Identitätsbasierte Angriffe, die sich beispielsweise unter Ausnutzung echter Zugangsdaten Zugriff auf die Netzwerke von Unternehmen verschaffen, gehören zu den Top-Themen im Bereich der Cybersicherheit. Laut des Global Threat Report 2023 von CrowdStrike setzen Cyberakteure verstärkt auf gestohlene Zugangsdaten.
Besonders beliebt sind Anzeigen für Access-Broker-Dienste, die im kriminellen Untergrund um 112 % gegenüber dem Vorjahr zugenommen haben. Darüber hinaus verwenden 71 % der Angreifer bei ihren Angriffen keine Malware. Auch im Jahr 2023 gibt es keine Anzeichen für ein Abflauen dieses Trends.
Die Anziehungskraft identitätsbasierter Techniken auf Cyberangreifer ist einfach zu erklären: Moderne Cybersicherheitstools erkennen Malware schnell und das klassische Hacken über die Tastatur erfordert viel Geschick, Know-how und Erfahrung, und ist zudem relativ einfach durch Gegenmaßnahmen zu verhindern. Ganz einfach mithilfe echter Anmeldedaten auf ein Zielsystem zuzugreifen, sei es durch frühere Angriffe, Social Engineering oder andere Mittel, ist dann eindeutig der bevorzugte Ansatz.
Sobald ein Zielsystem kompromittiert wurde, auch wenn dies nur als unbedeutender, gefälschter Benutzer geschieht, ermöglichen Fehler und Schwachstellen in den von den meisten Unternehmen verwendeten Betriebssystemen dem Angreifer, sich lateral zu bewegen und seine Privilegien zu erweitern. Darüber hinaus treten regelmäßig Probleme mit Active Directory auf, das von 90 % der Fortune-1000-Unternehmen verwendet wird. Monat für Monat werden neue, oft kritische Probleme aufgedeckt, und das, obwohl diese Software bereits das dritte Jahrzehnt seit ihrer ersten Veröffentlichung erreicht hat. Jedes dieser Probleme birgt die Gefahr, dass Angreifer den ‘Generalschlüssel’ eines Unternehmens in die Hand bekommen.
Vier Faktoren für die Identitätssicherheit
Vor diesem Hintergrund ist der Identitätsschutz für die Sicherheitsteams zu einem zentralen Thema geworden, auf das sie achten und in das sie investieren müssen. Aber nicht alle Investitionen in diesem Bereich sind gleichermaßen wertvoll. Folgende vier Überlegungen helfen bei einer klugen Entscheidungsfindung.
1. Der richtige Identitätsschutz
Erstens unterscheidet sich das Identitäts- und Zugriffsmanagement (Identity Access Management, kurz IAM) deutlich von der Identitätssicherheit, und beide verdienen getrennte Lösungen. IAM ist ein Teil der Netzwerkinfrastruktur, das Identitäten, die Teil des Unternehmens sind, bereitstellt, steuert und speichert und möglicherweise Funktionen wie Single Sign-On und Multifaktor-Authentifizierungsprozesse (MFA) verwaltet. IAM-Anbieter rühmen sich zwar mit ihren Sicherheitsfunktionen, aber es gibt hier einige wichtige Punkte, die beachtet werden müssen. So ist das IAM-System selbst ein wichtiger Teil der zu schützenden Infrastruktur. So sollte man nicht zulassen, dass sich Anwendungen selbst gegen Schwachstellen schützen, die sie möglicherweise selbst enthalten, da dies für die Anbieter ein eindeutiges moralisches Dilemma darstellt und die Gefahr von Selbstblindheit besteht. sDritte werden bei der Schließung von Schwachstellen wahrscheinlich einen neutraleren und strengeren Ansatz anwenden. Ein dediziertes ID-Schutzprodukt hat einen einzigen Fokus, eine einzige Verantwortung – und das ist ein entscheidender Vorteil.
2. Ein ganzheitlicher Ansatz
Zweitens kann eine gute Identitätsschutzlösung nur dann ihre Wirkung entfalten, wenn sie in die ganzheitliche Sicherheitsplattform eines Unternehmens eingebunden ist. Potenzielle Angriffe können auf verschiedene Weise erkannt und umgangen werden. Bedrohungsdaten aus globalen Echtzeit-Bedrohungsgraphen, unterstützt und geschult von erfahrenen menschlichen Experten, können Hinweise liefern. Andere Indikatoren können von Diensten stammen, die auf EDR, XDR und cloudbasierte Bereiche ausgerichtet sind. Schwache Signale aus verschiedenen Systemen müssen aus unterschiedlichen Quellen korreliert werden, um das Gesamtbild zu verstehen. Um den Unterschied zwischen ungewöhnlichem und bedrohlichem Verhalten zu erkennen, müssen viele verschiedene Signale miteinander verknüpft werden. Die Konsolidierung hin zu einer einheitlichen Sicherheitsplattform stärkt sowohl die Erkennung als auch die Reaktion und vermeidet gleichzeitig die Verwirrung, die sich aus der Verwendung mehrerer einzelner Tools ergibt.
3. Effektives Identitätsmanagement
Diese Sicherheitsspezialisierung und -orchestrierung führt zu der dritten wichtigen Überlegung für eine effektive Wahl des Identitätsschutzes. Die Art und Weise, wie Warnmeldungen und MFA-Ereignisse sowohl für das Sicherheitspersonal als auch für normale Mitarbeiter generiert werden, muss geschickt sein und reibungslos ablaufen. Sowohl Benutzer als auch Sicherheitsteams empfinden endlose Warnmeldungen als ermüdend, was ihre Wirkung verringert und zudem die Fähigkeit, auf solche Warnmeldungen zu reagieren, einschränkt. Bei den Benutzern erhöhen sie die Anfälligkeit für Social-Engineering-Angriffe, die darauf abzielen, noch mehr Identitätsinformationen zu sammeln.
Der Schutz der Identität sollte für einen legitimen Benutzer nicht mit mehr Aufwand verbunden sein. Es besteht ein großer Unterschied zwischen dem bekannten Szenario, dass sich Menschen aus ihren eigenen Systemen aussperren, weil sie ihre Passwörter vergessen haben, und einem echten Angreifer, der versucht, sich einzuloggen. Daher sollten auch die Sicherheitssysteme sowohl für Benutzer als auch für Systemadministratoren anders reagieren. Wenn ein Mitarbeiter die Anmeldedaten eines anderen für ein bestimmtes Tool verwendet, kann dies aus allen möglichen Gründen problematisch sein und muss behandelt werden, stellt aber kein unmittelbares Sicherheitsrisiko dar. Ein brauchbarer und damit wirksamer Identitätsschutz soll es legitimen Benutzern ermöglichen, ihre Arbeit ungehindert fortzusetzen, geht aber bei echten Risiken hart vor und sperrt sofort jeden Zugang.
4. Account-Management
Schließlich sind identitätsbasierte Angriffe sehr oft das Ergebnis von Fehlern bei der Erstellung oder Umsetzung von Richtlinien. Benutzer, die das Unternehmen verlassen haben, behalten oft ihre aktiven Anmeldedaten oder Konten für Anwendungen und Dienste bleiben im System, die schon lange nicht mehr genutzt werden. Zudem aktualisieren viele Benutzer ihre Passwörter nicht, wie es in der Richtlinie vorgesehen ist, können Passwörter wiederverwenden oder “qwerty123” als neues Passwort wählen. Es ist nicht ungewöhnlich, dass große Unternehmen Tausende von inaktiven Konten haben. Eine gute Identitätsschutzlösung weist nicht nur auf Richtlinienverstöße hin, sondern behebt auch das Problem, indem sie veraltete Konten schließt, den Missbrauch bestehender Konten aufdeckt und die richtigen Personen, ob einzelne Benutzer oder das Sicherheitsteam, über Richtlinienverstöße informiert.
Die Wahl Ihrer Identitätsschutzlösung ist von entscheidender Bedeutung und wird wahrscheinlich eine der wichtigsten Verteidigungslinien im Jahr 2023 und darüber hinaus sein. Dies muss jedoch nicht zwangsläufig zu einer Verkomplizierung sowie zu einer weiteren Welle von Warnmeldungen führen und zusätzliche Arbeit für die ohnehin dünn besetzten Teams bedeuten. Eine Lösung, die in die vorhandenen Sicherheitstools, -prozesse und -verfahren integriert ist, wird sowohl zu einer stärkeren Verteidigung als auch zu einer viel überschaubareren Arbeitsbelastung für die Teams führen.