Angesichts moderner Systeme und Netzwerke sind Identit?ten der neue Perimeter. Die Zeiten einzelner B¨¹rosysteme mit einem festen Serverraum und station?ren Endpunkten auf dem Schreibtisch sind l?ngst vorbei. Mit dem Aufkommen hybrider Arbeitsmodelle, von Cloud Computing und der rasanten Digitalisierung in Branchen wie dem Gesundheitswesen und der Fertigung ist es die Identit?t eines Benutzers, die zunehmend Macht ¨¹ber die Funktion und Sicherheit eines Netzwerks hat.
Es ist daher keine ?berraschung, dass digitale Identit?ten und Anmeldeinformationen f¨¹r Cyberkriminelle immer wertvoller werden, die diese Benutzernamen, Passw?rter und E-Mails ben?tigen, um in Netzwerke einzudringen und Angriffe zu starten. 2023 meldete sich bei 39?% der Nicht-BEC-Vorf?lle, die von Arctic Wolf untersucht wurden, ein Angreifer mit Hilfe von Anmeldedaten bei einer ungesch¨¹tzten Anwendung an. 20?% der identit?tsbasierten Beobachtungen von Arctic Wolf? Managed Detection and Response (MDR) f¨¹hrten zu Vorf?llen, f¨¹r die ein Ticket erstellt wurde.
Wie es in der Welt der Cybersecurity ¨¹blich ist: Mit dem Fortschritt der Technologie entwickeln sich auch Bedrohungen weiter, die versuchen, diese Technologie auszunutzen. Und im Moment haben sowohl Sicherheitsexperten als auch Bedrohungsakteure die Identit?t im Visier.
Was sind Identit?tsbedrohungen?
Identit?tsbedrohungen sind Cyberbedrohungen f¨¹r die Identit?t eines bestimmten Benutzers oder die Identit?tsinfrastruktur Ihres Unternehmens. Diese besteht aus den Technologien und Prozessen, die Ihr Unternehmen f¨¹r die Verwaltung der digitalen Identit?ten jedes Benutzers und Ger?ts nutzt.
Diese Infrastrukturen sind interessante Ziele f¨¹r Bedrohungsakteure, da diese, wenn es ihnen gelingt, sich als ein bekannter Benutzer auszugeben, nicht nur den Schl¨¹ssel zum K?nigreich bekommen, sondern sich auch seitw?rts bewegen, Rechte erweitern und sogar ?eigene Schl¨¹ssel pr?gen¡° k?nnen, ohne aufzufliegen. Im Durchschnitt dauert es bei Sicherheitsverletzungen, bei denen g¨¹ltige Anmeldeinformationen ausgenutzt werden, l?nger, bis sie erkannt werden, und sie k?nnen einen gr??eren Schaden anrichten.
Wenn wir uns das MITRE ATT&CK-Framework ansehen, ist die Verwendung g¨¹ltiger Konten eine Methode, die in jeder Phase der Kill Chain vorkommt, was bedeutet, dass Bedrohungsakteure f¨¹r Angriffe zumindest an einem bestimmten Punkt Anmeldeinformationen ben?tigen?¨C und es gibt Beweise daf¨¹r, dass sie sehr geschickt darin sind, sich diese zu verschaffen. Laut wurden bei 40?% der Sicherheitsverst??e im Jahr 2023 Anmeldeinformationen missbr?uchlich verwendet. 76?% der Social-Engineering-Angriffe hatten kompromittierte Anmeldeinformationen zur Folge. Dar¨¹ber hinaus haben laut 90?% der Organisationen in den letzten 12?Monaten eine Identit?tsverletzung verzeichnet.
Diese Zahlen zeigen, dass es sich um eine ernste Bedrohung handelt, die Unternehmen unterschiedlicher Gr??e und Branche treffen kann.
Zu den h?ufigsten identit?tsbasierten Bedrohungen geh?ren:
- Ein Bedrohungsakteur, der gestohlene Anmeldeinformationen f¨¹r eine Phase eines Angriffs nutzt
- Ein Bedrohungsakteur, der Phishing- oder Spear-Phishing-Taktiken verwendet, um Anmeldeinformationen und Zugriff zu erhalten
- Ein Bedrohungsakteur, der Zugangsdaten von einem Initial Access Broker kauft
- Ein Bedrohungsakteur, der eine Schwachstelle ausnutzt oder eine andere Methode verwendet, um sich in die Identit?tsinfrastruktur einer Organisation?¨C z.?B. Microsoft Active Directory?¨C zu hacken und an Anmeldeinformationen zu gelangen oder Zugriffsregeln zu ?ndern
Solche Bedrohungen k?nnen in mehreren Phasen eines Angriffs auftreten. Allerdings werden Anmeldeinformationen h?ufig f¨¹r den Erstzugriff verwendet, was sie zur ersten Verteidigungslinie gegen einen Cyberangriff macht.
Dar¨¹ber hinaus sind diese Bedrohungen vielschichtig, da sie unterschiedliche Ursachen haben k?nnen. Beispielsweise kann mit Hilfe von Social Engineering durch T?uschung eines ahnungslosen Benutzers Erstzugriff erlangt werden, das Darknet kann verwendet werden, um gestohlene Anmeldeinformationen zu kaufen, oder die Identit?tsinfrastruktur einer Organisation, z.?B. Active Directory, kann angegriffen werden. Traditionell erfordert jeder dieser Wege in gewisser Weise auch heute noch unterschiedliche Verteidigungsans?tze.
Da sich Unternehmen jedoch an diese neuen Bedrohungen anpassen, die sich auf einzelne Benutzer statt traditionell auf eine Firewall konzentrieren, ist eine neue Strategie f¨¹r die ?berwachung und Reaktion auf Identit?tsbedrohungen entstanden: Identit?ts-Bedrohungserkennung und -reaktion.
Was ist Identit?ts-Bedrohungserkennung und -reaktion (Identity Threat Detection and Response, ITDR)?
Identit?ts-Bedrohungserkennung und -reaktion kombiniert Threat Intelligence, bew?hrte Identit?tspraktiken sowie Tools und Prozesse zum Schutz von Identit?tssystemen miteinander.
Der Begriff wurde von im Whitepaper ?Top Security and Risk Management Trends¡° gepr?gt. Die Analystenorganisation definiert ITDR als ?eine Sammlung von Tools und Best Practices zur Verteidigung von Identit?tssystemen¡°. ITDR kann sowohl strategie-?¨C etwa die Implementierung bestimmter Zugriffskontrollen ¨C als auch werkzeugbasiert sein, etwa durch die Verwaltung von Berechtigungen oder Managed Detection and Response.
ITDR wird durch die Implementierung von Erkennungsmechanismen (z.?B. die ?berwachung von Identit?tsquellen rund um die Uhr), die Reaktion auf verd?chtiges Identit?tsverhalten und dessen Untersuchung (z.?B. ungew?hnliche Anmeldungen oder Regel?nderungen) und die schnelle und umfassende Reaktion auf Vorf?lle (z.?B. die Deaktivierung eines bestimmten Benutzerkontos oder das Isolieren eines Endger?ts) erreicht.
Diese Disziplin arbeitet proaktiv und reaktiv, da ?berwachung und Reaktion parallel erfolgen.
Die ITDR-Implementierung sollte mindestens Folgendes umfassen:
- Analyse aktueller Berechtigungs- und Identit?tskonfigurationen
- Implementierung der Multi-Faktor-Authentifizierung (MFA) im gesamten Netzwerk
- Bereitstellung von Privileged Access Management (PAM), um unbefugten privilegierten Zugriff zu verhindern
- Absicherung und ?berwachung von Active Directory
- Kontinuierliche Durchf¨¹hrung von Sicherheitsl¨¹ckenanalyse und -behebung
ITDR sowie Identit?ts- und Zugriffsverwaltung
ITDR ist fester Bestandteil eines soliden Programms f¨¹r Identit?ts- und Zugriffsverwaltung (Identity and Access Management, IAM). IAM kann zwar den Benutzerzugriff kontrollieren, identit?tsbasierte Angriffe oder Bedrohungen werden dadurch jedoch nicht reduziert. Es begrenzt Seitw?rtsbewegungen und verhindert das Ansammeln von Zugriffsberechtigungen im Lauf der Zeit (Access Creep). IAM ist ein Teil des Identit?tspuzzles und ITDR ein anderer.
Dar¨¹ber hinaus ist IAM ebenso wie PAM ausschlie?lich proaktiv, w?hrend ITDR sowohl proaktiv als auch reaktiv ist. Es hat mehr Gemeinsamkeiten mit anderen Erkennungs- und Reaktionsstrategien wie der ?berwachung rund um die Uhr und der Alarmierung bei bestimmten Verhaltensmustern.
Wie reduziert ITDR Identit?tsrisiken?
Es mag paradox erscheinen, aber durch die Implementierung von IAM vergr??ert eine Organisation ihre Angriffsfl?che. Pl?tzlich gibt es mehr Identit?ten, mehr Benutzer und mehr MFA-Anwendungen, auf die Bedrohungsakteure MFA-?berlastungsangriffe starten k?nnen. ITDR erh?ht die Sicherheit dieser schnell wachsenden Angriffsfl?che, indem es ?berwachung, Erkennung und Reaktion einsetzt und es Unternehmen erm?glicht, Identit?tsbedrohungen zu stoppen, bevor Cyberkriminelle einen Angriff starten k?nnen.
Angenommen, ein Bedrohungsakteur hat gestohlene Anmeldeinformationen von einem Initial Access Broker gekauft. Beim Versuch, sie zu nutzen, wird er mit MFA konfrontiert. Der Bedrohungsakteur versucht, einen MFA-?berlastungsangriff zu starten, doch die Mehrfachanfragen machen das Security Team darauf aufmerksam, dass mit diesem Benutzerkonto etwas nicht stimmt. Nehmen wir an, dem Bedrohungsakteur gelingt es dennoch, sich ¨¹ber diese Anmeldeinformationen Zugang zu verschaffen, er macht aber den Fehler, um 2?Uhr morgens in Osteuropa einen Antrag einzugeben. Die ITDR-?berwachung w¨¹rde dies als verd?chtig einstufen und mit einer Untersuchung und schlie?lich einer Sperrung des Kontos reagieren, bevor der Angreifer sich bewegen kann.
Diese zus?tzliche Ebene f¨¹r die Identit?tssicherheit Ihres Unternehmens kann bei einem Vorfall einen gro?en Unterschied machen.
ITDR und MDR
Je nach Anbieter umfassen viele MDR-L?sungen (Managed Detection and Response) jetzt Identit?tsquellen als Teil ihrer ?berwachungs- und Erkennungsfunktionen. Dies bedeutet, dass ein Unternehmen seine Identit?tsinfrastruktur rund um die Uhr ¨¹berwachen kann und die vollst?ndigen Erkennungs- und Reaktionsm?glichkeiten?¨C mit benannten Sicherheitsexperten?¨C erh?lt, die es bereits f¨¹r sein Endger?te, das Netzwerk und andere Quellen nutzt. Dies tr?gt dazu bei, Bedrohungen zu mindern, und hilft dem Unternehmen gleichzeitig, seine eigenen Infrastruktur- und Sicherheitsl¨¹cken zu verstehen, sodass es sein Angriffsfl?che h?rten und sein Sicherheitsniveau verbessern kann.
Arctic Wolf verfolgt als Security-Operations-Plattform diesen ganzheitlichen Identit?tsansatz und bietet Kunden nicht nur ?berwachung rund um die Uhr sowie Unterst¨¹tzung durch unsere Security Teams, sondern implementiert auch gemeinsam mit den Unternehmen ITDR-Strategien wie die H?rtung von Active Directory oder den Ausbau der MFA-Abdeckung.
Im Gartner Market Guide for MDR Services 2023 erfahren Sie mehr ¨¹ber die Funktionen einer MDR-L?sung.
Erfahren Sie, wie ein Concierge-Ansatz f¨¹r Security Operations Ihrem Unternehmen helfen kann, auf Bedrohungen zu reagieren und Ihr Sicherheitsniveau zu verbessern.
