Von Data First zu Identity First
06.05.2024, 10:00 Uhr
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
(Quelle: Shutterstock / LeoWolfert)
Daten gelten als das neue Öl, sie sind so wertvoll, dass Datendiebe und andere Internetkriminelle inzwischen mehr Geschäft machen als die Drogenmafia. Deshalb ist es nicht verwunderlich, dass neue Konzepte für Cybersicherheit mehrheitlich einen datenzentrierten Ansatz verfolgen. Daten müssen geschützt werden, ganz gleich, wo sie sind, auf den Endgeräten, in der Cloud, unterwegs im Netzwerk oder im Internet.
Die stärkere Konzentration auf die Datensicherheit hängt eng zusammen mit Entwicklungen wie Hybrid Cloud Computing und Hybrid Work. Die zu schützenden Daten können gefühlt überall sein, die Sicherheit muss deshalb unabhängig vom genutzten Endgerät, der verwendeten Cloud oder dem gewählten Netzwerk gewährleistet werden.
Eine Konstante dabei sind die Nutzerinnen und Nutzer, die auf die Daten zugreifen und diese in Applikationen verarbeiten lassen. Anstatt also Schwachstellen bei den Geräten, Netzwerken, Anwendungen und Clouds zu suchen, konzentrieren sich die Cyberkriminellen auf die Nutzer und damit auf die digitalen Identitäten. Denn wenn es bei Identitäten Sicherheitslücken gibt, ebnet dies den Weg zu den Daten auf allen Geräten, in allen Clouds und allen Netzwerken.
«Hacker haben es auf Lücken im Identitäts- und Zugriffsmanagement abgesehen, um in vertrauenswürdigen Umgebungen Fuss zu fassen und auf der Suche nach hochwertigen Zielen vorzudringen», erklärt Ed Goings, Cyber Response Services, KPMG, die Gefahr. «Angreifer sind sich bewusst, dass Active Directory (AD) das Kronjuwel des Unternehmens ist. Es kontrolliert die Berechtigungen, den Zugriff und die Privilegien von Endbenutzern. Unbefugter AD-Zugriff gibt böswilligen Akteuren die Möglichkeit, Hintertüren zu installieren, Daten zu exfiltrieren und Sicherheitsrichtlinien zu ändern.»
Digitale Identitäten als primäres Ziel
Auf den ersten Blick scheinen Identitätsdiebstahl und Identitätsmissbrauch eine untergeordnete Rolle zu spielen. So erklärt zum Beispiel das BSI, dass von Ransomware-Angriffen die derzeit grösste Bedrohung ausgeht, sie verursachen einen Grossteil der wirtschaftlichen Schäden, die durch Cyberangriffe entstehen.
Doch zur Ausführung der Ransomware-Attacken nutzen die Internetkriminellen oftmals die Berechtigungen gestohlener Identitäten, die sie zum Beispiel über Phishing erbeutet haben. Damit nicht genug, ermöglichen es die infolge eines Ransomware-Angriffs erbeuteten Identitätsdaten den Angreifern, zusätzlichen Druck auf die Angriffsopfer auszuüben, indem sie drohen, die Daten auf dafür eingerichteten Leak-Seiten im Darknet zu veröffentlichen, so das BSI im Bericht zur Lage der IT-Sicherheit in Deutschland 2023.
Die Bedrohungen für digitale Identitäten und durch gefälschte Identitäten nehmen gegenwärtig stark zu. Ein wesentlicher Grund dafür ist die steigende Verbreitung von Künstlicher Intelligenz in der Cyberkriminalität. KI wurde bereits zur automatisierten Erstellung von Phishing-Nachrichten und für Desinformationskampagnen ausgenutzt. Eine weitergehende kriminelle Ausnutzung von KI-Methoden ist zu erwarten, prognostiziert das BKA im Lagebericht Cybercrime.
“Sicherheitsorientierte Identitätsansätze gehören zu den Trends, die Sicherheitsverantwortliche 2024 vorrangig beschäftigen werden.„
Richard Addiscott, Senior Director Analyst bei Gartner
Dabei geht der kriminelle KI-Einsatz im Bereich digitaler Identitäten über die Optimierung der Phishing-Angriffe hinaus. Verfahren, mit deren Hilfe Fälschungen von Stimmen, Fotos und Videos erstellt werden können, haben sich in den letzten Jahren sowohl in ihrer Qualität als auch in ihrer Verfügbarkeit und Zugänglichkeit signifikant verbessert, berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die als Deepfakes bezeichneten Manipulationen bewirken, dass man in Onlinemeetings in absehbarer Zeit nicht mehr sicher sein kann, ob man mit der realen Person oder einem Angreifer spricht, warnt das BSI.
Identity First als neue Perspektive
IT-Sicherheitsfachleute empfehlen wegen der zahlreichen Identitätsbedrohungen eine Abkehr von «Data First» hin zu «Identity First» in den Cybersicherheitsstrategien. Das Analystenhaus Gartner zum Beispiel rät zu einer Erweiterung der Rolle des Identitäts- und Zugriffsmanagements (IAM). Richard Addiscott, Senior Director Analyst bei Gartner, empfiehlt Sicherheitsverantwortlichen, sich auf die Stärkung und Nutzung ihrer Identitätsstruktur zu konzentrieren und die Erkennung und Reaktion auf Identitätsbedrohungen zu nutzen, um sicherzustellen, dass die IAM-Funktionen optimal für die Unterstützung der Cybersicherheit geeignet sind. Der neue identitätsorientierte Sicherheitsansatz verlagert den Schwerpunkt von Netzwerksicherheit, Datensicherheit und anderen traditionellen Kontrollen hin zum IAM.
Die Top-Bedrohungen für Wirtschaft und Gesellschaft hängen mit digitalen Identitäten zusammen.
Quelle: BSI
Was ITDR von EDR und XDR unterscheidet
Unter EDR versteht man Erkennungs-, Untersuchungs- und Reaktionstechnologien, die sicherheitsrelevante Telemetriedaten von Endpunkten sammeln, Anomalien erkennen, nähere Analysen anhand gesammelter Telemetriedaten ermöglichen und das Eindämmen der Schäden bei den betroffenen Endpunkten erleichtern.
XDR wiederum kann man als Erweiterung von EDR sehen. Es vereint die Erkennung sicherheitsrelevanter Vorkommnisse bei Endpoints mit weiteren Funktionen wie Netzwerkanalyse und Netzwerksichtbarkeit, E-Mail-Sicherheit und Cloud-Sicherheit, um nur einige Beispielfunktionen zu nennen.
XDR wiederum kann man als Erweiterung von EDR sehen. Es vereint die Erkennung sicherheitsrelevanter Vorkommnisse bei Endpoints mit weiteren Funktionen wie Netzwerkanalyse und Netzwerksichtbarkeit, E-Mail-Sicherheit und Cloud-Sicherheit, um nur einige Beispielfunktionen zu nennen.
ITDR dagegen nimmt gezielt die Identitätsrisiken in den Blick. «Die Umstellung auf hybrides Arbeiten und die zunehmende Cloud-Einführung haben die Identität als neuen Perimeter etabliert und die Bedeutung der Transparenz der Benutzeraktivitäten hervorgehoben. Identity Threat Detection and Response (ITDR) ist das fehlende Glied in ganzheitlichen XDR- und Zero-Trust-Strategien», betont Nicholas Warner, COO von SentinelOne. Das Analystenhaus Gartner hat den Begriff Identity Threat Detection and Response geprägt und meint damit eine Sammlung von Tools und Prozessen zur Verteidigung von Identitätssystemen. Dabei geht ITDR über die Funktionen eines Identity and Access Managements hinaus.
Die ITDR-Lösung von Illusive ermöglicht die Erkennung nicht verwalteter, falsch konfigurierter und exponierter Identitäten, die Unternehmen anfällig für Angriffe machen. Sie liefert aggregierte, priorisierte Einblicke in Identitätsrisiken.
Quelle: Illusive / Proofpoin
ITDR erweitert das klassische IAM
Das klassische IAM beschränkt sich darauf, die Nutzerzugänge und ihre Berechtigungen über den Lebenszyklus von der Einrichtung bis zur Löschung zu verwalten. Dabei wird das User-und-Access-Management verschiedenen, angebundenen Applikationen bereitgestellt. Ein IAM kann zudem die Anmeldung über mehrere Sicherheitsfaktoren absichern und auch Zugänge mit höheren Privilegien wie Administratorzugänge unterstützen. Mögliche Bedrohungen im Umfeld der verwalteten Identitäten jedoch werden weder analysiert noch erkannt oder abgewehrt. Hier kommt ITDR ins Spiel. «Organisationen haben erhebliche Anstrengungen unternommen, um die IAM-Funktionen zu verbessern, aber ein Grossteil davon konzentrierte sich auf Technologien zur Verbesserung der Benutzerauthentifizierung, was tatsächlich die Angriffsfläche für einen grundlegenden Teil der Cybersicherheitsinfrastruktur vergrössert», erklärt Peter Firstbrook, Research Vice President bei Gartner. «ITDR-Tools können dazu beitragen, Identitätssysteme zu schützen, Kompromittierungen zu erkennen und eine effiziente Behebung zu ermöglichen.» Nur autorisierte Endbenutzer, Geräte und Dienste sollten Zugriff auf die Systeme haben. ITDR fügt IAM-Implementierungen eine zusätzliche Sicherheitsebene hinzu, so Gartner.
“Angreifer zielen aktiv auf die IAM-Infrastruktur ab, der Missbrauch von Anmeldeinformationen ist heute ein primärer Angriffsvektor.„
Peter Firstbrook, Research Vice President bei Gartner
Bei ITDR-Lösungen geht es um die Identitätsinfrastruktur selbst und nicht um die von dieser Infrastruktur verwalteten Benutzer. Laut Gartner sollten ITDR-Lösungen mit spezifischen Funktionen für den Identitätsschutz versehen sein. Dazu zählen die Bewertung des Sicherheitsstatus der Active-Directory-Umgebung, die Echtzeitüberwachung von Indikatoren für eine Kompromittierung (IOCs), Analysen zur Erkennung anormaler Verhaltensweisen oder Ereignissen bei Identitäten und einer automatisierten Reaktion auf Vorfälle bei den digitalen Identitäten.
Rezonate will es Sicherheitsteams ermöglichen, aktive Bedrohungen in Echtzeit über SaaS-Anwendungen, IAM und Multi-Cloud-Infrastruktur hinweg zu stoppen. Angriffswege werden sichtbar in der Rezonate Identity Storyline.
Quelle: Gartner
Was IDTR-Lösungen können
ITDR-Lösungen sollen Ransomware-Angriffe frühzeitig stoppen, wenn diese über einen Identitätsdiebstahl starten. Und sie sollen helfen beim Erkennen und Abwehren von Phishing, dem versuchtem Missbrauch privilegierter Identitäten und bei Insiderattacken, da das «Verhalten» digitaler Identitäten überwacht und auf Anomalien reagiert wird. Kurz: Ungewöhnliche Aktivitäten digitaler Identitäten werden ermittelt und gestoppt, so der Anspruch von ITDR. Inzwischen gibt es eine Reihe von Lösungen für Identity Threat Detection and Response auf dem Markt, entweder als eigenständige Lösung oder aber als Modul einer Security-Plattform (siehe Kasten).
Was ITDR-Lösungen machen
Lösungen für Identity Threat Detection and Response haben fünf Kernfunktionen:
Datenerfassung: Sammeln von Benutzeraktivitätsdaten aus verschiedenen Quellen wie Protokolldateien, Netzwerkverkehr und Anwendungs-Logdateien.
Benutzerprofilbildung: Erstellen einer Basislinie normaler Benutzerverhaltensmuster wie Zugriffsgewohnheiten, Datennutzung und für bestimmte Aufgaben aufgewendete Zeit.
Anomalieerkennung: Vergleich aktueller Benutzeraktivitäten mit der etablierten Baseline, um Abweichungen zu identifizieren, die auf potenzielle Bedrohungen oder unbefugte Zugriffsversuche hinweisen können.
Alarmierung und Reaktion: Benachrichtigung der IT-Sicherheitsabteilung über verdächtige Aktivitäten und Bereitstellung der erforderlichen Informationen zur Untersuchung und Behebung von Bedrohungen.
Kontinuierliches Monitoring: Aktualisierung der Basislinien für das Benutzerverhalten und Verfeinerung der Erkennungsalgorithmen, wenn sich Benutzer und Bedrohungen weiterentwickeln (Maschinelles Lernen).
Doch ITDR ist keine reine Frage der Technologie. «Die Erkennung und Reaktion auf Identitätsbedrohungen ist möglicherweise die grösste Lücke in aktuellen Identitäts- und Zugriffslösungen», warnt Ken Foster, Head of Architecture bei Adient. «Obwohl ITDR eine entscheidende Innovation ist, liegt der Schlüssel nicht nur in der Technologie, sondern in der verfügbaren Intelligenz, um angesichts der Vorgänge im Unternehmen die besten Entscheidungen zu treffen.»
Aus diesem Grund setzen viele ITDR-Lösungen auf Verfahren mit KI, die dabei helfen soll, das «normale» Verhalten von Identitäten zu bestimmen, um so Missverbrauchsversuche als Anomalien aufzudecken.
Fazit & Ausblick
Der Schutz von Identitäten wird immer mehr als Prioriät der Cyberabwehr erkannt. Für die Identitätssicherheit ist es dabei entscheidend, nicht nur die Bedrohungen für und durch Identitäten menschlicher Nutzer zu erkennen und abzuwehren. Auch Maschinen im Industrie 4.0-Umfeld, Geräte im IoT und nicht zuletzt auch KI-Systeme haben jeweils eigene Identitäten, die es zu überwachen und zu kontrollieren gilt.
KI-Verfahren helfen also nicht nur bei der Analyse und der Reaktion auf Bedrohungen von Identitäten, auch die KI selbst muss als Identität geschützt oder im Angriffsfall als bösartig erkannt und abgewehrt werden. ITDR-Lösungen sollten somit sämtliche Arten von Identitäten in den Blick nehmen, denn die Internetkriminellen tun dies in ihren Attacken bereits heute.