Die Häufigkeit von Ransomware-Angriffen hat sich in den letzten Jahren verdoppelt und macht 10 % aller Sicherheitsverletzungen aus. Laut dem 2022 Verizon Data Breach Investigation Report ist der ‘menschliche Faktor’ in 82 % der Sicherheitsverletzungen das primäre Mittel für den ersten Zugriff, wobei Social Engineering und gestohlene Anmeldedaten als wichtigste Bedrohungsmethoden (TTPs) dienen. Angreifer versuchen konsequent, an gültige Anmeldedaten zu gelangen und diese zu nutzen, um sich unbemerkt in Unternehmensnetzwerken zu bewegen. Diese Herausforderungen veranlassen CISOs dazu, die Identitätssicherheit ganz oben auf ihre Prioritätenliste zu setzen.
Herkömmliche Identitätslösungen lassen weiterhin Raum für Angriffe
Zu den beliebtesten traditionellen Identitäts-Sicherheitslösungen zählen Identitäts- und Zugriffsmanagement (IAM), Privileged Access Management (PAM) sowie Identitäts-Governance und -Verwaltung (IGA). Diese Tools stellen sicher, dass die richtigen Benutzer über den entsprechenden Zugriff verfügen, und wenden kontinuierliche Verifizierungen an, die Leitprinzipien des Zero-Trust-Sicherheitsmodells.
Das Identitäts- und Zugriffsmanagement, das sich ausschließlich auf die Bereitstellung, Verbindung und Kontrolle des Identitätszugriffs konzentriert, ist jedoch nur der Ausgangspunkt für die Identitätssicherheit. Der Schutz muss über die anfängliche Authentifizierung und Zugriffskontrolle hinausgehen und andere Aspekte der Identität wie Anmeldedaten, Berechtigungen und die Systeme, die diese verwalten, von der Sichtbarkeit über die Gefährdung bis hin zur Erkennung von Angriffen umfassen.
Aus Sicht der Angriffsvektoren ist Active Directory (AD) ein offensichtlicher Vorteil. AD ist der Ort, an dem Identitäten und ihre Schlüsselelemente natürlich existieren, weshalb es im Fadenkreuz von Angreifern und ein wichtiges Sicherheitsproblem. Da die Cloud-Migration in rasantem Tempo voranschreitet, entstehen zusätzliche Sicherheitsherausforderungen, da IT-Teams schnell Maßnahmen zur Bereitstellung in ihren Umgebungen ergreifen.
Wenn AD-Schwachstellen mit der Tendenz der Cloud zu Fehlkonfigurationen einhergehen, wird die Notwendigkeit einer zusätzlichen Schutzebene über die Bereitstellung und Zugriffsverwaltung hinaus deutlich.
Identitätssicherheit mit einem neuen Ansatz
Moderne, innovative Lösungen für die Identitätssicherheit bieten wichtige Einblicke in die auf Endgeräten gespeicherten Anmeldedaten, Fehlkonfigurationen von Active Directory (AD) und die Ausbreitung von Cloud-Berechtigungen. Identity Attack Surface Management (ID ASM) und Identity Threat Detection and Response (ITDR) sind neue Sicherheitskategorien, die zum Schutz von Identitäten und den Systemen, die diese verwalten, entwickelt wurden.
Diese Lösungen ergänzen und arbeiten mit Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Network Detection and Response (NDR) und anderen ähnlichen Lösungen zusammen.
ID ASM zielt darauf ab, die Angriffsfläche für Identitäten zu reduzieren, um die Angriffsmöglichkeiten für Angreifer zu begrenzen. Je weniger Angriffsflächen vorhanden sind, desto kleiner ist die Angriffsfläche für Identitäten. Für die meisten Unternehmen bedeutet dies Active Directory, sei es lokal oder in Azure.
Während EDR eine robuste Lösung ist, die nach Angriffen auf Endpunkte sucht und Daten zur Analyse sammelt, suchen ITDR-Lösungen nach Angriffen, die auf Identitäten abzielen. Sobald eine ITDR-Lösung einen Angriff erkennt, fügt sie eine zusätzliche Verteidigungsebene hinzu, indem sie gefälschte Daten bereitstellt, die den Angreifer zu einem authentisch aussehenden Köder umleiten, und isoliert automatisch das kompromittierte System, das die Abfrage durchführt.
ITDR-Lösungen bieten auch Unterstützung bei der Reaktion auf Vorfälle, indem sie forensische Daten sammeln und Telemetriedaten zu den während des Angriffs verwendeten Prozessen erfassen. Die Komplementarität von EDR und ITDR passt perfekt zusammen, um ein gemeinsames Ziel zu erreichen – die Bemühungen eines Angreifers zu vereiteln.
ID ASM- und ITDR-Lösungen erkennen den Missbrauch von Anmeldedaten, die Ausweitung von Berechtigungen und andere Taktiken, die Angreifer innerhalb des Netzwerks ausnutzen oder anwenden. Sie schließen kritische Lücken zwischen Identitäts- und Zugriffsmanagement und Endpunkt-Sicherheitslösungen und verhindern so, dass Cyberkriminelle versuchen, anfällige Anmeldedaten auszunutzen, um sich unbemerkt durch Netzwerke zu bewegen.
Identity Threat Security Solutions
SentinelOne nutzt seine umfassende Erfahrung in den Bereichen Privilegieneskalation und Erkennung lateraler Bewegungen und bietet eine branchenführende Lösung im Bereich der Erkennung und Reaktion auf Identitätsbedrohungen sowie der ID-ASM-Lösungen. Das Unternehmen hat seine Führungsposition auf der Grundlage seines breiten Portfolios an ITDR- und ID-ASM-Lösungen gesichert.
Identitätssicherheitsprodukte:
- Singularity Identity Posture Management zur kontinuierlichen Bewertung von Active Directory-Risiken und Aktivitäten, die auf einen Angriff hindeuten könnten
- Singularity Identity Threat Detection and Response (ITDR) zur Erkennung unbefugter Aktivitäten und Angriffe auf Active Directory, Schutz vor Diebstahl von Anmeldedaten und Missbrauch, Verhinderung der Ausnutzung von Active Directory, Sichtbarkeit von Angriffspfaden, Reduzierung der Angriffsfläche und Erkennung lateraler Bewegungen
Singularität™ Identität
Erkennen und reagieren Sie auf Angriffe in Echtzeit mit ganzheitlichen Lösungen für Active Directory und Entra ID.
Demo anfordernEs ist Zeit für einen neuen Ansatz zur Identitätssicherheit
Angesichts der zunehmenden Zahl identitätsbasierter Angriffe müssen Unternehmen heute in der Lage sein, zu erkennen, wenn Angreifer Unternehmensidentitäten ausnutzen, missbrauchen oder stehlen. Dies gilt insbesondere angesichts der Tatsache, dass Unternehmen zunehmend auf die öffentliche Cloud umsteigen und sowohl menschliche als auch nicht-menschliche Identitäten weiterhin exponentiell zunehmen.
Angesichts der Neigung von Angreifern, Anmeldedaten zu missbrauchen, Active Directory (AD) zu nutzen und Identitäten über Cloud-Berechtigungen anzugreifen, ist es von entscheidender Bedeutung, identitätsbasierte Aktivitäten mit modernen ID-ASM- und ITDR-Lösungen zu erkennen.
Erfahren Sie mehr über SentinelOnes Singularity Identity Posture Management und Singularity Identity Lösungen.
"Häufig gestellte Fragen zu identitätsbasierten Angriffen
Identitätsangriffe sind Vorfälle im Bereich der Informationssicherheit, bei denen ein Angreifer versucht, sich unrechtmäßig Zugang zu Systemen zu verschaffen, indem er auf Benutzerdaten wie Benutzernamen, Passwörter oder Authentifizierungstoken abzielt. Angreifer sind daran interessiert, identitätsbezogene Daten zu stehlen, zu manipulieren oder zu missbrauchen, anstatt technische Schwachstellen anzugreifen.
Dabei handelt es sich um Angriffe, bei denen Schwachstellen im Identitäts- und Zugriffsmanagement ausgenutzt werden, um sich als legitime Benutzer auszugeben oder sich dauerhaft lateral in Netzwerken zu bewegen. Sobald Angreifer legitime Anmeldedaten erhalten haben, können sie herkömmliche Sicherheitsmaßnahmen leicht umgehen, da sie als legitime Benutzer erscheinen und somit praktisch nicht zu erkennen sind.
Häufige Beispiele sind Phishing-E-Mails, mit denen Benutzer dazu verleitet werden, ihre Anmeldedaten preiszugeben, Credential-Stuffing-Angriffe, bei denen gestohlene Passwörter auf mehreren Websites verwendet werden, und Password-Spraying-Angriffe, bei denen gängige Passwörter für viele Konten ausprobiert werden. Social-Engineering-Techniken manipulieren Mitarbeiter dazu, vertrauliche Informationen preiszugeben, während Man-in-the-Middle-Angriffe die Kommunikation abfangen, um Daten zu stehlen.
Brute-Force-Angriffe verwenden automatisierte Tools, um Passwörter zu erraten, und Golden-Ticket-Angriffe nutzen Schwachstellen in Active Directory aus, um Zugriff auf Domänen zu erhalten.
Identitätsbasierte Ansätze konzentrieren sich darauf, "wer Sie werden möchten", während ergebnisbasierte Ansätze darauf abzielen, "was Sie erreichen möchten". Im Sicherheitskontext zielen identitätsbasierte Angriffe auf die digitale Identität und die Anmeldedaten einer Person ab, um sich unbefugten Zugriff zu verschaffen, während ergebnisbasierte Angriffe darauf abzielen, bestimmte Ergebnisse wie Datendiebstahl oder Systemstörungen zu erzielen.
Identitätsbasierte Methoden führen zu dauerhaften Verhaltensänderungen, da sie mit der persönlichen Identität im Einklang stehen, während ergebnisbasierte Methoden ihre Wirksamkeit verlieren können, sobald das Ziel erreicht ist. Unternehmen benötigen beide Ansätze – identitätsorientierte Sicherheitskontrollen und ergebnisorientierte Verfahren zur Reaktion auf Vorfälle.
Sie können diese Angriffe verhindern, indem Sie eine Multi-Faktor-Authentifizierung implementieren, die eine zusätzliche Überprüfung über Passwörter hinaus erfordert. Strenge Passwortrichtlinien, die Passphrasen anstelle von komplexen Passwörtern verwenden, erschweren das Eindringen in Systeme. Mitarbeiterschulungen helfen den Mitarbeitern, Phishing-Versuche und Social-Engineering-Taktiken zu erkennen, bevor sie Opfer werden.
Regelmäßige Sicherheitsaudits identifizieren Schwachstellen, während Single-Sign-On-Lösungen die Anzahl der Anmeldedaten reduzieren, auf die Angreifer abzielen können. Überwachen Sie das Benutzerverhalten auf ungewöhnliche Aktivitäten und implementieren Sie Zero-Trust-Sicherheitsmodelle, die jede Zugriffsanfrage überprüfen.
Zu den wichtigsten Arten von Identitätsangriffen gehören Credential Stuffing, bei dem gestohlene Anmeldedaten für mehrere Websites verwendet werden, Password Spraying, bei dem häufig verwendete Passwörter für viele Konten ausprobiert werden, und Phishing-E-Mails, die darauf abzielen, Anmeldedaten zu stehlen. Social Engineering manipuliert Opfer dazu, Informationen preiszugeben, während Brute-Force-Angriffe Passwörter mithilfe von Automatisierungstools erraten.
Man-in-the-Middle-Angriffe fangen Kommunikationen ab, Kerberoasting zielt auf Passwörter von Dienstkonten ab und Golden-Ticket-Angriffe nutzen Schwachstellen in Active Directory aus. Session Hijacking übernimmt aktive Benutzersitzungen und Kompromittierungen privilegierter Konten zielen auf Administrator-Anmeldedaten mit hohen Zugriffsrechten ab.
MFA führt eine weitere Sicherheitsebene ein, die unbefugten Zugriff auch dann verhindert, wenn Passwörter kompromittiert wurden. Sie verlangt von Benutzern mehr als eine Authentifizierungsmethode wie Passwörter, Mobilcodes oder biometrische Daten, bevor sie den Zugriff gewährt. Selbst wenn Hacker Ihr Passwort durch Phishing oder Datenlecks erhalten, benötigen sie für den Zugriff noch eine zweite Methode.
MFA verringert das Risiko von Sicherheitsverletzungen erheblich, da Hacker im Vergleich zu einem Passwort mehr als eine unabhängige Anmeldeinformation knacken müssen. MFA-fähige Unternehmen sind deutlich weniger anfällig für erfolgreiche identitätsbasierte Angriffe, da MFA zusätzliche Barrieren einführt, die viele Hacker nicht ohne Weiteres überwinden können.