Die Zahl digitaler Identitäten steigt explosionsartig. Der nahtlose Wechsel zwischen lokalen IT-Systemen und Cloud-Infrastrukturen sorgt für eine unübersichtliche Anzahl an menschlichen und maschinellen Identitäten, Zugriffen und Berechtigungen. Daraus resultierende Sichtbarkeitslücken untergraben klassische Netzwerksicherheitskonzepte.
In modernen IT-Umgebungen lässt sich die Trennlinie zwischen privaten oder geschäftlichen Netzen und dem öffentlichen Internet immer schwerer ziehen. Ein produktiver Einsatz der Cloud, steigende Softwareautomatisierung und die Nutzung von maschinellen Konten erfordern dynamische Zugangs- und Authentifizierungsverfahren. Neue Remote-Work-Strukturen, die durch häufige Wechsel zwischen Büro- und Heimarbeitsplatz gekennzeichnet sind, stellen Organisationen vor ganz neue Herausforderungen.
Die großflächige Umstellung auf Cloud- und Remote-Arbeit hat dazu geführt, dass die Zahl der Sicherheitsverstöße insgesamt gestiegen ist. Der aktuellen Marktstudie »Trends in Securing Digital Identities« zufolge waren 90 Prozent der im vergangenen Jahr befragten Organisationen von mindestens einer identitätsbasierten Sicherheitsverletzung betroffen [1]. Und die Zahl der maschinellen und menschlichen Identitäten in den Unternehmen werde weiter ansteigen, ergänzten die befragten Identitäts- und Sicherheitsexperten.
Identitätsbasierte Angriffe auf dem Vormarsch. Diese besorgniserregende Entwicklung dokumentiert, dass perimeter-basierte Sicherheitskonzepte, die in erster Linie den Datenverkehr zwischen privaten und öffentlichen Netzen kontrollieren, zu kurz greifen. Mittlerweile stellen digitale Identitäten mit den dazugehörigen Zugriffs- und Administrationsrechten den neuen Perimeter als ersten Angriffspunkt dar. Böswillige Akteure müssen nicht mehr eine Firewall durchbrechen, sondern kompromittieren unzureichend geschützte Benutzerkonten, um unbemerkt in ein Netzwerk einzudringen.
Identitätsbasierte Attacken profitieren von versteckten Angriffspfaden, die schwieriger erkennbar sind als codebasierte Exploits. Den Bedrohungsakteuren spielt dabei in die Karten, dass Unternehmen unterschiedliche Systeme zur Verwaltung von Identitäten einsetzen. Daraus folgende Sichtbarkeitslücken erleichtern es Hackern, mit gekaperten Konten und geraubten Anmeldeinformationen fremde IT-Ressourcen auszuspähen — (aus Angreifersicht) im Idealfall als überprivilegierte Benutzer. Eine Minimierung und Priorisierung von Risiken fällt vielen Unternehmen schwer, weil ihnen schlicht der erforderliche Einblick fehlt, welche Benutzer das größte Risiko darstellen.
Immer mehr Nutzeridentitäten. Zu einem großen Teil beruht der Zuwachs an digitalen Identitäten auf dem steigenden Einsatz neuer Cloud-Anwendungen und Remote-Work-Strukturen, aber auch die erhöhte Nutzung mobiler Geräte und die wachsende Zahl eingebundener Drittanbieter zeigen Wirkung. Hier gibt es einen direkten Zusammenhang zwischen der Anzahl der Technologien, die im Unternehmensverbund erforderlich sind, und der Anzahl der Identitäten (Konten), über die Mitarbeiter eines Unternehmens verfügen. Praktisch alle Benutzer benötigen Zugriff auf mehrere Konten, Geräte oder elektronische Dienste, wobei mit jedem dieser Zugriffspunkte auch ein neuer Angriffsvektor entsteht.
Moderne Enterprise-Umgebungen weisen immer mehr IaaS-, SaaS- oder PaaS-Cloud-Dienste auf oder betreiben ein Hybrid-Cloud- und On-Premises-Modell. Hier stellt der Missbrauch von Identitäten eine besonders hohe Gefahr dar, denn legitime Benutzer sind kaum von nicht autorisierten Benutzern unterscheidbar. Mit kompromittierten Identitätsdaten können Bedrohungsakteure auf sensible Ressourcen zugreifen, weitere IT-Systeme oder Identitäten übernehmen, höhere Zugriffsrechte und Privilegien erlangen und sich so schrittweise lateral im Unternehmensnetz bewegen.
Insbesondere in schnell wachsenden Cloud-Umgebungen mangelt es an der kontinuierlichen Sicht auf digitale Identitäten über alle Systeme hinweg. Viele der Berechtigungen und privilegierten Identitäten sind kurzlebig, müssen aber dennoch richtlinienkonform verwaltet und geschützt werden. IT-Administratoren sehen sich also einem komplexen Sicherheitsszenario ausgesetzt, das tendenziell Lücken bei der IT-Sicherheit aufweist und Bedrohungsakteuren die Verschleierung ihrer Aktivitäten erleichtert.
Schutz der Identitätsinfrastruktur. Zur Verbesserung der Sicherheit identitätsgesteuerter Infrastrukturen ist ein neuer Ansatz erforderlich. Durch Kombination von Technologien zur Erkennung, Analyse und Reaktion auf Bedrohungen müssen Unternehmen in die Lage versetzt werden, ihre Identitätsinfrastrukturen besser zu verteidigen. Dafür wird das Identitäts- und Zugriffsmanagement (IAM) gestärkt und der Missbrauch von Anmeldeinformationen und Berechtigungskonten sowie andere identitätsbezogene Bedrohungen unterbunden. Gartner fasst solche Sicherheitskonzepte unter dem Begriff »Identity Threat Detection and Response (ITDR)« zusammen.
Das Konzept beruht auf der Kombination von Sicherheitstools und -prozessen, die erforderlich sind, um identitätsbasierte Systeme bedarfsgerecht zu schützen. Es handelt sich dabei um eine Sicherheitsdisziplin, die Bedrohungsinformationen, Best-Practice-Empfehlungen, eine Wissensdatenbank, Tools und Prozesse zum Schutz von Identitätssystemen beinhaltet. Die wirksame Implementierung von Erkennungsmechanismen, daran anschließende Analysen verdächtiger Aktivitäten und zielgerichtete Reaktionen auf erkannte Angriffe stellen die Integrität der Identitätsinfrastruktur sicher.
So funktioniert es in der Praxis. Durch die fokussierte Nutzung identitätsbezogener Verfahren mit verbesserter Echtzeitsicht auf Berechtigungen, Konfigurationen und Verbindungen zwischen den jeweiligen Konten kann ITDR proaktiv die Angriffsfläche reduzieren und neuartige Bedrohungen erkennen. Schwachstellen in Active-Directory-Konfigurationen lassen sich frühzeitig erkennen, bevor sie von einem Angreifer ausgenutzt werden können. Auf diese Weise sind potenzielle Angriffsmethoden wie beim Network Lateral Movement leichter erkennbar und können verhindert oder beendet werden.
Identity Threat Detection and Response bewirkt ein besseres Verständnis, wie groß die Angriffsfläche über alle Systeme hinweg ist. Eine funktionierende Identitäts-Bedrohungserkennung und -reaktion zeigt auf, wie Angreifer an Anmeldeinformationen, Privilegien und Berechtigungen gelangen und zwischen On-Premises-Systemen und Cloud-Containern wechseln. IT-Sicherheitsverantwortliche verfügen damit über ein hohes Maß an Transparenz über aktuelle und für die Unternehmenssicherheit besonders gefährliche Angriffswege. Auf dieser Wissensbasis können sie proaktiv auf Risiken reagieren, rechtzeitig Gegenmaßnahmen ergreifen und mögliche Schäden minimieren.
Lösungsansatz für identitätsbasierte Gefahren. Bei der Abwehr von Risiken und Angriffen auf die Identitätsinfrastruktur ist es also entscheidend, einen zentralen Überblick über alle Identitäten, Konten, Berechtigungen und privilegierte Zugriffe in der gesamten IT-Landschaft zu bekommen. Das ermöglicht eine proaktive Risikominderung und frühzeitige Erkennung potenzieller oder aktiver Bedrohungen durch kompromittierte Identitäten oder missbrauchte Zugangsprivilegien. Neben der Überwachung spezifischer Identitätsangriffsvektoren generiert die Enterprise-Lösung Identity Security Insights von BeyondTrust beispielsweise proaktive Handlungsempfehlungen, erkennt potenziell laufende Bedrohungen und gibt dabei Einblick in die Techniken und Verfahren aktueller Hackerangriffe [2].
Auf Basis dieser Kontrollen und daraus abgeleiteter Sicherheitsregeln lassen sich riskante IT-Praktiken oder die Fehlnutzung von Benutzerkonten erkennen und beseitigen. Schließlich dürfen sich Verteidigungsaktivitäten im modernen Geschäftsumfeld nicht mehr auf den Schutz der Netzwerkgrenzen beschränken, sondern müssen auch in der Tiefe umfassend wirksam sein. Das Versagen von einzelnen Kontrollmechanismen oder singulären Prozessen darf nicht zu folgenschweren Sicherheitsverletzungen führen. Identity Threat Detection and Response hat vielmehr zum Ziel, IT-Security-Bedrohungen mittels Anmeldekontrollen und umfassender Identitätssicherheitsüberwachung über mehrere Kontrollebenen hinweg zu verhindern.
Mohamed Ibbich,
Director Solutions Engineering,
BeyondTrust
[1] https://www.idsalliance.org/white-paper/2023-trends-in-securing-digital-identities/
[2] https://www.beyondtrust.com/de/products/identity-security-insights