‹ Zurück Basiswissen Cybersecurity

Identitätssicherheit

Juli 11, 2023

Was ist Identitätssicherheit?

Bei Identitätssicherheit handelt es sich um eine umfassende Lösung, die alle Arten von Identitäten im Unternehmen schützt (ob Mensch oder Maschine, lokal oder hybrid, regulär oder privilegiert), um identitätsbasierte Kompromittierungen zu erkennen und zu verhindern. Dies ist insbesondere dann wichtig, wenn es Bedrohungsakteuren gelingt, Endgerätesicherheitsmaßnahmen zu umgehen.

Alle Konten können mit Berechtigungen ausgestattet werden und so Bedrohungsakteuren einen digitalen Angriffspfad eröffnen. Dabei spielt es keine Rolle, ob dies Konten von IT-Administratoren, Mitarbeitern vor Ort oder im Homeoffice, Drittanbietern oder sogar Kunden sind. Daher müssen Unternehmen in der Lage sein, jede einzelne Identität zu authentifizieren und jede Anfrage zu autorisieren, um die Sicherheit zu gewährleisten und eine Vielzahl von digitalen Bedrohungen – einschließlich Ransomware und Lieferkettenangriffe – zu verhindern.

Auch wenn die Identitätssicherheit in der Sicherheitsarchitektur eine wichtige Rolle spielt, darf nicht vergessen werden, dass sie nur ein Element einer breiter angelegten Sicherheitsplattform ist. Um ein Höchstmaß an Schutz zu gewährleisten, müssen Unternehmen eine umfassende Cybersicherheitsstrategie entwickeln, die nicht nur Identitätssicherheit, sondern auch Endgerätesicherheit, IT-Sicherheit, Cloud-Workload-Schutz und Container-Sicherheit bietet. Zudem sollte sich die Identitätssicherheitslösung gut in die Tools und Prozesse für die Identitäts- und Zugriffsverwaltung (IAM) sowie in eine Zero-Trust-Architektur integrieren lassen.

Warum sollte die Identitätssicherheit in Unternehmen einen hohen Stellenwert haben?

Analysen des CrowdStrike Falcon OverWatch-Teams belegen, dass 80 % aller Kompromittierungen auf Identitätsmissbrauch zurückgehen. Bei diesen modernen Angriffen wird häufig die herkömmliche Cyberangriffskette gemieden. Stattdessen werden direkt kompromittierte Anmeldedaten eingesetzt, um laterale Bewegungen zu ermöglichen und größere Angriffe mit katastrophalem Ausmaß zu starten.

Leider ist es äußerst schwierig, identitätsbasierte Angriffe zu erkennen. Wenn die Anmeldedaten eines zulässigen Benutzers kompromittiert wurden und sich ein Bedrohungsakteur als dieser Benutzer tarnt, ist es mit den üblichen Sicherheitsmaßnahmen und -tools oft sehr schwer, zwischen dem typischen Verhalten des Benutzers und dem des Hackers zu unterscheiden.

Außerdem hat der teilweise durch die COVID-19-Pandemie bedingte schnelle Wandel hin zu einer digitalen Belegschaft die Angriffsfläche vieler Unternehmen erheblich vergrößert. Daher sind die Unternehmen zunehmend gezwungen, eine starke, flexible Identitätssicherheitslösung zu implementieren, die ihr Geschäft und ihre Ressourcen vor Bedrohungen schützt, die sich aus der Nutzung privater Netzwerke oder Geräte durch die Mitarbeiter im Homeoffice ergeben können.

Identitätssicherheit wird manchmal als die letzte Verteidigungslinie von Unternehmen angesehen. Die entsprechenden Lösungen sollen Bedrohungsakteure stoppen, denen es gelungen ist, andere Sicherheitsvorkehrungen wie Tools zur endpunktbasierten Detektion und Reaktion zu umgehen.

CrowdStrike Global Threat Report 2024: Kurzfassung

Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.

Jetzt herunterladen

Wie unterscheidet sich die Identitätssicherheit von IAM-Technologien?

Die Identity Access Management (IAM) gehört zur allgemeinen IT-Sicherheitsstrategie des Unternehmens. Der Schwerpunkt liegt dabei auf der Verwaltung der digitalen Identitäten und der Benutzerzugriffe auf Daten, Systeme und andere Ressourcen. Oft lassen sich identitätsbezogene Zugriffsrisiken mit IAM eingrenzen, doch die zugehörigen Richtlinien, Programme und Technologien werden in der Regel nicht vorrangig als Sicherheitslösung angelegt.

Beispielsweise können IAM-Technologien, mit denen Identitäten zur Bereitstellung von SSO- oder MFA-Funktionen gespeichert und verwaltet werden, identitätsbasierte Angriffe nicht in Echtzeit erkennen und verhindern. Ebenso sind IAM-Lösungen zwar ein wichtiger Teil der allgemeinen Identitätsstrategie, sie bieten jedoch normalerweise keinen umfassenden Überblick über Endgeräte, andere Geräte und Workloads sowie über Identitäten und das Verhalten der Benutzer.

Identitätssicherheit ist kein Ersatz für IAM-Richtlinien, -Programme und -Technologien. Sie soll vielmehr IAM mit erweiterten Funktionen zur Bedrohungserkennung und -prävention ergänzen und verbessern.

Wie ist AD-Hygiene in den Identitätssicherheitskontext einzuordnen?

Active Directory (AD) – ein im Jahr 1999 von Microsoft für Windows-Domänennetzwerke entwickelter Verzeichnisdienst – gilt gemeinhin als eines der schwächsten Glieder in der Cyberabwehrstrategie von Unternehmen. AD basiert auf einer jahrzehntealten Legacy-Technologie und ist einer der meistverbreiteten Identitätsspeicher, der immer noch in über 90 % der Fortune 1000-Unternehmen zum Einsatz kommt. Damit ist es für Bedrohungsakteure ein attraktives Einfallstor, über das sie das Netzwerk kompromittieren, sich lateral bewegen und Zugriffsrechte ausweiten können.

Jeder AD-bezogene Sicherheitskompromiss wirkt sich negativ auf die gesamte Identitätsinfrastruktur aus und kann zu Datenkompromittierungen, Datenbeschädigung, Systemübernahmen oder katastrophalen Ransomware- oder Lieferkettenangriffen führen.

Eine gute Identitätssicherheitslösung sollte daher robuste AD-Sicherheitsfunktionen beinhalten, um einen umfassenden, kontinuierlichen und einheitlichen Überblick über alle Benutzer im gesamten Unternehmen zu ermöglichen. Außerdem muss sie in der Lage sein, gefährliche AD-Angriffe in Echtzeit zu erkennen und zu verhindern.

In welchem Zusammenhang stehen Identitätssicherheit und Zero Trust?

Zero Trust ist ein Sicherheits-Framework, in dem alle Benutzer – innerhalb oder außerhalb des Unternehmensnetzwerks – authentifiziert, autorisiert und fortwährend auf ihre Sicherheitskonfiguration und -lage hin validiert werden müssen, bevor ein Anwendungs- und Datenzugriff erlaubt oder bestätigt wird. Zero Trust geht davon aus, dass es keine traditionelle Netzwerkgrenze mehr gibt. Es gibt lokale Netzwerke, Netzwerke in der Cloud oder eine Kombination bzw. hybride Version mit überall verteilten Ressourcen und Mitarbeitern.

Dieses Framework wird durch verschiedene Branchenrichtlinien wie Forrester eXtended, das CARTA-Modell von Gartner und neuerdings auch NIST 800-207 definiert und ist optimal auf aktuelle Sicherheitsherausforderungen abgestimmt, die für einen cloudzentrierten, weltweit standortunabhängigen Arbeitsansatz zu bewältigen sind.

Unternehmen, die bei den Schutzmaßnahmen keine Abstriche machen möchten, sollten eine Identitätssicherheitslösung mit einem Zero-Trust-Sicherheits-Framework kombinieren. Außerdem müssen sie sicherstellen, dass die von ihnen gewählte Lösung den Branchenrichtlinien entspricht, also beispielsweise den von NIST festgelegten Richtlinien.

Anwendungsszenarien für Identitätssicherheit

Eine umfassende Identitätssicherheitslösung bietet Unternehmen eine Fülle von Vorteilen und fortschrittlichen Funktionen. Hierzu zählen folgende Möglichkeiten:

  • Stoppen moderner Angriffe wie Ransomware– oder Lieferkettenangriffe
  • Erfolgreicher Abschluss von Red Team-/Audit-Tests
  • Verbesserter Überblick über Anmeldedaten in einer hybriden Umgebung (einschließlich Identitäten, privilegierte Benutzer und Service Accounts)
  • Verbesserte Erkennung von lateralen Bewegungen und Schutzmaßnahmen dagegen
  • Erweiterung der Multifaktor-Authentifizierung (MFA) auf Legacy- und nicht verwaltete Systeme
  • Stärkung der Sicherheit von privilegierten Benutzern (z. B. durch Schutz vor Rechteausweitung und Kontoübernahmen)
  • Schutz des Identitätsspeichers vor Protokollangriffen (z. B. NTLM-Angriffe) und Übernahmen (z. B. Pass-the-Hash-/Golden Ticket-Angriffe)
  • Erkennung von Angriffstools (z. B. Mimikatz)

Entwicklung einer umfassenden Identitätssicherheitslösung mit CrowdStrike

Die CrowdStrike® Falcon-Plattform bietet kontinuierliche Einblicke und Sicherheit für sämtliche Unternehmensressourcen. CrowdStrike hilft Kunden beim Aufbau einer umfassenden Sicherheitsstrategie, die auf Identitätssicherheitsprinzipien basiert und folgende Möglichkeiten bietet:

Erkennung und Prävention in Echtzeit: Die Falcon-Plattform bietet Funktionen zur kontinuierlichen und automatischen Überwachung, Erkennung und Reaktion, damit Unternehmen über alle Vorgänge genau informiert sind – angefangen bei der Bedrohung eines einzelnen Endgeräts bis hin zum Bedrohungsniveau des gesamten Unternehmens. Mit intelligenter endpunktbasierter Detektion und Reaktion (EDR) werden Schad- und Angreiferaktivitäten erkannt und intelligent priorisiert.

Durchgängige Transparenz: Die Falcon-Plattform bietet kontinuierliche Einblicke und Sicherheit für eine Vielzahl von Faktoren. Dazu zählen der Typ der Endgeräte-Hardware, Firmware- und Betriebssystemversionen, der Patch-Status, Schwachstellen, installierte Anwendungen, Benutzer- und programmgesteuerte Anmeldungen, die Erkennung von Sicherheitsereignissen und Zwischenfällen sowie – im Falle von identitätsspezifischen Vorfällen und vielen Arten von lateralen Bewegungen – die Prävention.

Robuste AD-Sicherheit: Die fortschrittlichen AD-Sicherheitsfunktionen von Falcon erweitern grundlegende IAM-Funktionen durch die Bewertung von Kontext und Bedrohungen mittels einer Risikoanalyse. Dadurch können Sicherheitsteams bessere, fundiertere Zugriffsentscheidungen treffen und einen bedingten Zugriff für alle Anfragen durchsetzen. Die Prinzipien des bedingten Zugriffs ermöglichen neue Segmentierungstypen, die nicht einfach auf Netzwerkgrenzen, sondern auch auf Richtlinien basieren, die den Kontext der Identität, des Verhaltens und des Risikos der Benutzeranmeldedaten berücksichtigen.

IAM-Integration: Die Tools von Falcon Identity Protection ermöglichen vollständige Identitäts-Audits und einen Gesamtüberblick über Konten, Protokolle und Services, auf die diese jeweils zugreifen. Auf der Falcon-Plattform stehen mehrere APIs für MFA-/IAM-Partneranbieter, SIEM- und SOAR-Technologien usw. zur Verfügung, über die Sie alle Ihre Geräte und Identitäten in Echtzeit anzeigen und die betreffenden Elemente kontrollieren können.

Zero-Trust-NIST-Compliance: CrowdStrike ist der einzige Zero-Trust-Cybersicherheitsanbieter, der NIST-Compliance gewährleistet. Falcon Zero Trust erkennt daher schnell alle Benutzer und Benutzertypen in Ihrem erweiterten Netzwerk (reguläre und privilegierte Konten sowie Service Accounts) und ermöglicht kontinuierliche Einblicke und Verhaltensanalysen. Auf diese Weise ist es möglich, in Echtzeit Risiken zu erkennen und darauf zu reagieren. Mit den anpassbaren Funktionen der Plattform können Sie Reaktionen automatisieren und dabei basierend auf der Identität, dem Verhalten und dem Risiko die geeignete Maßnahme und Benachrichtigung auslösen.

Offene API-zentrierte Plattform: Die Falcon-Plattform stellt das gesamte Spektrum an RESTful-/JSON-APIs bereit, über die Endkunden und das CrowdStrike-Partnerökosystem Tools von Drittanbietern integrieren können, die zu einer nahtlosen Implementierung Ihrer Zero-Trust-Architektur beitragen. Beispiele für Drittanbieter-Integrationen sind Okta, ZScaler, NetSkope, ForeScout, Splunk/Phantom und viele mehr. Der Identitätsschutz von CrowdStrike lässt sich über JSON-, CEF- und LEEF-Formate sowie viele SOAR-Systeme direkt in SIEM integrieren.

WEITERE INFORMATIONEN

Wenn Sie Identitätssicherheit in Aktion sehen oder mit einem Identitätssicherheitsexperten sprechen möchten, fordern Sie eine Live-Demo von einem unserer Experten an.

Featured Articles

Featured Image
Was sind die Active Directory-Verbunddienste (AD FS)?
Featured Image
Silver Ticket-Angriff
Featured Image
Was sind Honeytoken?