ITDR: Wie man Identitätsbedrohungen vorbeugt und sie erkennt

Illustration: Absmeier Geralt

ITDR steht für Identity Threat Detection and Response, eine neue Klasse von Cybersicherheitslösungen speziell zum Schutz von Identitäten, die für alle modernen IT-Systeme von zentraler Bedeutung sind. ITDR folgt einer ähnlichen Namenskonvention wie Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR). Allerdings erfordern viele Funktionen ein differenzierteres Verständnis davon, warum Identität eine eigene Kategorie von Detection & Response Lösungen verdient.

In einer Pressemitteilung unter dem Titel »Gartner Identifies Top Security and Risk Management Trends for 2022«, heißt es: »Gartner hat den Begriff ›Identity Threat Detection and Response‹ (ITDR) eingeführt, um die Sammlung von Tools und Best Practices zum Schutz von Identitätssystemen zu beschreiben.« [1]

Peter Firstbrook, Vizepräsident von Gartner Research, argumentiert darin: »Organisationen haben erhebliche Anstrengungen unternommen, um IAM-Funktionalitäten zu verbessern, aber ein Großteil davon konzentriert sich auf Technologien zur Verbesserung der Benutzerauthentifizierung, was die Angriffsfläche für einen grundlegenden Teil der Cybersicherheitsinfrastruktur vergrößert. ITDR-Tools tragen dazu bei, Identitätssysteme zu schützen, zu erkennen, wenn sie kompromittiert wurden und effiziente Gegenmaßnahmen einzuleiten.«

Anzeige

 

Einige ITDR-Funktionen unterscheiden sich unserer Ansicht nach trotz der gemeinsamen Nomenklatur deutlich von den zuvor entwickelten EDR- und XDR-Lösungen.

Inzwischen gehen wir davon aus, dass Active Directory Threat Detection and Response (AD TDR) am ehesten mit ITDR vergleichbar ist. Laut Gartner unterstützen AD TDR-Tools normalerweise eine Kombination folgender Elemente:

  • Analyse von Konfigurations-, Richtlinien- und Identitätsdaten, um den Sicherheitsstatus einer Active-Directory-Umgebung eines Unternehmens zu bewerten
  • Überwachung von Angriffswegen und Analyse der Auswirkungen
  • Risikobewertung und Priorisierung
  • Überwachung des Laufzeitverhaltens in Echtzeit hinsichtlich gängiger Indikatoren für eine Kompromittierung
  • Maschinelles Lernen oder Analyse von anomalen Verhaltensweisen und Events
  • Automatisierte Gegenmaßnahmen und Vorfallsreaktion
  • Dashboards, Warnungen, Berichte, Suche und Vorfallsmanagement
  • Integration mit SIEM (Security Information and Event Management) und SOAR (Security Orchestration Automation and Response) Tools
  • Integration mit MFA-Lösungen für eine erweiterte Authentifizierung als Antwort auf Risikoereignisse
  • Austausch von Risikosignalen mit zusätzlichen Modulen (für Suite-Anbieter) und Tools von Drittanbietern. (Gartner »Implement IAM Best Practices for Your Active Directory« von Paul Rabinovich, 14. März 2022.)

Die Einführung von AD TDR und ITDR weist mit ziemlicher Sicherheit darauf hin, dass Identitäten das gleiche Maß an Management und Kontrolle brauchen, das Unternehmen auf Hosts, Netzwerke, Systeme und Software verwenden – wenn nicht sogar mehr. Umso wichtiger, weil Identitäten inzwischen zum vorherrschenden Angriffsvektor geworden sind. Wie bei allen anderen Aspekten von IT-Risiken sollte auch das Identitätsrisiko mittels präventiver und aufdeckender Kontrollen verwaltet werden.

 

Identität – der neue Perimeter

Identität wird als der neue Perimeter beschrieben. Denn selbst wenn ein Netzwerk, ein Endpunkt und alle anderen Geräte gesichert sind, braucht ein Angreifer nur Zugriff auf ein privilegiertes Konto, um Unternehmensressourcen zu kompromittieren.

Mehr als ein Jahrzehnt mobiler Geräte, Cloud Computing, Outsourcing und remote arbeitender Mitarbeiter, beschleunigt durch die Covid-19-Pandemie, haben den traditionellen Perimeter der Netzwerksicherheit ausgehöhlt. Wenn Mitarbeiter von persönlichen Geräten und privaten Netzwerken auf Dienste von Drittanbietern zugreifen, müssen Firmen zwangsläufig überdenken, wie sie den Zugriff absichern.

 

Identität – die neue Schwachstelle

Wenn Identität der neue Perimeter ist, dann ist Identität zugleich eine neue Schwachstelle.

Laut NIST ist eine Schwachstelle eine »Schwäche in einem Informationssystem, in Verfahren zur Systemsicherheit, bei internen Kontrollen oder einer Implementierung, die von einer Bedrohungsquelle ausgenutzt oder ausgelöst werden können«. Dies beschreibt ziemlich genau, wie Bedrohungsakteure häufig nicht verwaltete, falsch konfigurierte und exponierte Identitäten ausnutzen – Schwachstellen in der Identitätssicherheit sind mithin zum größten Risiko geworden.

Identity- und Access-Management-Systeme wurden entwickelt, um das Least-Privilege-Prinzip (Prinzip der geringsten Rechtevergabe) durchzusetzen, aber auch, um Probleme zu minimieren, wenn ein Benutzer authentifiziert wurde. Diese eher unterschiedlichen Zielvorgaben erschweren es, zu erkennen, wenn ein Angreifer erfolgreich die Anmeldeinformationen eines gültigen Benutzers kompromittiert hat und verwendet. Als Folge davon sind sogenannte Account-Takeover-Angriffe (ATO) zum wichtigsten Angriffsvektor geworden.

Und obwohl Firmen Privileged Account Management (PAM), Multi-Faktor-Authentifizierung (MFA) und andere Lösungen für das Identity und Access Management (IAM) zum Schutz von Identitäten einsetzen, zeigen Untersuchungen, dass auf einem von sechs Unternehmensendpunkten ausnutzbare Identitätsrisiken existieren.

Angreifer nutzen zahlreiche Techniken, mit denen sie sich Zugang zu Anmeldeinformationen verschaffen. Häufig kommen dabei Open-Source-Angriffstools zum Einsatz. So lassen sich laufende Aktivitäten leichter verbergen und die einzelnen Phasen eines Angriffs schneller durchlaufen, bevor die endgültige Aktion abgeschlossen wird.

Typische Ransomware-Angriffe nutzen oft Zugangsdaten, die bei einem Phishing-Angriff erbeutet oder im Darknet erworben wurden, um einen ersten Zugang zu erlangen. Anschließend kommt eine Reihe von Tools zum Einsatz, wie z.B. Mimikatz, um Privilegien auszuweiten und privilegierte Anmeldeinformationen abzuziehen. Tatsächlich ist nach Angaben der Enterprise Strategy Group der Diebstahl von Anmeldeinformationen aus dem Systemspeicher die am häufigsten eingesetzte Identitätstechnik bei Angriffen.

 

Identitätsschwachstellen verstehen 

Untersuchungen von Illusive haben ergeben, dass auf einem von sechs Endgeräten, in jeder untersuchten Organisation, ausnutzbare Identitätsrisiken vorliegen. Die Ursachen für anfällige Identitäten fächern sich in drei unterschiedliche Kategorien auf: nicht gemanagte/verwaltete, falsch konfigurierte und exponierte Identitäten. Dazu einige Beispiele.

Nicht gemanagte/verwaltete Identitäten

  • Service-Konten – Maschinenidentitäten werden nicht innerhalb einer PAM-Lösung verwaltet, zum einen, weil sie bei der Implementierung nicht erkannt wurden und zum anderen, weil nicht alle Anwendungen mit PAM kompatibel sind, z. B. traditionelle Anwendungen, deren Modernisierungskosten das Budget sprengen würden.
  • Lokale Administratoren – Die Privilegien lokaler Administratoren erleichtern eine Vielzahl von IT-Supportanfragen. Einmal eingerichtet, bleiben sie aber oft unerkannt oder werden ganz vergessen – ergo, nicht verwaltet.
  • Privilegierte Konten – Viele andere privilegierte Konten werden nicht über eine PAM- oder MFA-Lösung gemanagt, weil sie bei der Einrichtung nicht erkannt wurden.

Falsch konfigurierte Identitäten

  • Schattenadministratoren – Die Komplexität verschachtelter Identitätsgruppierungen macht es extrem schwierig, die vollständigen Rechte und Berechtigungen aller Identitäten zu überblicken. Dies führt regelmäßig dazu, dass Konten unbeabsichtigt übermäßige Privilegien gewährt werden.
  • Schwache Verschlüsselung und Passwörter – Identitäten, die so konfiguriert sind, dass sie eine schwache oder gar keine Verschlüsselung nutzen oder darauf verzichten, strenge Passwort-Richtlinien zu erzwingen.
  • Service-Konten – Maschinenidentitäten mit privilegierten Zugriffsrechten können so konfiguriert sein, dass sie fälschlicherweise ein interaktives Login durch einen Menschen ermöglichen.

Exponierte Identitäten

  • Zwischengespeicherte Anmeldeinformationen – Konto- und Anmeldeinformationen, die in der Regel im Speicher, in der Registry und auf der Festplatte von Endgeräten gespeichert werden, wo sie mittels gängiger Angriffs-Tools leicht ausgenutzt werden können.
  • Cloud-Zugangs-Token – Auf Endgeräten gespeicherte Cloud-Zugangs-Token sind für Angreifer ein übliches Mittel, um sich Zugriff auf Cloud-Ressourcen zu verschaffen.
  • Offene RDP-Sitzung – Remote Application Sessions werden nicht sachgemäß geschlossen, so dass Angreifer eine geöffnete Session und die zugehörigen Privilegien ausnutzen können, und zwar weitgehend ohne Risiko, entdeckt zu werden.

Es ist wichtig zu wissen, dass jede Identität auf vielfältige Weise und in allen drei Schwachstellen-Kategorien angreifbar sein kann. Für Unternehmen ein nicht zu unterschätzendes Risiko.

Eine einzelne Identität kann beispielsweise falsch konfiguriert sein, so dass sie unbeabsichtigt über Schatten-Admin-Rechte verfügt. Dies führt dazu, dass diese Identität aus Mangel an entsprechenden IT-Kenntnissen nicht gemanagt wird – und der zusätzliche Access-Management-Schutz, der für Konten mit den entsprechenden Rechten vorgesehen ist (PAM, MFA usw.), nicht ausgelöst wird. In der Folge kann es dazu kommen, dass über dieselbe Identität Anmeldeinformationen exponiert werden.

 

Wie sich vor etwas schützen, von dem man nicht weiß, dass es existiert? 

Das Management von Identitätsrisiken setzt voraus, dass Unternehmen einen kontinuierlichen Einblick in ihre Identitätssituation gewinnen, und zwar aus der Perspektive von Cyberbedrohungen. Zu IT-Best-Practices zählen heute Asset Discovery und Schwachstellenmanagement, um Risiken rund um Assets und Systeme kontinuierlich nachzuverfolgen und zu messen. Eine kontinuierliche Aufdeckung von Identitätsrisiken zählt nicht dazu.

Der mangelnde Einblick in diese Art von Risiken hat dazu geführt, dass Identitäten immer anfälliger geworden sind. Dies ist der Grund, warum Cyberkriminelle und Red Teams gleichermaßen ihre Angriffstaktiken und -techniken verändert haben. Bislang war es für IT- und Sicherheitsteams kostspielig, und mit manuellen, zeitaufwändigen Prozessen verbunden, sich den nötigen, und ohnehin begrenzten, Einblick über Identitätsschwachstellen zu verschaffen.

 

Was gehört zu einem vollständigen ITDR-System?

Vollständige ITDR-Lösungen sollten über präventive Funktionen verfügen, die Lücken in der Identitätsstrategie erkennen und beheben. Dazu sollten erkennende/aufdeckende Funktionen kommen, die bei auftretenden Indikatoren für eine Kompromittierung sofort anschlagen.

 

Präventive ITDR-Kontrollen

Präventive ITDR-Kontrollen erkennen und beheben Identitätsschwachstellen, bevor Angreifer versuchen können, sie auszunutzen. Ähnlich wie bei traditionellen Schwachstellen- und Risikomanagement-Programmen erlauben ITDR-Funktionen eine Bestandsaufnahme der Risiken ihrer Identitäts-»Assets«. Die effektivsten dieser Lösungen erlauben eine automatisierte, kontinuierliche und umfassende Identitätserkennung, die Einblick in nicht verwaltete, falsch konfigurierte und exponierte privilegierte Konten gestattet.

Auf Basis dieser Transparenz erst kann man effektive Entscheidungen treffen, die für das Management von IT- und Infosec-Prozessen erforderlich sind. Und so lassen sich Risiken in großen, mehrstufigen Implementierungen von unterschiedlichen Identitätsmanagementsystemen wie IGA, PAM, MFA, SSO und anderen senken. Tatsächlich wissen wir, dass dieses kontinuierliche Scannen für das Management jedes komplexen Systems erforderlich ist. Das Identitätsmanagement bildet da keine Ausnahme.

 

Erkennende/Aufdeckende ITDR-Kontrollen

Erkennende/Aufdeckende ITDR-Kontrollen schlagen in dem Moment Alarm, wenn es einen Hinweis darauf gibt, dass ein externer Angreifer oder Insider versucht, eine Identität zu kompromittieren oder auf eine Art und Weise zu nutzen, die ein Risiko darstellt. Solche Kontrollen dienen dazu, die Art von Risiken zu senken, die sie sich nicht verhindern lassen. Parallel dazu werden die zuständigen Fachleute alarmiert, um im Falle eines Angriffs schnell reagieren zu können.

Identitätsbedrohungen präzise und vor Abschluss eines Angriffs zu erkennen, hat sich allerdings aus einer Reihe von Gründen als schwierig erwiesen:

  • Weniger Zeit, um Angriffe zu erkennen: Die Verweildauer der Angreifer hat sich bei etlichen Angriffsarten, wie z.B. Ransomware, in vielen Fällen von Monaten auf Tage verkürzt. Indem sie ihren Fokus auf die Kompromittierung von Identitäten verlagert haben, bewegen sich Angreifer viel schneller durch die einzelnen Phasen einer Attacke. Das gilt auch für die typische laterale Sondierung des Netzwerks, das Sammeln von Daten und den erfolgreichen Abschluss des Angriffs.
  • Vorhandene Sicherheitskontrollen sind weniger wirksam: Da sich der Fokus auf das Ausnutzen von Identitäten als einem der wichtigsten Ziele verlagert hat, haben Angreifer frühere Techniken nahezu aufgegeben, und so die betreffenden Sicherheitstools obsolet gemacht. Cyberkriminelle beweisen zudem regelmäßig, dass sie, sobald sie ihre Privilegien erweitert haben, in der Lage sind, Sicherheitskontrollen, wie Endpunkt-Agenten zu deaktivieren.
  • Das Unvermögen, schädliche von akzeptablen Aktivitäten rund um privilegierte Konten genau zu unterscheiden: Die signatur- und verhaltensbasierte Analyse privilegierter Benutzer hat sich als unwirksam erwiesen, wenn es darum geht, schädliche Privilegienerweiterungen und Fortbewegungen von Angreifern genau zu erkennen. Das zeigt die deutliche Zunahme erfolgreicher Angriffe. Hier fehlt die Konsistenz bei den als legitim akzeptierten Verhaltensweisen privilegierter Administratorkonten (von Datenwissenschaftler als hohe Datenentropie bezeichnet). Dies führt zu Schwierigkeiten beim Aufbau effektiver Grundregeln. Die aber sind nötig, um die Zahl der falsch-positiven und falsch-negativen Alarme zu minimieren.

 

Man braucht also zwangsläufig eine genauere Erkennung kompromittierter privilegierter Konten. Deception-Technologien und der damit verbunden deterministische Ansatz (bei dem irreführende Inhalte platziert werden, um Angreifer anzulocken) bieten eine praktikable und bewährte Alternative zur Verhaltensanalyse und um zu erkennen, wenn Privilegien erweitert wurden und Angreifer sich im Netz bewegen.

Wenn dieser Ansatz gut umgesetzt ist, werden Köder platziert, mit denen NUR ein Angreifer interagieren würde, basierend auf dem Verständnis seiner Techniken und Tools. Und die Köder hinterlassen keine Anhaltspunkte, die den Angreifer glauben lassen, dass er in eine Falle gelockt wird (z. B. ein Dienst oder Agent, der auf dem Host läuft).

Mark Jaffe, Illusive

 

 

[1] Gartner-Pressemitteilung, »Gartner Identifies Top Security and Risk Management Trends for 2022«, 7. März 2022.

 

 

Mehr zur ITDR-Lösung von Illusive: Zu den Produkten gehören:
  • Illusive Spotlight bietet präventive Kontrollen, die kontinuierlich Schwachstellen in Identitätssystemen aufdecken und Gegenmaßnahmen ergreifen, bevor diese Schwachstellen ausgenutzt werden können. Hierbei handelt es sich um eine kostengünstige Möglichkeit, das Identitätsrisiko zu senken und die Belastung, Abhängigkeit und Kosten für die Erkennung von Identitätsrisiken im laufenden Betrieb zu reduzieren.
  • Illusive Shadow funktioniert als aufdeckende Kontrolle (Detective Control), die sich Deception-Techniken zunutze macht, um die Eskalation von Privilegien, Kontoübernahmen und Seitwärtsbewegungen von Cyberkriminellen zum Zeitpunkt des Auftretens zu erkennen.