Jede Organisation besteht zu einem großen Teil aus Menschen, sie sind deshalb eine entscheidende Komponente der Sicherheitsarchitektur einer Organisation.
Worauf diese Benutzer Zugriff haben, wofür sie diesen Zugriff nutzen und wie dieser Zugriff verwaltet bzw. nicht verwaltet wird, kann den Unterschied zwischen einem geschützten Unternehmen und einem gefährdeten Unternehmen ausmachen. BEC-Angriffe (Business Email Compromise) sind auf dem Vormarsch, angetrieben durch kompromittierte Anmeldeinformationen. Andere Angriffsformen basieren zu Beginn häufig auf Anmeldeinformationen oder Zugriff.
Aufgrund dieses Risikos ist die Identitäts- und Zugriffsverwaltung so wichtig.
Was ist Identitäts- und Zugriffsverwaltung?
Identitäts- und Zugriffsverwaltung ist die Governance, Kontrolle und Überwachung von Benutzeridentitäten und Zugriff innerhalb eines Systems oder Netzwerks.
Eine korrekte Identitäts- und Zugriffsverwaltung ist ein Thema, an dem viele Menschen, Prozesse und Technologien beteiligt sind. Sie ist eine fortlaufende Reise, die einem so genannten Zugriffsverwaltungs-Lebenszyklus folgt: Das Einrichten einer Benutzeridentität und das Gewähren von Zugriff, das Anpassen des Zugriffs, wenn sich Unternehmens- und Sicherheitsanforderungen ändern, und das Beenden des Zugriffs.
Moderne Tools wie Okta haben diese Verwaltung für Organisationen optimiert, sodass diese einem Benutzer eine einzige Identität zuweisen und dann über einen zentralen Hub den Zugriff dieses Benutzers auf verschiedene Anwendungen verwalten können.
IAM sorgt dafür, dass die Personen, die keinen Zugriff haben sollten, insbesondere Bedrohungsakteure, nicht auf Systeme und Anwendungen zugreifen können, und beschränkt ihr laterales Bewegungspotenzial, falls sie Zugang erlangen. Hierfür werden sowohl Benutzeridentitäten überprüft als auch ihr interner Zugriff eingeschränkt. IAM kann für interne Benutzer und auch für Partner und Dritte verwendet werden. Wichtig zu betonen ist außerdem, dass für eine robuste IAM-Verwaltung ein Zero Trust-Framework erforderlich ist.
Angenommen, Benutzer A benötigt Zugriff auf eine SaaS-Anwendung für Daten für eine bevorstehende Präsentation in seiner Abteilung. Bei der IAM würde die IT-Abteilung überprüfen, dass es sich um Benutzer A mit seinem bekannten Benutzernamen und Passwort handelt, der Zugriff anfordert, und diese Anfrage genehmigen.
Die IT-Abteilung würde den Zugriff nur für die Dauer des Projekts gewähren und nach Ablauf dieses Zeitraums den Zugriff entfernen. Dieser Zugriff würde auch überwacht werden (alle Benutzeraktivitäten sollten über eine Lösung zur Bedrohungserkennung und -abwehr überwacht werden). All diese beweglichen Teile – Governance, Kontrolle und Überwachung – machen zusammen die IAM aus.
Warum ist IAM so wichtig?
IAM ist aus logistischen Gründen wichtig – keine Organisation möchte, dass Benutzer uneingeschränkten Zugriff auf alles Mögliche haben. Aber sie ist auch aus Sicherheitsgründen wichtig. 20 % aller Vorfälle in Arctic Wolf Incident Response, für die ein Ticket erstellt wurde, stammten im Jahr 2022 aus beobachtetem Identitätsverhalten. Dazu können verdächtige Anmeldungen gehören oder Benutzer, die auf Teile des Unternehmens zugreifen, auf die sie nicht zugreifen sollten oder keinen Zugriff haben sollten. Diese Identitätsprobleme können sich schnell zu einer Kompromittierung geschäftlicher E-Mails, zu einem Phishing-Angriff oder zu einer ausgewachsenen Datenschutzverletzung entwickeln.
Das Verwalten von Identitäten und deren Transparenz kann den Unterschied zwischen einer Warnung ausmachen, bevor eine Anmeldung erfolgt, und einem Angriff im großen Stil. Zu den Vorteilen von Einblicken in Identitäten gehören:
- Fundiertes Wissen über Anmeldungen und wo diese authentifiziert werden
- Bessere zentrale Kontrolle des Benutzerzugriffs
- Multi-Faktor-Authentifizierung (MFA) unterstützt proaktive Sicherheit und stärkt Mitarbeiter
Der dritte Punkt: MFA ist ein wichtiges Tool in der IAM-Toolbox. 58 % aller Opfer von BEC-Angriffen im Jahr 2022 nutzten für ihre Benutzer nicht die MFA. Diese einfache Zugangskontrolle macht einen großen Unterschied und alle Organisationen sollten davon Gebrauch machen.
Die Rolle der IAM für ganzheitliche Transparenz
IAM ist nicht der Weisheit letzter Schluss in Sachen Benutzersicherheit. Es ist häufig schwer zu wissen, was Benutzer mit dem ihnen gewährten Zugriff tun. Die Verwaltung von Berechtigungen ist ein fortlaufender Prozess und Fehlalarme können interne Ressourcen belasten. Organisationen sollten die IAM eher als ein Puzzleteil oder ein Teil der ganzheitlichen Transparenz betrachten.
Benutzeridentität und Zugriffstelemetrie können ein wichtiges Beweisstück sein, wenn ein potenzieller Vorfall untersucht wird. Es könnte sich um eine ungewöhnliche Anmeldung von einem fremden Standort um 3 Uhr nachts handeln, oder um einen Benutzer, der immer wieder versucht, sich bei einer Anwendung anzumelden, auf die er noch nie Zugriff hatte. Ein wichtiger Hinweis, der größere Zusammenhänge erkennen lässt, und Sicherheitsteams warnt, dass etwas nicht stimmt. Die ganzheitliche Transparenz beruht auf dem Konzept, dass mehr Telemetrie und mehr Transparenz zu besserer Sicherheit führen, und Identitäts- und Zugriff sind zwei wichtige Sichtlinien.
Erfahren Sie in unserem On-Demand-Webinar “Seeing Is Securing: The Case For Holistic Visibility” mehr über die ganzheitliche Transparenz.
Informieren Sie sich mit unserer Holistic Visibility blog series umfassend über die unterschiedlichen Telemetriequellen.
Arctic Wolf
Arctic Wolf bietet Ihrem Team Rund-um-die-Uhr-Abdeckung, Fachwissen im Bereich Security Operations und maßgeschneiderte strategische Sicherheitsempfehlungen, die Ihr allgemeines Sicherheitsniveau fortlaufend verbessern.
