Identitätsbasierte Angriffe zählen heute zu einer der größten Bedrohungen für die IT-Sicherheit, da moderne hybride Unternehmensnetzwerke Cyberkriminellen zahlreiche Einfallstore bieten. So verschaffen sich Hacker beispielsweise mit gekaperten Konten einen Erstzugang über SaaS-Apps und IaaS in der Public Cloud oder dringen über kompromittierte VPN- oder Remote Desktop Protocol (RDP)-Verbindungen in den Unternehmensperimeter ein. Anschließend können Hacker ihre Angriffe über kompromittierte Anmeldeinformationen von einer Maschine zur nächsten fortsetzen. Lateral Movement dieser Art tritt sowohl bei Advanced Persistent Threats (APT) als auch bei automatisierter Malware- oder Ransomware-Verbreitung auf.

Die hohen Erfolgsraten dieser Angriffe, entweder in Form von Account-Takeover, bösartigem Fernzugriff oder Lateral Movement, offenbaren inhärente Schwächen, die in heutigen Identitätssicherheitslösungen und Praktiken vorherrschen. Dieser Beitrag erläutert die Gründe hierfür und stellt ein neues Sicherheitskonzept für den ganzheitlichen Schutz von Identitäten vor, mit dem Unternehmen die bestehenden Lücken in ihrer Identitätssicherheit schließen und wieder die Oberhand gegen identitätsbasierte Angriffe gewinnen können.

Kritische Lücken in der traditionellen Identitätssicherheit

Die Identitätssicherheit heutiger Unternehmen hat sowohl Defizite bei der Erkennung, ob eine Benutzerauthentifizierung ein Risiko darstellt, als auch bei der Verhinderung bösartiger Authentifizierungsversuche. Die Erkennungslücke rührt daher, dass Unternehmen heute mehrere Identitäts- und Zugriffsmanagement-Lösungen (IAM) im gesamten hybriden Netzwerk verwenden. Ein typisches Unternehmen implementiert mindestens ein lokales Verzeichnis wie Active Directory, einen Cloud Identity Provider (IdP) für moderne Webanwendungen, ein VPN für den Remote-Netzwerkzugriff sowie eine Privileged Access Management-Lösung (PAM) für die Verwaltung privilegierter Zugriffe.

Meist fehlt jedoch eine einzelne, einheitliche Lösung, die alle Authentifizierungsaktivitäten des Benutzers über alle Ressourcen und Umgebungen hinweg überwacht und analysiert. Dies schränkt die Fähigkeit erheblich ein, den vollständigen Kontext jedes Zugriffsversuchs zu verstehen und Anomalien zu erkennen, die auf ein riskantes Verhalten oder die böswillige Verwendung kompromittierter Anmeldeinformationen hinweisen.

Die Präventionslücke resultiert aus der Tatsache, dass wesentliche IAM-Sicherheitskontrollen wie Multi-Faktor-Authentifizierung (MFA), risikobasierte Authentifizierung (RBA) und Conditional Access Enforcement nicht alle Unternehmensressourcen abdecken und somit kritische Sicherheitslücken hinterlassen.  Infolgedessen bleiben viele Assets und Ressourcen ungeschützt: Darunter proprietäre und selbst entwickelte Anwendungen, IT-Infrastruktur, Datenbanken, File Shares, Command-Line-Tools, Industriesysteme und viele andere sensible Assets, die zum Hauptziel für Angreifer werden können. Diese Assets verlassen sich nach wie vor auf passwortbasierte Mechanismen und Legacy-Protokolle, die von den heutigen agenten- oder proxybasierten Lösungen nicht geschützt werden können. Dies liegt daran, dass die meisten IAM-Sicherheitslösungen nicht in der Lage sind, sich mit ihnen zu integrieren, oder ihre Protokolle nicht unterstützen.

Betrachtet man all die verschiedenen Assets in einem hybriden Unternehmensnetzwerk und all die möglichen Zugriffswege zu jedem einzelnen von ihnen, wird klar, dass es nicht ausreicht, nur ein paar dieser Assets zu schützen. Denn jedes ungeschützte System hinterlässt ein mögliches Einfallstor für Angreifer. Alle Unternehmenssysteme einzeln zu schützen, indem Software-Agenten, Proxys und Software Developer Kits (SDK) implementiert werden, ist jedoch nicht mehr realistisch. Deshalb bieten die derzeitigen IAM-Sicherheitslösungen keine effektive Möglichkeit, die Verwendung kompromittierter Anmeldeinformationen für böswillige Zugriffe und laterale Bewegungen effektiv zu verhindern.

Unified Identity Protection: Einheitlicher Identitätsschutz zur Schließung von Sicherheitslücken

Um identitätsbasierten Bedrohungsvektoren zu begegnen und die oben genannten Erkennungs- und Präventionslücken zu schließen, sollte der Sicherheitsansatz für einen ganzheitlichen Schutz von Identitäten (Unified Identity Protection) auf den folgenden drei Grundsäulen aufbauen:

1. Kontinuierliche, einheitliche Überwachung aller Zugriffsanfragen

Für vollständige Transparenz und genaue Risikoanalyse ist eine kontinuierliche, ganzheitliche Überwachung aller Zugriffsanfragen über alle Authentifizierungsprotokolle (sowohl von User-to-Machine- als auch von Machine-to-Machine-Zugriffen) und über alle Ressourcen und Umgebungen hinweg erforderlich. Dies umfasst jeden Zugriffsversuch, ob auf Endpunkte, Cloud-Workloads, SaaS-Anwendungen, On-Prem-Dateiserver, Legacy-Geschäftsanwendungen oder andere Ressourcen.

Alle Überwachungsdaten sollten in einem einheitlichen Repository aggregiert werden, um weitere Analysen zu ermöglichen. Ein solches Repository kann Unternehmen dabei helfen, das inhärente Problem der IAM-Silos zu überwinden und die Erkennung und Analyse von Bedrohungen zu ermöglichen.

2. Risikoanalyse in Echtzeit für jeden einzelnen Zugriffsversuch

Um Bedrohungen effektiv zu erkennen und darauf zu reagieren, muss jede Zugriffsanfrage analysiert werden, um ihren Kontext zu verstehen – und zwar in Echtzeit. Dies erfordert die Fähigkeit, das gesamte Verhalten des Benutzers zu analysieren: das heißt, alle Authentifizierungen, die der Benutzer in einem Netzwerk, einer Cloud- oder On-Premises-Ressource durchführt – und zwar nicht nur bei der ersten Netzwerkanmeldung, sondern auch bei allen weiteren Anmeldungen innerhalb dieser Umgebungen. Dies ermöglicht eine hochpräzise Risikoanalyse in Echtzeit, die den nötigen Kontext liefert, um festzustellen, ob die bereitgestellten Anmeldeinformationen kompromittiert sein könnten.

3. Durchsetzung adaptiver Authentifizierungs- und Zugriffsrichtlinien bei allen Zugriffsversuchen

Um einen Echtzeitschutz durchzusetzen, müssen Sicherheitskontrollen wie MFA, risikobasierte Authentifizierung und Conditional Access auf alle Unternehmensressourcen in allen Umgebungen ausgeweitet werden. Wie bereits erläutert, ist es nicht praktikabel, Schutzmaßnahmen systemweise zu implementieren. Das liegt zum einen an der dynamischen Natur moderner Umgebungen, die dies zu einer nie endenden Aufgabe macht; zum anderen an der Tatsache, dass viele Assets von den bestehenden IAM-Sicherheitslösungen einfach nicht abgedeckt werden.

Um wirklich umfassenden und einheitlichen Schutz zu erreichen, benötigt es deshalb eine Technologie, die diese Kontrollen durchsetzt, ohne dass eine direkte Integration mit jedem der verschiedenen Geräte, Server und Anwendungen erforderlich ist und ohne massive Architekturänderungen.

Integration von Unified Identity Protection in bestehende IAM-Lösungen

Eine Unified-Identity-Protection-Lösung konsolidiert die IAM-Sicherheitskontrollen und dehnt sie auf alle Benutzer, Assets und Umgebungen des Unternehmens aus. Durch eine neuartige agenten- und proxylose Architektur kann diese Technologie alle Zugriffsanfragen von Benutzern und Service-Accounts über alle Assets und Umgebungen hinweg überwachen und hochpräzise risikobasierte Analyse-, Conditional-Access- und Multi-Faktor-Authentifizierungsrichtlinien erweitern, um alle Ressourcen in der hybriden Unternehmensumgebung abzudecken. Die Schutzmaßnahmen können dabei auch auf Assets ausgeweitet werden, die zuvor nicht geschützt werden konnten. Hierzu zählen zum Beispiel selbst entwickelte Applikationen und Legacy-Anwendungen, kritische Infrastruktur, Dateisysteme, Datenbanken und Admin-Zugriffs-Tools wie PsExec, die es Angreifern derzeit ermöglichen, agentenbasierte MFA zu umgehen.

Es ist wichtig, klarzustellen, dass Unified Identity Protection bestehende IAM-Lösungen nicht ersetzt. Stattdessen konsolidiert diese Technologie deren Sicherheitsfunktionen und erweitert deren Abdeckung auf alle Assets, einschließlich jener, die nicht nativ durch IAM-Lösungen unterstützt werden. So ist sichergestellt, dass Unternehmen alle ihre Ressourcen über alle Umgebungen hinweg mit einheitlichen Richtlinien und Transparenz verwalten und schützen können, um den zahlreichen identitätsbasierten Angriffsvektoren effektiv zu begegnen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago