Kritisch: Identitätsbasierte Angriffe

Kritisch: Identitätsbasierte Angriffe

Beitrag teilen

Identitätsbasierte Angriffe zählen heute zu einer der größten Bedrohungen für die IT-Sicherheit, da moderne hybride Unternehmensnetzwerke Cyberkriminellen zahlreiche Einfallstore bieten. Ein Kommentar von Martin Kulendik, Regional Sales Director DACH bei Silverfort.

Hacker verschaffen sich beispielsweise mit gekaperten Konten einen Erstzugang über SaaS-Apps und IaaS in der Public Cloud oder dringen über kompromittierte VPN- oder Remote Desktop Protocol (RDP)-Verbindungen in den Unternehmensperimeter ein. Anschließend können Hacker ihre Angriffe über kompromittierte Anmeldeinformationen von einer Maschine zur nächsten fortsetzen. Lateral Movement dieser Art tritt sowohl bei Advanced Persistent Threats (APT) als auch bei automatisierter Malware- oder Ransomware-Verbreitung auf.

Schwächen bei Identitätssicherheitslösungen

Die hohen Erfolgsraten dieser Angriffe, entweder in Form von Account-Takeover, bösartigem Fernzugriff oder Lateral Movement, offenbaren inhärente Schwächen, die in heutigen Identitätssicherheitslösungen und -praktiken vorherrschen. Dieser Beitrag erläutert die Gründe hierfür und stellt ein neues Sicherheitskonzept für den ganzeinheitlichen Schutz von Identitäten vor, mit dem Unternehmen die bestehenden Lücken in ihrer Identitätssicherheit schließen und wieder die Oberhand gegen identitätsbasierte Angriffe gewinnen können.

Kritische Lücken in der traditionellen Identitätssicherheit

Die Identitätssicherheit heutiger Unternehmen hat sowohl Defizite bei der Erkennung, ob eine Benutzerauthentifizierung ein Risiko darstellt, als auch bei der Verhinderung bösartiger Authentifizierungsversuche. Die Erkennungslücke rührt daher, dass Unternehmen heute mehrere Identitäts- und Zugriffsmanagement-Lösungen (IAM) im gesamten hybriden Netzwerk verwenden. Ein typisches Unternehmen implementiert mindestens ein lokales Verzeichnis wie Active Directory, einen Cloud Identity Provider (IdP) für moderne Webanwendungen, ein VPN für den Remote-Netzwerkzugriff sowie eine Privileged Access Management-Lösung (PAM) für die Verwaltung privilegierter Zugriffe.

Meist fehlt jedoch eine einzelne, einheitliche Lösung, die alle Authentifizierungsaktivitäten des Benutzers über alle Ressourcen und Umgebungen hinweg überwacht und analysiert. Dies schränkt die Fähigkeit erheblich ein, den vollständigen Kontext jedes Zugriffsversuchs zu verstehen und Anomalien zu erkennen, die auf ein riskantes Verhalten oder die böswillige Verwendung kompromittierter Anmeldeinformationen hinweisen.

IAM-Sicherheitskontrollen wie MFA reicht nicht aus

Die Präventionslücke resultiert aus der Tatsache, dass wesentliche IAM-Sicherheitskontrollen wie Multi-Faktor-Authentifizierung (MFA), risikobasierte Authentifizierung (RBA) und Conditional Access Enforcement nicht alle Unternehmensressourcen abdecken und somit kritische Sicherheitslücken hinterlassen. Infolgedessen bleiben viele Assets und Ressourcen ungeschützt: Darunter proprietäre und selbst entwickelte Anwendungen, IT-Infrastruktur, Datenbanken, File Shares, Command-Line-Tools, Industriesysteme und viele andere sensible Assets, die zum Hauptziel für Angreifer werden können. Diese Assets verlassen sich nach wie vor auf passwortbasierte Mechanismen und Legacy-Protokolle, die von den heutigen agenten- oder proxybasierten Lösungen nicht geschützt werden können. Dies liegt daran, dass die meisten IAM-Sicherheitslösungen nicht in der Lage sind, sich mit ihnen zu integrieren, oder ihre Protokolle nicht unterstützen.

Betrachtet man all die verschiedenen Assets in einem hybriden Unternehmensnetzwerk und all die möglichen Zugriffswege zu jedem einzelnen von ihnen, wird klar, dass es nicht ausreicht, nur ein paar dieser Assets zu schützen. Denn jedes ungeschützte System hinterlässt ein mögliches Einfallstor für Angreifer. Alle Unternehmenssysteme einzeln zu schützen, indem Software-Agenten, Proxys und Software Developer Kits (SDK) implementiert werden, ist jedoch nicht mehr realistisch. Deshalb bieten die derzeitigen IAM-Sicherheitslösungen keine effektive Möglichkeit, die Verwendung kompromittierter Anmeldeinformationen für böswillige Zugriffe und laterale Bewegungen effektiv zu verhindern.

Unified Identity Protection

Einheitlicher Identitätsschutz zur Schließung von Sicherheitslücken

Um identitätsbasierten Bedrohungsvektoren zu begegnen und die oben genannten Erkennungs- und Präventionslücken zu schließen, sollte der Sicherheitsansatz für einen ganzeinheitlichen Schutz von Identitäten (Unified Identity Protection) auf den folgenden drei Grundsäulen aufbauen:

1. Kontinuierliche, einheitliche Überwachung aller Zugriffsanfragen

Für vollständige Transparenz und genaue Risikoanalyse ist eine kontinuierliche, ganzheitliche Überwachung aller Zugriffsanfragen über alle Authentifizierungsprotokolle (sowohl von User-to-Machine- als auch von Machine-to-Machine-Zugriffen) und über alle Ressourcen und Umgebungen hinweg erforderlich. Dies umfasst jeden Zugriffsversuch, ob auf Endpunkte, Cloud-Workloads, SaaS-Anwendungen, On-Prem-Dateiserver, Legacy-Geschäftsanwendungen oder andere Ressourcen.

Alle Überwachungsdaten sollten in einem einheitlichen Repository aggregiert werden, um weitere Analysen zu ermöglichen. Ein solches Repository kann Unternehmen dabei helfen, das inhärente Problem der IAM-Silos zu überwinden und die Erkennung und Analyse von Bedrohungen zu ermöglichen.

2. Risikoanalyse in Echtzeit für jeden einzelnen Zugriffsversuch

Martin Kulendik, Regional Sales Director DACH bei Silverfort (Foto: Silverfort).

Um Bedrohungen effektiv zu erkennen und darauf zu reagieren, muss jede Zugriffsanfrage analysiert werden, um ihren Kontext zu verstehen – und zwar in Echtzeit. Dies erfordert die Fähigkeit, das gesamte Verhalten des Benutzers zu analysieren: das heißt, alle Authentifizierungen, die der Benutzer in einem Netzwerk, einer Cloud- oder On-Premises-Ressource durchführt – und zwar nicht nur bei der ersten Netzwerkanmeldung, sondern auch bei allen weiteren Anmeldungen innerhalb dieser Umgebungen. Dies ermöglicht eine hochpräzise Risikoanalyse in Echtzeit, die den nötigen Kontext liefert, um festzustellen, ob die bereitgestellten Anmeldeinformationen kompromittiert sein könnten.

3. Durchsetzung adaptiver Authentifizierungs- und Zugriffsrichtlinien bei allen Zugriffsversuchen

Um einen Echtzeitschutz durchzusetzen, müssen Sicherheitskontrollen wie MFA, risikobasierte Authentifizierung und Conditional Access auf alle Unternehmensressourcen in allen Umgebungen ausgeweitet werden. Wie bereits erläutert, ist es nicht praktikabel, Schutzmaßnahmen systemweise zu implementieren. Das liegt zum einen an der dynamischen Natur moderner Umgebungen, die dies zu einer nie endenden Aufgabe macht; zum anderen an der Tatsache, dass viele Assets von den bestehenden IAM-Sicherheitslösungen einfach nicht abgedeckt werden.

Um wirklich umfassenden und einheitlichen Schutz zu erreichen, benötigt es deshalb eine Technologie, die diese Kontrollen durchsetzt, ohne dass eine direkte Integration mit jedem der verschiedenen Geräte, Server und Anwendungen erforderlich ist und ohne massive Architekturänderungen.

Integration von Unified Identity Protection in bestehende IAM-Lösungen

Eine Unified-Identity-Protection-Lösung konsolidiert die IAM-Sicherheitskontrollen und dehnt sie auf alle Benutzer, Assets und Umgebungen des Unternehmens aus. Durch eine neuartige agenten- und proxylose Architektur kann diese Technologie alle Zugriffsanfragen von Benutzern und Service-Accounts über alle Assets und Umgebungen hinweg überwachen und hochpräzise risikobasierte Analyse-, Conditional-Access- und Multi-Faktor-Authentifizierungsrichtlinien erweitern, um alle Ressourcen in der hybriden Unternehmensumgebung abzudecken. Die Schutzmaßnahmen können dabei auch auf Assets ausgeweitet werden, die zuvor nicht geschützt werden konnten. Hierzu zählen zum Beispiel selbstentwickelte Applikationen und Legacy-Anwendungen, kritische Infrastruktur, Dateisysteme, Datenbanken und Admin-Zugriffs-Tools wie PsExec, die es Angreifern derzeit ermöglichen, agentenbasierte MFA zu umgehen.

Es ist wichtig, klarzustellen, dass Unified Identity Protection bestehende IAM-Lösungen nicht ersetzt. Stattdessen konsolidiert diese Technologie deren Sicherheitsfunktionen und erweitert deren Abdeckung auf alle Assets, einschließlich jener, die nicht nativ durch IAM-Lösungen unterstützt werden. So ist sichergestellt, dass Unternehmen alle ihre Ressourcen über alle Umgebungen hinweg mit einheitlichen Richtlinien und Transparenz verwalten und schützen können, um den zahlreichen identitätsbasierten Angriffsvektoren effektiv zu begegnen.

Mehr bei Silverfort.com

 


Über Silverfort

Silverfort ist Anbieter der ersten Unified Identity Protection Platform, die IAM-Sicherheitskontrollen in Unternehmensnetzwerken und Cloud-Umgebungen konsolidiert, um identitätsbasierte Angriffe abzuwehren. Durch den Einsatz innovativer agenten- und proxyloser Technologie integriert sich Silverfort nahtlos in alle IAM-Lösungen, vereinheitlicht deren Risikoanalyse und Sicherheitskontrollen und erweitert deren Abdeckung auf Assets, die bisher nicht geschützt werden konnten, wie zum Beispiel selbstentwickelter und Legacy-Applikationen, IT-Infrastruktur, Dateisysteme, Command-Line-Tools, Machine-to-Machine-Zugriffe und mehr. Das Unternehmen wurde von Gartner als „Cool Vendor“, von 451 Research als „FireStarter“ und von CNBC als „Upstart 100“ ausgezeichnet.


 

Passende Artikel zum Thema

Cyberresilienz: Führungsebene ist die Hauptantriebskraft

In einer neuen Studie zur Cyberresilienz gaben über 70 % der Befragten an, dass der Einfluss der Führungsebene ausschlaggebend sei. ➡ Weiterlesen

Cybersecurity-Plattform mit Schutz für 5G-Umgebungen

Cybersecurity-Spezialist Trend Micro stellt seinen plattformbasierten Ansatz zum Schutz der ständig wachsenden Angriffsfläche von Unternehmen vor, einschließlich der Absicherung von ➡ Weiterlesen

Datenmanipulation, die unterschätzte Gefahr

Jedes Jahr erinnert der World Backup Day am 31. März aufs Neue daran, wie wichtig eine aktuelle und leicht zugängliche ➡ Weiterlesen

Drucker als Sicherheitsrisiko

Die Flotte der Drucker von Unternehmen wird zunehmend zum blinden Fleck und birgt enorme Probleme für deren Effizienz und Sicherheit. ➡ Weiterlesen

Der AI Act und seine Folgen beim Datenschutz

Mit dem AI Act ist das erste Gesetz für KI abgesegnet und gibt Herstellern von KI-Anwendungen zwischen sechs Monaten und ➡ Weiterlesen

Windows Betriebssysteme: Fast zwei Millionen Rechner gefährdet

Für die Betriebssysteme Windows 7 und  8 gibt es keine Updates mehr. Das bedeutet offene Sicherheitslücken und damit lohnende und ➡ Weiterlesen

KI auf Enterprise Storage bekämpft Ransomware in Echtzeit

Als einer der ersten Anbieter integriert NetApp künstliche Intelligenz (KI) und maschinelles Lernen (ML) direkt in den Primärspeicher, um Ransomware ➡ Weiterlesen

DSPM-Produktsuite für Zero Trust Data Security

Data Security Posture Management – kurz DSPM – ist entscheidend für Unternehmen, um Cyber Resilience gegenüber der Vielzahl sich ständig ➡ Weiterlesen