Cyber-Sicherheit in einer identitätszentrierten Welt
24. Oktober 2023Das Konzept von Zero Trust tritt an, IT-Umgebungen resilienter gegen Cyber-Angriffe zu gestalten. Da der Zugang zum Netzwerk durch den Zugriff des Users auf Ebene der einzelnen Applikation abgelöst wird, gerät allerdings die Identität des Einzelnen ins Visier von Angreifern. Unternehmen müssen ihre Cyber-Sicherheit aufrüsten und das saubere Aufsetzen von Identitäten und deren Verwaltung einbeziehen.
In einer durch die Cloud weitläufig vernetzen Welt rückt der Schutz kritischer Ressourcen in den Mittelpunkt von Abwehrstrategien. Zu diesen Ressourcen zählen heutzutage auch die Identität der User. Die damit verbundenen Anmeldedaten und Zugriffsrechte sind zu einem Hauptziel von Bedrohungsakteuren geworden, da sie durch deren Kompromittierung die besten Erfolgsaussichten haben, weitere vertrauliche Informationen und Daten von ihren Opfern zu erbeuten.
In der IT-Sicherheit vollziehen sich damit einhergehend zwei Paradigmenwechsel. Endpoint Detection and Response (EDR)-Lösungen nähern sich dem Ende der Neigungskurve im Gartner Security Operations Hype Cycle, da sie zwischenzeitlich auf breiter Ebene eingesetzt werden. Diese Tools werden immer ausgereifter und Unternehmen sind zunehmend in der Lage, schädlichen Code und betrügerische Tools aufzuspüren.
Die zweite Veränderung betrifft den Wandel der Wahrnehmung von der Fehlbarkeit der Netzwerksicherheit und den damit einhergehenden Übergang zu Zero Trust-basierten Sicherheitskonzepten. Hier prognostiziert Gartner, dass bis 2025 mindestens 70 Prozent der neuen Implementierungen für den Fernzugriff auf Zero Trust Network Access (ZTNA) anstelle auf herkömmlichen VPN-Diensten beruhen werden und damit einen rasanten Aufschwung nehmen ausgehend von 10 Prozent Ende des Jahres 2021. Die Popularität dieses Sicherheitsansatzes geht einher mit der Fähigkeit, externe Angriffsflächen zu reduzieren und der Beschränkung des Zugriffs auf Ressourcen durch die Verifizierung des Users.
Die Identität des Users im Fokus
Da EDR und Zero Trust-Prinzipien immer wichtiger werden, haben die Angreifer ihre Taktiken entsprechend verlagert und zielen nun verstärkt auf die Identitäten der User ab. Mithilfe gestohlener Akkreditierungsdaten sind Hacker in der Lage, die Identitäten legitimer User anzunehmen und sich auf diese Weise unbemerkt durch das Unternehmensnetz zu bewegen, bis sie zu den wichtigsten Informationen vordringen. Auf diese Weise lassen sich herkömmliche Sicherheitsmechanismen täuschen und selbst Zero Trust-Richtlinien umgehen.
Der strategische Wert identitätsbasierter Angriffe kommt durch ihre wachsende Beliebtheit bei organisierten Bedrohungsakteuren und der kriminellen Community zum Ausdruck. Laut Crowdstrike werden etwa 80 Prozent der Angriffe im Jahr 2023 identitätsbasiert sein, wobei fünf von zehn Unternehmen Opfer von Active Directory-Attacken werden. Bemerkenswert ist, dass 90 Prozent der Einsätze von Mandiant Incident Response die Ausnutzung von Active Directory-Schwachstellen betrafen.
Ineffizienz der derzeitigen Abwehrmaßnahmen
Herkömmliche Sicherheitsvorkehrungen, die sich auf Bedrohungserkennung und Identitätsverwaltung konzentrieren, erweisen sich angesichts identitätszentrierter Bedrohungen als unzureichend. Verschiedene Methoden wie User and Entity Behaviour Analytics (UEBA) sowie Security Information and Event Management (SIEM) geben zwar Aufschluss über die böswillige Nutzung von Anmeldedaten, liefern aber häufig Fehlalarme und lassen den Kontext für eine fundierte Entscheidungsfindung vermissen. So kann beispielsweise nicht nachvollzogen werden, ob ein User die Erlaubnis besitzt, bestimmte Zugriffsrechte zu modifizieren.
Darüber hinaus nutzen spezielle Angriffsformen wie etwa Zweifaktorauthentifizierung Man-in-the Middle (MiTM), Zweifaktorautentifizierungs-Spamming, Session Token Hijacking und SIM-Cloning inhärente Schwachstellen in Identitäts- und Zugriffsverwaltungssystemen aus. Oft wird dabei die Verantwortung für Entscheidungen an den User selbst übertragen, was meist nicht die besten Sicherheitsgrundlagen darstellt. Hinzu kommt, dass sich manche intern genutzten Arten von Identitäten und Anmeldedaten nicht für den Einsatz von Multifaktorauthentifizierung eignen, wie beispielsweise Service-Accounts oder Anwendungen die Multifaktorauthentifizierung, Zertifikate oder Session Token nicht unterstützen.
Identitätsbasierte Sicherheit
Vor dem Hintergrund sich verändernder Bedrohungen und der Ineffizienz vorhandener Lösungen wird die Notwendigkeit eines identitätszentrierten Sicherheitsansatzes deutlich. Identity Threat Detection and Response (ITDR) bietet hierfür eine transformative Vision, die auf drei zentralen Säulen basiert:
- Transparenz der Angriffsfläche von Identitäten: Eine umfassende Prüfung der Identitätsinfrastruktur ist der erste Schritt in Richtung Sicherheit. Ein ITDR-Lösungsansatz sollte über LDAP-Abfragen die Möglichkeit für ein detailliertes Assessment von on-premise Active Directory-Umgebungen bieten, dass einen Einblick in die Identitätssituation, riskante User und Computer, Fehlkonfigurationen und Schwachstellen gibt. Eine klare Zuordnung zum MITRE ATT&CK Framework hilft bei der Identifizierung von Schwachstellen und der Priorisierung von Abhilfemaßnahmen. Die Ergebnisse bieten einen umfassenden Überblick über die Bedrohungslandschaft und detaillierte Erkenntnisse über Abhilfemaßnahmen.
- Sauberes Identity-Management: Nach der Bewertung der Angriffsfläche von Identitäten ist der Aufbau einer robusten Identity-Hygiene entscheidend, die den gewünschten Sicherheitsstatus aufrechterhält. Ein Lösungsansatz sollte die kontinuierliche Echtzeit-Überwachung kritischer Änderungen im Active Directory ermöglichen und dadurch vor neu auftretenden Risiken warnen, die Angreifer möglicherweise mit Zugangsprivilegien ausstatten, um sich lateral durch Umgebungen zu bewegen. Neben Echtzeit-Alerts muss eine Anleitung zur Behebung des Risikos bereitgestellt werden, um eine schnelle Reaktion auf neu entstehende Bedrohungen und Schwachstellen zu ermöglichen.
- Identitätsbedrohungen erkennen und stoppen: Nicht alle Identitätsprobleme und Fehlkonfigurationen können sofort behoben werden. Deshalb ist die Erkennung von Angriffen, die bestehende Schutzmechanismen umgehen, von geschäftskritischer Bedeutung. Ein Identity Threat Detection & Response-Ansatz sollte deshalb bösartige Aktivitäten, wie DCSync, DCShadow und LDAP-Enumeration erkennen, die auf Identitätsmissbrauch hindeuten und zuverlässige Warnmeldungen liefern. Die von diesen Detektoren ausgelösten Warnungen liefern Sicherheitsfachleuten verwertbare Informationen für die schnelle Untersuchung und Reaktion.
Eine neue Ära der IT-Sicherheit
Neue Bedrohungen haben einen Paradigmenwechsel bezüglich der Abwehrmaßnahmen ausgelöst. Da Benutzeridentitäten zum primären Angriffsziel werden, ist ein identitätszentrierter Ansatz der Schlüssel zur Stärkung der Verteidigung in einer IT-Umgebung, die auf Zero Trust-Prinzipien beruht.
Ein solcher Ansatz braucht Werkzeuge zur umfassenden Bewertung, Verwaltung und zum Schutz von Identitäten. Da Angreifer mit dem Identitäten-Diebstahl ein lukratives Einnahmemodell entdeckt haben, ist die Einführung eines identitätsbasierten Sicherheitsansatzes ein wichtiger Schritt zum Schutz kritischer Werte geworden.
Amir Moin ist Senior Product Manager bei Zscaler.