11. Aug. 2021
Kritische Schwächen traditioneller Identitätssicherheit
Von Martin Kulendik, Tel Aviv, Israel
Identitätsbasierte Angriffe zählen heute zu einer der größten Bedrohungen für die IT-Sicherheit, da moderne hybride Unternehmensnetzwerke Cyberkriminellen zahlreiche Einfallstore bieten. So verschaffen sich Hacker beispielsweise mit gekaperten Konten einen Erstzugang über Software-as-a-Service-(SaaS)-Apps und Infrastructure as a Service (IaaS) in der Public Cloud oder dringen über kompromittierte VPN- oder Remote-Desktop-Protocol-(RDP)-Verbindungen in den Unternehmensperimeter ein. Anschließend können sie ihre Angriffe über kompromittierte Anmeldeinformationen von einer Maschine zur nächsten fortsetzen. „Lateral Movement“ dieser Art tritt sowohl bei Advanced Persistent Threats (APTs) als auch bei automatisierter Malware- oder Ransomware-Verbreitung auf. Die hohen Erfolgsraten dieser Angriffe, entweder in Form von „Account-Takeover“, bösartigem Fernzugriff oder „Lateral Movement“, offenbaren inhärente Schwächen, die in heutigen Identitätssicherheitslösungen und -praktiken vorherrschen.
Die Identitätssicherheit von Unternehmen hat sowohl Defizite bei der Erkennung, ob eine Benutzerauthentifizierung ein Risiko darstellt, als auch bei der Verhinderung bösartiger Authentifizierungsversuche.
Die Erkennungslücke rührt daher, dass Unternehmen heute mehrere Identitäts- und Zugriffsmanagement-Lösungen (IAM) im gesamten hybriden Netzwerk verwenden. Ein typisches Unternehmen implementiert mindestens ein lokales Verzeichnis wie Active Directory, einen Cloud Identity Provider (IdP) für moderne Webanwendungen, ein VPN für den Remote-Netzwerkzugriff sowie eine Privileged-Access-Management-Lösung (PAM) für die Verwaltung privilegierter Zugriffe. Meist fehlt jedoch eine einzelne, einheitliche Lösung, die alle Authentifizierungsaktivitäten über alle Ressourcen und Umgebungen hinweg überwacht und analysiert. Das schränkt die Fähigkeit erheblich ein, den vollständigen Kontext jedes Zugriffsversuchs zu verstehen und Anomalien zu erkennen, die auf ein riskantes Verhalten oder die böswillige Verwendung kompromittierter Anmeldeinformationen hinweisen.
Die Präventionslücke resultiert aus der Tatsache, dass wesentliche IAM-Sicherheitskontrollen wie Multi-Faktor-Authentifizierung (MFA), risikobasierte Authentifizierung (RBA) und Conditional Access Enforcement nicht alle Unternehmensressourcen abdecken und somit kritische Sicherheitslücken hinterlassen. Infolgedessen bleiben viele Assets und Ressourcen ungeschützt. Darunter proprietäre und selbst entwickelte Anwendungen, IT-Infrastruktur, Datenbanken, File Shares, Command-Line-Tools, Industriesysteme und viele andere sensible Assets, die zum Hauptziel für Angreifer werden können. Diese Assets verlassen sich nach wie vor auf passwortbasierte Mechanismen und Legacy-Protokolle, die von den heutigen agenten- oder proxybasierten Lösungen nicht geschützt werden können. Das liegt daran, dass die meisten IAM-Sicherheitslösungen nicht in der Lage sind, sich mit ihnen zu integrieren, oder ihre Protokolle nicht unterstützen.
Grundsäulen für einen ganzheitlichen Identitätsschutz
Betrachtet man alle verschiedenen Assets in einem hybriden Unternehmensnetzwerk und alle möglichen Zugriffswege zu jedem einzelnen von ihnen, wird klar, dass es nicht ausreicht, nur ein paar dieser Assets zu schützen. Denn jedes ungeschützte System hinterlässt ein mögliches Einfallstor für Angreifer. Alle Unternehmenssysteme einzeln zu schützen, indem Software-Agenten, Proxys und Software Developer Kits (SDKs) implementiert werden, ist jedoch nicht mehr realistisch. Deshalb bieten die derzeitigen IAM-Sicherheitslösungen keine effektive Möglichkeit, die Verwendung kompromittierter Anmeldeinformationen für böswillige Zugriffe und laterale Bewegungen effektiv zu verhindern.
Um identitätsbasierten Bedrohungsvektoren zu begegnen und die oben genannten Erkennungs- und Präventionslücken zu schließen, sollte der Sicherheitsansatz für einen ganzeinheitlichen Schutz von Identitäten auf den folgenden drei Grundsäulen aufbauen:
1. Kontinuierliche, einheitliche Überwachung aller Zugriffsanfragen
Für vollständige Transparenz und genaue Risikoanalyse ist eine kontinuierliche, ganzheitliche Überwachung aller Zugriffsanfragen über alle Authentifizierungsprotokolle (sowohl von User-to-Machine- als auch von Machine-to-Machine-Zugriffen) und über alle Ressourcen und Umgebungen hinweg erforderlich. Das umfasst jeden Zugriffsversuch, ob auf Endpunkte, Cloud-Workloads, SaaS-Anwendungen, On-Prem-Dateiserver, Legacy-Geschäftsanwendungen oder andere Ressourcen.
Alle Überwachungsdaten sollten in einem einheitlichen Repository aggregiert werden, um weitere Analysen zu ermöglichen. Ein solches Repository kann Unternehmen dabei helfen, das inhärente Problem der IAM-Silos zu überwinden und die Erkennung und Analyse von Bedrohungen zu ermöglichen.
2. Risikoanalyse in Echtzeit für jeden einzelnen Zugriffsversuch
Um Bedrohungen effektiv zu erkennen und darauf zu reagieren, muss jede Zugriffsanfrage analysiert werden, um ihren Kontext zu verstehen – und zwar in Echtzeit. Das erfordert die Fähigkeit, das gesamte Verhalten des Benutzers zu analysieren. Das heißt, alle Authentifizierungen, die der Benutzer in einem Netzwerk, einer Cloud- oder On-Premises-Ressource durchführt – und zwar nicht nur bei der ersten Netzwerkanmeldung, sondern auch bei allen weiteren Anmeldungen innerhalb dieser Umgebungen. Das ermöglicht eine hochpräzise Risikoanalyse in Echtzeit, die den nötigen Kontext liefert, um festzustellen, ob die bereitgestellten Anmeldeinformationen kompromittiert sein könnten.
3. Durchsetzung adaptiver Authentifizierungs- und Zugriffsrichtlinien bei allen Zugriffsversuchen
Um einen Echtzeitschutz durchzusetzen, müssen Sicherheitskontrollen wie MFA, risikobasierte Authentifizierung und Conditional Access auf alle Unternehmensressourcen in allen Umgebungen ausgeweitet werden. Wie bereits erläutert, ist es nicht praktikabel, Schutzmaßnahmen systemweise zu implementieren. Das liegt zum einen an der dynamischen Natur moderner Umgebungen, die das zu einer nie endenden Aufgabe macht; zum anderen an der Tatsache, dass viele Assets von den bestehenden IAM-Sicherheitslösungen einfach nicht abgedeckt werden.
Um wirklich umfassenden und einheitlichen Schutz zu erreichen, benötigt es deshalb eine Technologie, die diese Kontrollen durchsetzt, ohne dass eine direkte Integration mit jedem der verschiedenen Geräte, Server und Anwendungen erforderlich ist und ohne massive Architekturänderungen.
Martin Kulendik ist Regional Sales Director DACH bei Silverfort.
Weitere Informationen zum Identity- und Access-Management gibt es auch in der neuen Ausgabe der <kes>. Darunter Beiträge zum Thema "Self-Sovereign Identity (SSO)" und "Hybrid IAM: On-Premises-, Cloud- und SaaS-Umgebungen vereinen".
