Herkömmliche perimeterbasierte Sicherheitskontrollen wie beispielsweise VPNs gehen davon aus, dass jeder, der sich innerhalb der Perimeter des Unternehmensnetzwerks befindet, vertrauenswürdig ist. Folglich gewähren sie Benutzern nach deren Authentifizierung uneingeschränkt Zugriff zu allen Ressourcen innerhalb des Netzwerks. Ein Ansatz, der jedoch für moderne, dezentral arbeitende Unternehmen und angesichts komplexer Sicherheitsbedrohungen nicht mehr effektiv ist.
Der Zero Trust Network Access (ZTNA) überprüft Zugriffsanfragen und validiert diese, bevor der Zugriff gewährt wird. Das passiert nach dem Prinzip der minimalen Rechtevergabe: Benutzer können nur auf die Ressourcen zugreifen, die sie brauchen, um ihre Aufgaben zu erfüllen. Bei diesem Ansatz wird der Bereich der vertraulichen Perimeter auf ein einziges Objekt reduziert, unabhängig von seinem Standort. Die Zugriffsentscheidungen basieren auf dem individuellen Fall. Die Überprüfung erfolgt bei jedem Zugriffsversuch, und selbst legitime Benutzer können nur auf die Ressourcen zugreifen, für die sie dann eine Zugriffsberechtigung haben.
Niemals vertrauen, immer überprüfen
Dieser konzeptionelle Wechsel von »Vertrauen, aber überprüfen« zu »Niemals vertrauen, immer überprüfen« ist ein entscheidender Schritt in Richtung einer effektiven Zugriffskontrolle in dynamischen und dezentralen Unternehmensumgebungen. Aber reicht der ZTNA-Ansatz allein aus, um ein Unternehmensnetz zu schützen?
ZTNA konzentriert sich vollständig darauf, einen granularen Ansatz für den Zugriff zum Netz bereitzustellen. Dazu werden bei jeder Zugriffsanfrage eine Authentifizierung und Autorisierung vorausgesetzt. Ein probates Mittel, um übermäßig vergebene Zugriffsberechtigungen auf die IT-Ressourcen in den Griff zu bekommen. Und zwar unabhängig davon, ob der Benutzer von innerhalb oder außerhalb des Unternehmensnetzwerks darauf zugreift. Allerdings liegt dem ZTNA-basierten Sicherheitsrahmen eine Annahme zugrunde. Nämlich die, dass Sicherheitsverstöße lediglich von nicht autorisierten Benutzern ausgehen. Der ZTNA-Ansatz stößt folglich an seine Grenzen, wenn die Bedrohungen von autorisierten Benutzern ausgehen. Dazu zählen beispielweise Insider-Bedrohungen, gefährdete Endgeräte und sehr gezielte Social Media- und Phishing-Angriffe.
Insider-Bedrohungen sind zu einem wachsenden Sicherheitsproblem geworden. Schließlich gehen sie von Personen aus, die bereits legitimen Zugang zu sensiblen Informationen oder Systemen haben. Jüngste Untersuchungen haben gezeigt, dass bis zu 74 % aller Unternehmen sich vermehrt mit Insider-Bedrohungen auseinandersetzen müssen. Sie treten auf, wenn Mitarbeitende absichtlich oder versehentlich sensible Daten preisgeben, für die sie eine Zugangsberechtigung haben. In einigen Fällen handelt es sich dabei tatsächlich um böswillige Akteure, die dem Unternehmen bewusst schaden wollen. Andere Fälle gehen zumeist auf menschliches Versagen oder Nachlässigkeit zurück. In jedem Fall aber können autorisierte Konten missbraucht werden, um auf sensible Ressourcen zuzugreifen, ohne die ZTNA-Zugriffskontrollen auszulösen. ZTNA wehrt externe Bedrohungen erfolgreich ab. Ein nicht unerheblicher Teil der Bedrohungen durch Insider bleibt unberücksichtigt.
Aber auch verifizierte Endgeräte bergen ein Gefahrenpotenzial. Für die ZTNA-Konfiguration wird häufig eine Multifaktor-Authentifizierung genutzt, bei der die Authentifizierung über eine Kombination aus Anmeldeinformationen des Benutzers und bekannten Geräten erfolgt. Wenn allerdings ein verifiziertes Endgerät mit Malware infiziert oder auf andere Weise kompromittiert wurde, birgt das ein hohes Risiko. Dann nämlich kann ein Angreifer versuchen, die gespeicherten Anmeldeinformationen des Benutzers und die Zugriffsberechtigungen des Geräts auszunutzen, um auf sensible Unternehmensressourcen zuzugreifen. Sobald ein Angreifer im Netzwerk Fuß gefasst hat, kann sich die Malware sogar von einem autorisierten Gerät auf andere ausbreiten und so versuchen, Ressourcen zu kompromittieren, auf die auch andere zugreifen.
Und dann ist da noch der Fall sehr gezielter Angriffe über soziale Medien und mittels Phishing. Böswillige Angreifer nutzen dabei fortschrittliche Spear-Phishing-Taktiken, um an die Anmeldedaten von legitimen Benutzern zu gelangen. Bei diesen Angriffen verleiten zielgerichtete und personalisierte Nachrichten einen Benutzer dazu, bösartige Links anzuklicken, eine mit Malware verseuchte Datei herunterzuladen oder auf andere Weise die eigene Sicherheit zu gefährden. Leider können diese Angriffe trotz ZTNA ausgesprochen effektiv sein. So kann ein Angreifer beispielsweise mithilfe von Spear-Phishing-Taktiken die Anmeldedaten von hochrangigen Führungskräften mit Zugriff zu wichtigen Informationen stehlen. Mit solchen Daten kann der Angreifer die ZTNA-Kontrollen umgehen und sich auf diese Weise Zugriff zu sensiblen Daten oder Systemen verschaffen.
Zusätzliche Komponenten
Die Richtlinien für die ZTNA-Zugriffskontrolle können Fälle wie Insider-Bedrohungen, infizierte Geräte und Phishing-Angriffe nicht verhindern. An dieser Stelle sollte man den ZTNA-Ansatz im Sinne einer umfassenderen Sicherheit um zusätzliche Kontrollen ergänzen.
Neben ZTNA sollten Unternehmen solche Sicherheitskontrollen einführen, die weitere Funktionen und Technologien abdecken. Dazu gehören Next-Generation Firewalls (NGFWs), Intrusion-Prevention-Systeme (IPS), Secure Web Gateway (SWG) und Cloud Access Security Broker (CASB). Also Funktionen, wie sie in SASE-Plattformen (Secure Access Service Edge) der nächsten Generation zusammengeführt sind. Darüber hinaus sollte ZTNA auch Funktionen zur Überwachung des Gerätezustands sowie fortschrittliche Verhaltensanalysen nutzen. Diese gewährleisten, dass der Zugriff nur aufgrund von zusätzlichen Kontextinformationen gewährt wird. Dazu zählen neben dem Benutzer und seinem Gerät etwa der Standort des Geräts, das Betriebssystem und typische Anmeldezeiten eines Benutzers.
Man kann diese Funktionen als eigenständige, perimeterbasierte Lösungen bereitstellen. Das führt aber zu einer erheblichen Backhaul-Latenz für den Remote- und Cloud-gebundenen Datenverkehr. Mit einer konvergierten, cloudbasierten Alternative wie SASE kann man Kompromisslösungen bei Sicherheit und Latenz verabschieden. Und SASE erlaubt es Unternehmen, einen Defense-in-Depth-Ansatz zu implementieren, der Sicherheitskontrollen auf mehreren Ebenen umfasst.
Fazit
Ein cloudbasierter Sicherheits-Stack, der ZTNA ergänzt, gewährleistet eine echte Zero-Trust-Sicherheitsstrategie. Darüber hinaus können Firmen durch bewährte Sicherheitsverfahren, wie regelmäßige Sicherheitsaudits, Schwachstellen-Assessments und Schulungsprogramme für Mitarbeiter, Risiken erkennen und senken – und das lange bevor Angreifer sie ausnutzen. In Kombination mit anderen Sicherheitslösungen bildet ZTNA eine robuste und effektive Verteidigungslinie gegen eine sich stetig weiterentwickelnde Bedrohungslandschaft.
Etay Maor, Senior Director Security Strategy bei Cato Networks
Möglichkeiten und Grenzen von MFA
Illustration: Absmeier PrettySleepy
Wie Firmen die Limitierung einer Multi-Faktor-Authentifizierung überwinden.
Die Multi-Faktor-Authentifizierung (MFA) wird nicht selten als Wunderwaffe in Sachen Cybersicherheit gehandelt. Früheren Aussagen von Microsoft zufolge könne MFA bis zu 99,9 % der kompromittierenden Angriffe auf Konten abwehren. Die Realität belehrt uns allerdings schnell eines Besseren. Auch die MFA ist weniger Wunderwaffe als Wunschdenken.
Die Multi-Faktor-Authentifizierung ist in der Regel eine Kombination aus etwas, das Sie wissen, das Sie besitzen und das Sie ausmacht. So sind beispielsweise Passwörter und Antworten auf Sicherheitsfragen »etwas, das Sie wissen«, Geräte-Token oder Einmalpasswörter (OTP) »etwas, das Sie besitzen«, und Fingerabdrücke und Gesichtsmerkmale »etwas, das Sie sind.« In der Theorie klingt das plausibel. In der Praxis sieht es leider anders aus, und das aus einer Reihe von Gründen.
MFA weist immanente Schwächen auf
Das Problem bei der derzeitigen Vorgehensweise: Ein Einmalpasswort wird im Grunde zu »etwas, das Sie wissen«, sobald es beim Endanwender ankommt – und es kann gestohlen werden. Wenn ein Anwender ein Einmalpasswort auf seinem Gerät sieht, wird es unmittelbar herabgestuft von »etwas, das Sie haben« zu »etwas, das Sie wissen« und das von einem Angreifer kompromittiert werden kann.
Auch MFA kann gehackt werden
Wir wissen, dass Angreifer ausreichend kreativ sind, um Hindernisse zu überwinden. Eine Methode ist es, Anwender mit gefälschten MFA-Anfragen zu bombardieren. Ein Vorgehen, das den Nutzer schnell ermüden kann. Die Folge: Er akzeptiert eine der falschen Anfragen. Eine andere Möglichkeit, MFA zu hacken, sind Phishing-Angriffe. Hier kapern die Angreifer das Einmalpasswort des Opfers, indem sie mehrfach OTP-Anforderungen verwenden. Oder sie infizieren das Mobilgerät mit einer Malware zur SMS-Weiterleitung oder zum Diebstahl von Session-Cookies, mit denen sich authentifizierte Sessions abspielen lassen.
Und natürlich sind auch MFA-Lösungen wie jede andere Software auch nicht vor Schlupflöchern und Sicherheitslücken gefeit. So haben Angreifer bereits Schwächen im Geräte-Registrierungsprozess der Microsoft MFA ausgenutzt, um sich die Kontrolle über Office365-Konten zu verschaffen.
MFA – lästig für den Anwender?
Für manch einen Benutzer sind der MFA-Prozess und dessen Implementierung so lästig, dass sie entweder darauf verzichten oder – schlimmer noch – Wege finden, die MFA komplett zu umgehen. Und das alles ohne jede Intervention oder Social Engineering seitens eines Angreifers. Allerdings ist die Multi-Faktor-Authentifizierung tief in Unternehmen verankert, und sie hat einen Reifegrad erreicht, der es einem durchschnittlichen User erschwert, sie zu umgehen.
Was sollten Unternehmen tun?
Eine MFA ist sicherlich in der Lage, eher simple Angriffe zu vereiteln. Als alleinige Sicherheitsmaßnahme reicht sie aber bei Weitem nicht aus. Es gilt, zusätzliche Maßnahmen zu implementieren, um die Zugangskontrollen zu verbessern und die laterale Fortbewegung von Angreifern innerhalb der Infrastruktur einzuschränken. Dazu sollte man einige Empfehlungen beherzigen:
Verabschieden Sie sich von unübersichtlichen Methoden zur Identifikation, Authentifizierung und Autorisierung
Die Begriffe Identifikation, Authentifizierung und Autorisierung werden häufig synonym verwendet, sind aber von Natur aus unterschiedlich. Usernamen und Passwörter können einen Anwender »identifizieren«, was sie nicht können, ist ihn wirksam zu »authentifizieren«. Zudem sind sie leicht zu hacken, zu stehlen oder im Darknet zu kaufen. Ganz ähnlich bietet MFA eine bessere »Authentifizierung«. Was ihr jedoch fehlt, ist die erforderliche kontextabhängige Sensibilisierung, um festzustellen, ob ein Anwender tatsächlich »autorisiert« ist, auf eine Ressource zuzugreifen.
Mit anderen Worten: Nur weil ein Anwender authentifiziert ist, heißt das noch lange nicht, dass er Zugriff auf alle Netzwerkressourcen nebst den erforderlichen Berechtigungen haben sollte. Unternehmen sollten sich deshalb für ein Zero-Trust-Modell entscheiden, bei dem sämtliche Zugriffsanforderungen geprüft werden. Ein Anwender kann dann nur auf die Ressourcen zugreifen, für die er im Einzelnen autorisiert wurde.
Kontext und Telemetrie berücksichtigen
Über Mechanismen zur Authentifizierung hinaus sollte man Lösungen implementieren, die Telemetriedaten zum Aufbau einer kontextabhängigen Sensibilisierung nutzen. Dazu gehört das Sammeln und Analysieren aller Arten von Telemetriedaten hinsichtlich von Anwendern und Endpoints, wie z. B. Geräte-ID und Position, Standorthistorie, typische Verhaltensmuster des Anwenders und viele weitere mehr. Anhand dieser Datenkombinationen lässt sich besser verifizieren, ob ein Anwender wirklich der ist, der er vorgibt zu sein. Ein System sollte beispielsweise einen Alarm generieren und den Zugriff verweigern, wenn ein Anwender versucht, sich innerhalb eines denkbar kurzen Zeitraums von unterschiedlichen Ländern aus anzumelden.
Kontinuierliche Authentifizierung
Eine kontinuierliche Authentifizierung ist wesentlicher Bestandteil des Zero-Trust-Modells. Sie erweitert die MFA durch die Autorisierung eines Anwenders bei jedem Schritt. Zusätzlich werden die Zugriffsmuster über Systeme und Anwendungen hinweg auch nach der ursprünglichen Authentifizierung überwacht. Wenn beispielsweise ein Mitarbeiter der Personalabteilung kritische Systemdateien oder Konfigurationseinstellungen ändert, sollten alle Alarmglocken schrillen und die Zugriffsrechte sofort entzogen werden. Parallel sollte eine Benachrichtigung an die Sicherheitsabteilung gehen, um den Vorfall eingehender untersuchen zu können.
Vermeiden Sie fragmentierte Lösungen zugunsten von konsolidierten Systemen
Einer der größten Fehler innerhalb der Cybersicherheit besteht darin, Vorfälle einem Single Point of Failure zuzuordnen und sich nur darauf zu konzentrieren. Angriffe laufen immer in mehreren Phasen ab: von der Sondierung über den erstmaligen Zugriff bis hin zum Datendiebstahl und dem eigentlichen Angriff. In diesem Prozess stößt ein Angreifer immer wieder auf Hindernisse. Jede Sicherheitsebene bietet die Chance, eine Attacke zu unterbinden, bevor sie schlussendlich erfolgreich verläuft. Häufig arbeiten die einzelnen Sicherheitstools allerdings isoliert und kommunizieren nicht untereinander. Das erschwert es, die betreffenden Punkte rechtzeitig miteinander zu verbinden.
Eine Methode, das Problem in den Griff zu bekommen, ist ein Single-Pass-Netzwerk und eine Sicherheitsarchitektur, wie sie ein Kernmerkmal des Secure Access Service Edge (SASE) ist. Eine Single-Pass-Architektur erlaubt Sicherheitsanwendungen und -services, jedweden Kontext gemeinsam zu nutzen. Dies liefert End-to-End-Transparenz aus einer Hand über eine einheitliche Managementkonsole für On-Premises- und Cloud-Netzwerke sowie Services. So kann man Endpoints und Cloud-Netzwerke zentral überwachen und den Status mit der Makro-Cybersicherheits-Umgebung abgleichen (neueste Schwachstellen, aufkommende Bedrohungen usw.).
MFA ist ohne Zweifel ein Muss. Es lässt sich aber nicht ausschließen, dass gleichermaßen kenntnisreiche wie entschlossene Angreifer auch einen MFA-Mechanismus kompromittieren oder umgehen. Statt sich auf die vermeintliche Wunderwaffe zu verlassen, sollte man auf ein konsolidiertes System setzen. Ein System, das auf Zero-Trust, kontextbezogener Sensibilisierung, Transparenz und Kontrolle aus einer Hand basiert, Risiken in Echtzeit identifiziert, die laterale Bewegung von Angreifern begrenzt und verhindert, dass aus Sicherheits-Alerts schwerwiegende Sicherheitsvorfälle werden.
Etay Maor, Senior Director Security Strategy bei Cato Networks