Angesichts moderner Systeme und Netzwerke sind Identitäten der neue Perimeter. Die Zeiten einzelner Bürosysteme mit einem festen Serverraum und stationären Endpunkten auf dem Schreibtisch sind längst vorbei. Mit dem Aufkommen hybrider Arbeitsmodelle, von Cloud Computing und der rasanten Digitalisierung in Branchen wie dem Gesundheitswesen und der Fertigung ist es die Identität eines Benutzers, die zunehmend Macht über die Funktion und Sicherheit eines Netzwerks hat.
Es ist daher keine Überraschung, dass digitale Identitäten und Anmeldeinformationen für Cyberkriminelle immer wertvoller werden, die diese Benutzernamen, Passwörter und E-Mails benötigen, um in Netzwerke einzudringen und Angriffe zu starten. 2023 meldete sich bei 39 % der Nicht-BEC-Vorfälle, die von Arctic Wolf untersucht wurden, ein Angreifer mit Hilfe von Anmeldedaten bei einer ungeschützten Anwendung an. 20 % der identitätsbasierten Beobachtungen von Arctic Wolf® Managed Detection and Response (MDR) führten zu Vorfällen, für die ein Ticket erstellt wurde.
Wie es in der Welt der Cybersecurity üblich ist: Mit dem Fortschritt der Technologie entwickeln sich auch Bedrohungen weiter, die versuchen, diese Technologie auszunutzen. Und im Moment haben sowohl Sicherheitsexperten als auch Bedrohungsakteure die Identität im Visier.
Was sind Identitätsbedrohungen?
Identitätsbedrohungen sind Cyberbedrohungen für die Identität eines bestimmten Benutzers oder die Identitätsinfrastruktur Ihres Unternehmens. Diese besteht aus den Technologien und Prozessen, die Ihr Unternehmen für die Verwaltung der digitalen Identitäten jedes Benutzers und Geräts nutzt.
Diese Infrastrukturen sind interessante Ziele für Bedrohungsakteure, da diese, wenn es ihnen gelingt, sich als ein bekannter Benutzer auszugeben, nicht nur den Schlüssel zum Königreich bekommen, sondern sich auch seitwärts bewegen, Rechte erweitern und sogar „eigene Schlüssel prägen“ können, ohne aufzufliegen. Im Durchschnitt dauert es bei Sicherheitsverletzungen, bei denen gültige Anmeldeinformationen ausgenutzt werden, länger, bis sie erkannt werden, und sie können einen größeren Schaden anrichten.
Wenn wir uns das MITRE ATT&CK-Framework ansehen, ist die Verwendung gültiger Konten eine Methode, die in jeder Phase der Kill Chain vorkommt, was bedeutet, dass Bedrohungsakteure für Angriffe zumindest an einem bestimmten Punkt Anmeldeinformationen benötigen – und es gibt Beweise dafür, dass sie sehr geschickt darin sind, sich diese zu verschaffen. Laut Verizon wurden bei 40 % der Sicherheitsverstöße im Jahr 2023 Anmeldeinformationen missbräuchlich verwendet. 76 % der Social-Engineering-Angriffe hatten kompromittierte Anmeldeinformationen zur Folge. Darüber hinaus haben laut Identity Defined Security Alliance 90 % der Organisationen in den letzten 12 Monaten eine Identitätsverletzung verzeichnet.
Diese Zahlen zeigen, dass es sich um eine ernste Bedrohung handelt, die Unternehmen unterschiedlicher Größe und Branche treffen kann.
Zu den häufigsten identitätsbasierten Bedrohungen gehören:
- Ein Bedrohungsakteur, der gestohlene Anmeldeinformationen für eine Phase eines Angriffs nutzt
- Ein Bedrohungsakteur, der Phishing- oder Spear-Phishing-Taktiken verwendet, um Anmeldeinformationen und Zugriff zu erhalten
- Ein Bedrohungsakteur, der Zugangsdaten von einem Initial Access Broker kauft
- Ein Bedrohungsakteur, der eine Schwachstelle ausnutzt oder eine andere Methode verwendet, um sich in die Identitätsinfrastruktur einer Organisation – z. B. Microsoft Active Directory – zu hacken und an Anmeldeinformationen zu gelangen oder Zugriffsregeln zu ändern
Solche Bedrohungen können in mehreren Phasen eines Angriffs auftreten. Allerdings werden Anmeldeinformationen häufig für den Erstzugriff verwendet, was sie zur ersten Verteidigungslinie gegen einen Cyberangriff macht.
Darüber hinaus sind diese Bedrohungen vielschichtig, da sie unterschiedliche Ursachen haben können. Beispielsweise kann mit Hilfe von Social Engineering durch Täuschung eines ahnungslosen Benutzers Erstzugriff erlangt werden, das Darknet kann verwendet werden, um gestohlene Anmeldeinformationen zu kaufen, oder die Identitätsinfrastruktur einer Organisation, z. B. Active Directory, kann angegriffen werden. Traditionell erfordert jeder dieser Wege in gewisser Weise auch heute noch unterschiedliche Verteidigungsansätze.
Da sich Unternehmen jedoch an diese neuen Bedrohungen anpassen, die sich auf einzelne Benutzer statt traditionell auf eine Firewall konzentrieren, ist eine neue Strategie für die Überwachung und Reaktion auf Identitätsbedrohungen entstanden: Identitäts-Bedrohungserkennung und -reaktion.
Was ist Identitäts-Bedrohungserkennung und -reaktion (Identity Threat Detection and Response, ITDR)?
Identitäts-Bedrohungserkennung und -reaktion kombiniert Threat Intelligence, bewährte Identitätspraktiken sowie Tools und Prozesse zum Schutz von Identitätssystemen miteinander.
Der Begriff wurde von Gartner im Whitepaper „Top Security and Risk Management Trends“ geprägt. Die Analystenorganisation definiert ITDR als „eine Sammlung von Tools und Best Practices zur Verteidigung von Identitätssystemen“. ITDR kann sowohl strategie- – etwa die Implementierung bestimmter Zugriffskontrollen – als auch werkzeugbasiert sein, etwa durch die Verwaltung von Berechtigungen oder Managed Detection and Response.
ITDR wird durch die Implementierung von Erkennungsmechanismen (z. B. die Überwachung von Identitätsquellen rund um die Uhr), die Reaktion auf verdächtiges Identitätsverhalten und dessen Untersuchung (z. B. ungewöhnliche Anmeldungen oder Regeländerungen) und die schnelle und umfassende Reaktion auf Vorfälle (z. B. die Deaktivierung eines bestimmten Benutzerkontos oder das Isolieren eines Endgeräts) erreicht.
Diese Disziplin arbeitet proaktiv und reaktiv, da Überwachung und Reaktion parallel erfolgen.
Die ITDR-Implementierung sollte mindestens Folgendes umfassen:
- Analyse aktueller Berechtigungs- und Identitätskonfigurationen
- Implementierung der Multi-Faktor-Authentifizierung (MFA) im gesamten Netzwerk
- Bereitstellung von Privileged Access Management (PAM), um unbefugten privilegierten Zugriff zu verhindern
- Absicherung und Überwachung von Active Directory
- Kontinuierliche Durchführung von Sicherheitslückenanalyse und -behebung
ITDR sowie Identitäts- und Zugriffsverwaltung
ITDR ist fester Bestandteil eines soliden Programms für Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). IAM kann zwar den Benutzerzugriff kontrollieren, identitätsbasierte Angriffe oder Bedrohungen werden dadurch jedoch nicht reduziert. Es begrenzt Seitwärtsbewegungen und verhindert das Ansammeln von Zugriffsberechtigungen im Lauf der Zeit (Access Creep). IAM ist ein Teil des Identitätspuzzles und ITDR ein anderer.
Darüber hinaus ist IAM ebenso wie PAM ausschließlich proaktiv, während ITDR sowohl proaktiv als auch reaktiv ist. Es hat mehr Gemeinsamkeiten mit anderen Erkennungs- und Reaktionsstrategien wie der Überwachung rund um die Uhr und der Alarmierung bei bestimmten Verhaltensmustern.
Wie reduziert ITDR Identitätsrisiken?
Es mag paradox erscheinen, aber durch die Implementierung von IAM vergrößert eine Organisation ihre Angriffsfläche. Plötzlich gibt es mehr Identitäten, mehr Benutzer und mehr MFA-Anwendungen, auf die Bedrohungsakteure MFA-Überlastungsangriffe starten können. ITDR erhöht die Sicherheit dieser schnell wachsenden Angriffsfläche, indem es Überwachung, Erkennung und Reaktion einsetzt und es Unternehmen ermöglicht, Identitätsbedrohungen zu stoppen, bevor Cyberkriminelle einen Angriff starten können.
Angenommen, ein Bedrohungsakteur hat gestohlene Anmeldeinformationen von einem Initial Access Broker gekauft. Beim Versuch, sie zu nutzen, wird er mit MFA konfrontiert. Der Bedrohungsakteur versucht, einen MFA-Überlastungsangriff zu starten, doch die Mehrfachanfragen machen das Security Team darauf aufmerksam, dass mit diesem Benutzerkonto etwas nicht stimmt. Nehmen wir an, dem Bedrohungsakteur gelingt es dennoch, sich über diese Anmeldeinformationen Zugang zu verschaffen, er macht aber den Fehler, um 2 Uhr morgens in Osteuropa einen Antrag einzugeben. Die ITDR-Überwachung würde dies als verdächtig einstufen und mit einer Untersuchung und schließlich einer Sperrung des Kontos reagieren, bevor der Angreifer sich bewegen kann.
Diese zusätzliche Ebene für die Identitätssicherheit Ihres Unternehmens kann bei einem Vorfall einen großen Unterschied machen.
ITDR und MDR
Je nach Anbieter umfassen viele MDR-Lösungen (Managed Detection and Response) jetzt Identitätsquellen als Teil ihrer Überwachungs- und Erkennungsfunktionen. Dies bedeutet, dass ein Unternehmen seine Identitätsinfrastruktur rund um die Uhr überwachen kann und die vollständigen Erkennungs- und Reaktionsmöglichkeiten – mit benannten Sicherheitsexperten – erhält, die es bereits für sein Endgeräte, das Netzwerk und andere Quellen nutzt. Dies trägt dazu bei, Bedrohungen zu mindern, und hilft dem Unternehmen gleichzeitig, seine eigenen Infrastruktur- und Sicherheitslücken zu verstehen, sodass es sein Angriffsfläche härten und sein Sicherheitsniveau verbessern kann.
Arctic Wolf verfolgt als Security-Operations-Plattform diesen ganzheitlichen Identitätsansatz und bietet Kunden nicht nur Überwachung rund um die Uhr sowie Unterstützung durch unsere Security Teams, sondern implementiert auch gemeinsam mit den Unternehmen ITDR-Strategien wie die Härtung von Active Directory oder den Ausbau der MFA-Abdeckung.
Im Gartner Market Guide for MDR Services 2023 erfahren Sie mehr über die Funktionen einer MDR-Lösung.
Erfahren Sie, wie ein Concierge-Ansatz für Security Operations Ihrem Unternehmen helfen kann, auf Bedrohungen zu reagieren und Ihr Sicherheitsniveau zu verbessern.
