von User-to-Machine- als auch von Machine-to-Machine-Zugriffen) und über alle Ressourcen und Umgebungen hinweg erforderlich. Dies umfasst jeden Zugriffsversuch, ob auf Endpunkte, Cloud-Workloads, SaaS-Anwendungen, On-Prem-Dateiserver, Legacy-Geschäftsanwendungen oder andere Ressourcen.

Alle Überwachungsdaten sollten in einem einheitlichen Repository aggregiert werden, um weitere Analysen zu ermöglichen. Ein solches Repository kann Unternehmen dabei helfen, das inhärente Problem der IAM-Silos zu überwinden und die Erkennung und Analyse von Bedrohungen zu ermöglichen.

2. Risikoanalyse in Echtzeit für jeden einzelnen Zugriffsversuch

Martin Kulendik, Regional Sales Director DACH bei Silverfort (Foto: Silverfort).

Um Bedrohungen effektiv zu erkennen und darauf zu reagieren, muss jede Zugriffsanfrage analysiert werden, um ihren Kontext zu verstehen – und zwar in Echtzeit. Dies erfordert die Fähigkeit, das gesamte Verhalten des Benutzers zu analysieren: das heißt, alle Authentifizierungen, die der Benutzer in einem Netzwerk, einer Cloud- oder On-Premises-Ressource durchführt – und zwar nicht nur bei der ersten Netzwerkanmeldung, sondern auch bei allen weiteren Anmeldungen innerhalb dieser Umgebungen. Dies ermöglicht eine hochpräzise Risikoanalyse in Echtzeit, die den nötigen Kontext liefert, um festzustellen, ob die bereitgestellten Anmeldeinformationen kompromittiert sein könnten.

3. Durchsetzung adaptiver Authentifizierungs- und Zugriffsrichtlinien bei allen Zugriffsversuchen

Um einen Echtzeitschutz durchzusetzen, müssen Sicherheitskontrollen wie MFA, risikobasierte Authentifizierung und Conditional Access auf alle Unternehmensressourcen in allen Umgebungen ausgeweitet werden. Wie bereits erläutert, ist es nicht praktikabel, Schutzmaßnahmen systemweise zu implementieren. Das liegt zum einen an der dynamischen Natur moderner Umgebungen, die dies zu einer nie endenden Aufgabe macht; zum anderen an der Tatsache, dass viele Assets von den bestehenden IAM-Sicherheitslösungen einfach nicht abgedeckt werden.

Um wirklich umfassenden und einheitlichen Schutz zu erreichen, benötigt es deshalb eine Technologie, die diese Kontrollen durchsetzt, ohne dass eine direkte Integration mit jedem der verschiedenen Geräte, Server und Anwendungen erforderlich ist und ohne massive Architekturänderungen.

Integration von Unified Identity Protection in bestehende IAM-Lösungen

Eine Unified-Identity-Protection-Lösung konsolidiert die IAM-Sicherheitskontrollen und dehnt sie auf alle Benutzer, Assets und Umgebungen des Unternehmens aus. Durch eine neuartige agenten- und proxylose Architektur kann diese Technologie alle Zugriffsanfragen von Benutzern und Service-Accounts über alle Assets und Umgebungen hinweg überwachen und hochpräzise risikobasierte Analyse-, Conditional-Access- und Multi-Faktor-Authentifizierungsrichtlinien erweitern, um alle Ressourcen in der hybriden Unternehmensumgebung abzudecken. Die Schutzmaßnahmen können dabei auch auf Assets ausgeweitet werden, die zuvor nicht geschützt werden konnten. Hierzu zählen zum Beispiel selbstentwickelte Applikationen und Legacy-Anwendungen, kritische Infrastruktur, Dateisysteme, Datenbanken und Admin-Zugriffs-Tools wie PsExec, die es Angreifern derzeit ermöglichen, agentenbasierte MFA zu umgehen.

Es ist wichtig, klarzustellen, dass Unified Identity Protection bestehende IAM-Lösungen nicht ersetzt. Stattdessen konsolidiert diese Technologie deren Sicherheitsfunktionen und erweitert deren Abdeckung auf alle Assets, einschließlich jener, die nicht nativ durch IAM-Lösungen unterstützt werden. So ist sichergestellt, dass Unternehmen alle ihre Ressourcen über alle Umgebungen hinweg mit einheitlichen Richtlinien und Transparenz verwalten und schützen können, um den zahlreichen identitätsbasierten Angriffsvektoren effektiv zu begegnen.

Mehr bei Silverfort.com

 


Über Silverfort

Silverfort ist Anbieter der ersten Unified Identity Protection Platform, die IAM-Sicherheitskontrollen in Unternehmensnetzwerken und Cloud-Umgebungen konsolidiert, um identitätsbasierte Angriffe abzuwehren. Durch den Einsatz innovativer agenten- und proxyloser Technologie integriert sich Silverfort nahtlos in alle IAM-Lösungen, vereinheitlicht deren Risikoanalyse und Sicherheitskontrollen und erweitert deren Abdeckung auf Assets, die bisher nicht geschützt werden konnten, wie zum Beispiel selbstentwickelter und Legacy-Applikationen, IT-Infrastruktur, Dateisysteme, Command-Line-Tools, Machine-to-Machine-Zugriffe und mehr. Das Unternehmen wurde von Gartner als „Cool Vendor“, von 451 Research als „FireStarter“ und von CNBC als „Upstart 100“ ausgezeichnet.


 

Passende Artikel zum Thema

Identitätsbasierte Angriffe in Echtzeit abwehren

Identitätsbasierte Angriffe, die kompromittierte Anmeldedaten missbrauchen, um auf Ressourcen zuzugreifen, sind ein blinder Fleck in der Sicherheitsabwehr von Unternehmen. So ➡ Weiterlesen

Nutzerkonten: Versteckte Gefahr durch Schatten-Administratoren

Konten von Schatten-Administratoren sind Benutzerkonten mit zu hohen Berechtigungen, die versehentlich zugewiesen wurden. Kompromittiert ein Hacker ein Schatten-Admin-Konto, stellt dies ➡ Weiterlesen

Neuer Zero-Trust-Ansatz auf Identitätsebene

Zero Trust ist mittlerweile zu einer der wichtigsten Security-Modelle geworden. Das Konzept ist einfach und intuitiv: Implizites Vertrauen ist an ➡ Weiterlesen

Ransomware-Verbreitung: Der blinde Fleck in der Security

Neuer Identity-Protection-Ansatz verhindert kritische Sicherheitslücke durch Ransomware. Beinahe kein Unternehmen ist jedoch in der Lage, die automatisierte Ausbreitung der Ransomware-Nutzlast ➡ Weiterlesen

Multi-Faktor-Authentifizierung: Mehrfachschutz gegen Hacker

Die hohe Zahl an Angriffen, bei denen kompromittierte Anmeldedaten missbraucht werden, zeigt, dass Passwörter allein nicht mehr als vertrauenswürdige Identifikation ➡ Weiterlesen

Wenn gefährliche Home-Office-Geräte ins Büro zurückkehren

Während die Impfkampagne gegen COVID-19 weiter voranschreitet, sollten sich Unternehmen Gedanken darüber machen, wie sich eine mögliche massenhafte Rückkehr von ➡ Weiterlesen

Einheitliche Risikoanalyse von Authentifizierungsversuchen

Silverfort und Ping Identity setzen gemeinsam auf einheitliche Risikoanalyse von Authentifizierungsversuchen. Produktintegration bietet umfassende Sichtbarkeit und Bewertung von Zugriffsaktivitäten und ermöglicht ➡ Weiterlesen

Identitäts- und Zugriffsmanagements für Azure Active Directory

Silverfort Unified Identity Protection Platform für Microsoft Azure Active Directory. Die Plattform ermöglicht Unternehmen nun die Zentralisierung des Identitäts- und Zugriffsmanagements ➡ Weiterlesen