InfoGuard Cyber Security & Cyber Defence Blog

Identitätsschutz – nur was wir sehen, können wir schützen

Geschrieben von Reinhold Zurfluh | 08. Mai 2024

Die plakative Überschrift dieses Artikels trifft die grösste Herausforderung beim Identitätsschutz sehr genau. Denn viel zu oft ist die vollständige Transparenz über Benutzer-Identitäten, privilegierte Benutzer und Service-Accounts stark eingeschränkt, was Cyberkriminellen Tür und Tor öffnet. Wir wollen dieses Sicherheitsrisiko in diesem Beitrag ans Licht bringen. Ausserdem beleuchten wir die verschiedenen Herausforderungen, mit welchen Unternehmen konfrontiert sind, wenn sie keinen vollständigen Einblick in die Aktivitäten und Authentifizierungsanfragen ihrer Human- und Unhuman-Accounts haben. Natürlich dürfen dabei auch Lösungsansätze für die dringend benötigte Transparenz nicht fehlen – also Licht an!

Im Vordergrund steht die Frage: Was bedeutet Transparenz, wenn es darum geht, Unternehmen vor Kompromittierung zu schützen? Im Kontext des Identitätsschutzes versteht man unter Sichtbarkeit die Fähigkeit, alle mit einem Unternehmen verbundenen Identitäten, Daten und Sicherheitsrisiken anzuzeigen. Diese Informationen ermöglichen es, die notwendigen Sicherheitsmassnahmen abzuleiten und so einen umfassenden Identitätsschutz für alle (Un-)Human-Accounts zu erzielen. Dies ist wichtig, denn ohne vollständige Transparenz über Elemente wie Benutzer- und Authentifizierungsaktivitäten, Zugriffsberechtigungen, riskante Identitäten, autorisierte Anwendungen usw. könnten sich kritische, unbemerkt bleibende Lücken in der Identitätssicherheit ergeben.

Herausforderung: Passwort-Synchronisation

Identitäten zählen zu den Hauptangriffszielen von Cyberangriffen. Aber unter der Oberfläche der bekannten Identitätsangriffe existiert eine unterirdische Welt von Fehlkonfigurationen, vergessenen Benutzerkonten, veralteten Einstellungen, Fehlverhalten und unsicher integrierten Funktionen – auch bekannt als Identity Threat Exposures (ITEs). Angreifer nutzen diese ITEs für den Diebstahl von Anmeldeinformationen, um die Rechte auszuweiten und sich seitlich innerhalb der Infrastruktur des betroffenen Unternehmens zu bewegen. Das Problem: Es fehlt den meisten Unternehmen an der Transparenz.

Die überwiegende Mehrheit der Unternehmen verwendet heute eine hybride Identitätsinfrastruktur mit Active Directory (AD) für On-Premise-Ressourcen und einem Cloud IdP für SaaS. Üblicherweise synchronisiert AD die Hashes der Benutzer mit dem Cloud-IdP, sodass diese mit denselben Anmeldeinformationen auf SaaS-Anwendungen zugreifen können wie auf On-Premise-Ressourcen. Dies vergrössert die potenzielle Angriffsfläche der SaaS-Umgebung erheblich. Denn jeder Angriff, bei dem der Angreifer in den Besitz von Passwörtern gelangt, ebnet den Weg zu den Cloud-Ressourcen.

Alle ITEs, die es Angreifern ermöglichen, an die Klartext-Passwörter der Benutzer zu gelangen, bieten Angreifern somit direkten Zugang zur SaaS-Umgebung. ITEs, die schwach entschlüsselte Passwort-Hashes offenlegen (NTLM, NTLMv1, Admins mit SPN) oder Angreifern das Zurücksetzen von Benutzer-Passwörtern ermöglichen (Shadow-Admins), werden von Angreifern bereits ausgiebig genutzt. Detaillierte Informationen zu den erwähnten ITEs finden Sie in einem ausführlichen Bericht unseres Technologie-Partners Silverfort.

Herausforderung: Service-Account stehen selten im Scheinwerferlicht

Aber damit nicht genug: Service-Accounts spielen in der heutigen komplexen Unternehmensumgebung eine unendlich wichtige Rolle. Diese nicht-personenbezogenen sprich Machine-to-Machine-Account (M2M) werden von Anwendungen, Systemen und Diensten verwendet, um wichtige automatisierte Aufgaben innerhalb eines Netzwerks umzusetzen. Zur Ausführung von Routineaufgaben benötigen diese Accounts Zugriff auf Ressourcen wie Datenbanken und Dateifreigaben. Wenn sie nicht sauber verwaltet werden, können solche Service-Accounts ein erhebliches Risiko darstellen. Denn sie ermöglichen Cyberkriminellen, kompromittierte Anmeldeinformationen auszunutzen, um solche Accounts zu übernehmen und sich danach unbemerkt seitlich (ITE – lateral mover) durch ein Netzwerk zu bewegen.

Um Service-Accounts effektiv zu verwalten, müssen Sie alle Kontotypen kennen – nicht selten sind dies aber Hunderte oder sogar Tausende. Dies macht es äusserst schwierig, den Überblick über jeden einzelnen Account und seine Aktivitäten zu behalten. Einem Bericht von Osterman Research zufolge glauben nur knapp 20% der befragten Unternehmen zu wissen, welche Service-Accounts es in ihrem Unternehmen überhaupt gibt. Erschreckend – finden Sie nicht auch? Aufgrund der fehlenden Transparenz ist es für Unternehmen schwierig, damit verbundene, unbefugte Zugriffe oder böswillige Aktivitäten zu erkennen.

Ohne angemessene Kontrollen wie kontinuierliche Überwachung und strenge Zugriffsrichtlinien bleiben kompromittierte Service-Accounts oft unentdeckt. Cyberkriminelle bekommen so über einen längeren Zeitraum unentdeckt Zugriff auf kritische Systeme und sensible Daten. Diese Lücke in den Sicherheitskontrollen erhöht nicht nur das Risiko von Datenschutzverletzungen, sondern auch das Potenzial für Betriebsstörungen und Insider-Bedrohungen. Die Eliminierung dieser Sicherheitslücke ist für Unternehmen von entscheidender Bedeutung, um ihre Abwehrmassnahmen zu stärken und ein widerstandsfähiges Sicherheitsdispositiv gegen Cyber-Bedrohungen aufzubauen.

Herausforderung: MFA für privilegierte Benutzer, PsExec- und Remote-PowerShell-Zugriff & Co.

Identitätsschutz ist definitiv kein «Nice-to-Have». Beispielsweise definiert die NIS2-Richtlinie den Mindestsatz an Sicherheitsmassnahmen, die regulierte Unternehmen umsetzen müssen, um ihre Anforderungen zu erfüllen. Artikel 21, Abschnitt 2(j) bezieht sich dabei direkt auf die Multi-Faktor-Authentifizierung (MFA). Die Begründung: Die Sicherheitsmassnahmen sollen Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierungslösungen umfassen, insbesondere dort, wo die Wahrscheinlichkeit besteht, dass der fehlende MFA-Schutz zu einer Cyberverletzung führen könnte . Dazu zählen sicher auch privilegierte Benutzer-Accounts, PsExec - oder Remote PowerShell-Zugriffe sowie kritische Applikationen und Server mit besonders schützenswerten Informationen.

Die Kompromittierung von privilegierten Benutzern ist ein Hauptziel von Angreifern. Diese Benutzerkonten sind berechtigt, auf mehrere Ressourcen innerhalb der Umgebung zuzugreifen, Code auszuführen und mit Daten zu interagieren. In einer typischen Umgebung handelt es sich bei diesen Benutzern um Administratoren, Helpdesk- und IT-Teams, weshalb ein MFA-Schutz für diese Benutzer von grösster Bedeutung ist. Eine Kompromittierung kann somit gravierende Folgen für das betroffene Unternehmen haben.

Angreifer können aber auch kompromittierte Anmeldedaten nutzen, um sich seitlich zu bewegen, ihren ursprünglichen Zugang zu erweitern und sich in der Zielumgebung auszudehnen. Diese Ausbreitung ist die Schlüsselkomponente hinter zahlreichen Ransomware- und Datendiebstahl-Angriffen. Ihre bevorzugten Tools sind dabei Befehlszeilenzugriffstools wie PsExec und Remote PowerShell. Der ultimative Schutz vor diesen Angriffen ist die Erzwingung von MFA für Benutzer, die über diese Tools auf Ressourcen zugreifen. Darüber hinaus haben es Angreifer aber auch auf kritische Ressourcen abgesehen, beispielsweise durch einen Ransomware-Angriff, der geschäftskritische Anwendungen sperrt oder durch den Diebstahl sensibler Geschäftsdaten oder geistigen Eigentums. Die Identifizierung dieser Ressourcen und der MFA-Schutz für den Zugriff der Benutzer auf diese Ressourcen hat daher höchster Priorität.

Herausforderung: fehlender Kontext und Sichtbarkeit

In den meisten Fällen ist ein User mit mehreren unterschiedlichen Identitäten über lokale Dienste und diverse Cloud-Services mit der Hybridumgebung seines Unternehmens verbunden – darunter durchaus auch solche mit privilegierten Rechten. Ausserdem können die wenigsten Benutzerverzeichnisse Aussagen über die Risiken und die mit einer bestimmten Identität verbundenen Daten machen. Die riesige Menge an Benutzerdaten, die sich in Systemen wie Active Directory oder einem SIEM eines Unternehmens befinden, erschwert die effektive Verfolgung, Verwaltung und Überwachung von Identitäten, Zugriffsberechtigungen und Aktivitäten zusätzlich.

Leider können nur sehr wenige Lösungen alle Bestands- und Identitätsdaten aggregieren. Dies führt zu fragmentierten und unvollständigen Informationen darüber, wer Zugriff auf welche Ressourcen hat und wie sie diese nutzen. Selbst wenn Sicherheitsadministratoren einige oder alle mit einem Benutzer verbundenen Identitäten und Aktivitäten kennen, haben sie möglicherweise keine klare Vorstellung davon, welche Berechtigungen zugewiesen, geerbt oder geteilt wurden.

 

Bildquelle: Silverfort

Aufgrund dieser mangelnden Sichtbarkeit können potenzielle identitätsbezogene Risiken entstehen, wie z. B. unbefugter Zugriff oder Missbrauch von Privilegien. Ohne vollständige Transparenz Ihrer Benutzer und deren Zugriffsmöglichkeiten wird es immer schwieriger, sensible Daten und kritische Vermögenswerte zu schützen. Aus diesem Grund ist es wichtig zu erkennen, dass Sicherheit wirklich mit Sichtbarkeit beginnt.

In 6 Schritten zum umfassenden Identitätsschutz

Natürlich gibt es betreffend dem Identitätsschutz noch einige weitere Punkte zu beachten, aber wir wollen hier den Bogen auch nicht überspannen. Allein mit diesen drei Herausforderungen wird klar, dass es entscheidend ist, den Identitätsschutz ernst zu nehmen.

Wie dies gelingt, zeigen wir Ihnen anhand unseres 6-Punkte-Programms:

  1. Wissen, wo Sie gefährdet sind
    Stellen Sie sicher, dass Sie einen Überblick über die ITEs in Ihrer Umgebung haben. Wenn Sie AD-Benutzer mit Ihrem Cloud-IdP synchronisieren, stellen Sie sicher, dass Sie dabei die Best Practices von Microsoft befolgen und die Anzahl an ungenutzten Benutzern minimieren.
  2. Eliminieren Sie Risiken, wo Sie können
    Arbeiten Sie eng mit dem Identitätsteam zusammen, um die ITEs auszusortieren, die aus Fehlverhalten oder Fehlkonfigurationen resultieren. Richten Sie zudem einen Prozess ein, um diese zu beheben, sobald – respektive bevor – sie auftreten.
  3. Eingrenzung und Überwachung bestehender Risiken
    Stellen Sie sicher, dass das SecOps-Team für ITEs, die nicht beseitigt werden können, wie z. B. Service-Accounts oder die Verwendung von NTLM, einen Prozess zur genauen Überwachung auf Anzeichen einer Kompromittierung eingerichtet hat.
  4. Ergreifen Sie präventive Massnahmen
    Wenden Sie Regeln für die Identitätssegmentierung oder MFA-Richtlinien an, um zu verhindern, dass Benutzer-Accounts Opfer von ITEs werden, sofern dies möglich ist. Setzen Sie für Ihre Service-Accounts Zugriffsrichtlinien durch, die den Zugriff auf alle Ziele ausserhalb der ihnen zugewiesenen Ressourcen verhindern.
  5. Verbinden Sie die Identitäts- und Sicherheitsteams
    Die Verantwortung für den Identitätsschutz wird zwischen dem Identitäts- und dem Sicherheitsteam aufgeteilt, wobei letzteres aufgrund seiner Kenntnisse Prioritäten für die zu behebenden ITEs setzen kann, während ersteres diese Korrekturen in die Tat umsetzt.
  6. Besuchen Sie unser Webinar am 28. Mai 2024
    Wenn Sie mehr über das Thema «Best Practice zum Identitätsschutz» erfahren möchten, melden Sie sich gleich zu unserem Webinar vom 28. Mai 2024 um 15.00 Uhr an. Dabei erfahren Sie, wie einfach ein umfassender Identitätsschutz dank der Unified-Identity-Protection-Plattform unseres Technologie-Partners Silverfort ist – es lohnt sich!

Silverfort – schafft Transparenz und liefert «Best Practice»-Identitätsschutz

Silverfort ist die erste Unified-Identity-Protection-Plattform, die alle erforderlichen Funktionen zur Prävention und Erkennung von Identitätsbedrohungen in einer einzigen Lösung zusammenfasst:

  1. MFA erweitern auf 'nicht schützbare Systeme'
    Mit Silverfort können Sie agenten- und proxylose MFA für alle Geräte, jeden Server oder jede Anwendung, einschliesslich Ressourcen, die zuvor nicht geschützt werden konnten, umsetzen. So verhindern Sie Datendiebstahl und erfüllen gleichzeitig Compliance- und Cyber-Versicherungsanforderungen.
  2. Erfassen und schützen von Service-Accounts
    Silverfort erfasst automatisch alle nichtmenschlichen Identitäten (Machine-to-Machine-Zugriff). Damit können Sie das Verhalten analysieren und verhindern die unbefugte Nutzung mit einem Zero-Trust-Ansatz, ganz ohne Passwortrotation.
  3. Identitätsangriffe erkennen und reagieren (Identity Threat Detection & Response - ITDR)
    Dank Silverfort erkennen Sie Kontoübernahmen, seitliche Ausbreitung von Ransomware (lateral movement) und können in Echtzeit entsprechende Reaktionen erzwingen, inkl. anpassungsfähiger MFA und Sperren von Zugriffen.

Quelle: Silverfort

Durch die native Integration mit allen führenden IAM-Lösungen bietet Silverfort umfassende MFA, Schutz von Service-Accounts, Erkennung und Reaktion auf Identitätsbedrohungen (ITDR), Identitätssegmentierung und Identitätssicherheitsmanagement (ISPM) in hybriden Umgebungen. Silverfort erweitert den modernen Identitätsschutz auf jeden Benutzer, der auf eine beliebige Ressource zugreift, einschliesslich solcher, die bisher nicht geschützt werden konnten, wie z. B. Legacy-Anwendungen, Befehlszeilenzugriff, Service-Accounts und vieles mehr. Mit diesen Funktionen ermöglicht Silverfort Unternehmen einen umfassenden Schutz vor Cyberangriffen mit kompromittierten Anmeldeinformationen, sowohl vor Ort als auch in der Cloud.

Wenn Sie mehr Beiträge rund um die neuesten Trends, Innovationen und Technologien aus der Cyber Security erfahren möchten, bleiben Sie jetzt am Ball und abonnieren Sie gleich unsere Blog-Updates