Startseite > Security > ITDR – Gelebte Sicherheit

Identity Threat Detection and Response

ITDR – Gelebte Sicherheit

29. August 2023, 7:30 Uhr | Autor: Evgenij Smirnov / Redaktion: Diana Künstler

Die neue Gartner-Kategorie ITDR spiegelt die Bedrohungslage in modernen IT-Welten wider, die zunehmend hybrid und global vernetzt sind. Identität bildet unter diesen Bedingungen sowohl das wichtigste Bindeglied als auch die einzige Abgrenzung. Umso wichtiger ist der Schutz von Identity-Landschaften.

Der Artikel beantwortet unter anderem folgende Frgen:

Warum hat Gartner die Kategorie „Identity Threat Detection and Response“ (ITDR) ins Leben gerufen?
Was versteht man unter „Identity Threat Detection and Response“?
Welche Modelle liegen der Netzwerk- und System-Architektur Zero Trust zugrunde und wie stehen sie zueinander?
Was besagen die drei Säulen der IT-Resilienz?
Was ist das „Least privilege“-Prinzip?
Welche Aspekte sollte eine moderne ITDR-Strategie beinhalten?
Wie sollte der Umgang mit einem Desaster-Recovery-Plan erfolgen?

Die Cyberangriffe der letzten Jahre sprechen eine deutliche Sprache. Fast alle erfolgreichen Attacken beinhalten eine Kompromittierung von Identitäten. Der Spruch „Hackers don’t break in, they log in“, der seit 2020 verschiedenen prominenten CSOs zugeschrieben wird, bringt diesen Umstand sehr deutlich zum Ausdruck. Diese Erkenntnis führte dazu, dass Gartner in seinen „Top Cybersecurity Trends for 2023“¹ einen besonderen Akzent auf „Identity Fabric Immunity“ legt und die neue Kategorie „Identity Threat Detection and Response“ (ITDR) als das Mittel der Wahl hervorhebt, mit dem diese „Immunität“ von Unternehmen und Organisationen erreicht werden kann.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Zero Trust braucht ITDR

Seit einigen Jahren spricht die IT-Gemeinde bereits über Zero Trust als diejenige Netzwerk- und System-Architektur, die eine sicherere und resilientere IT-Infrastrukturen bescheren soll. Für das Design einer solchen Architektur existieren mehrere Modelle, die sich entweder am US-amerikanischen NIST-Standard oder am britischen NCSC-Framework orientieren. Das NIST-Verständnis von Zero Trust konzentriert sich stark auf Netzwerke und Kommunikationsbeziehungen (Mikrosegmentierung, virtuelle Netzwerk-Overlays und Service Edges). Der britische Ansatz beschäftigt sich mehr mit Applikationen, Zugriffshoheit auf Daten und dem Kombinieren von User- und Maschinen-Identitäten. Die Verwaltung und Absicherung der Identitäten-Infrastruktur bilden jedoch den klaren Schnittpunkt der beiden Konzepte. Das NCSC-Modell spricht hier explizit von „Single strong source of user identity“ und rückt damit die Identitätsverwaltung ins Zentrum von Zero Trust und damit in den Fokus der gesamten IT-Sicherheit in Unternehmen und Organisationen.

Die Absicherung von Identitäten betrifft alle drei Säulen der IT-Resilienz:

Verfügbarkeit und Performance: Da nicht nur zu Beginn einer Benutzersitzung, sondern bei jedem neuen Netzwerkzugriff explizite starke Authentifizierung benötigt wird, müssen Authentifizierungsdienste jederzeit zur Verfügung stehen. Bei einem Verlust großer Teile der Infrastruktur bedeutet dies, dass die Wiederherstellung der Identitätsquellen und der Authentifizierungsdienste priorisiert werden muss, denn die Funktion und oftmals bereits die Wiederherstellung weiterer Infrastrukturteile und Anwendungen hängt von diesen Diensten ab. Angreifer wissen dies und werden daher versuchen, die Identitätsquellen stets mit anzugreifen, selbst wenn diese Art Kompromittierung für den geplanten Angriff per se nicht benötigt wird.
Vertraulichkeit: Das Entwenden oder Kapern von Identitäten ist sehr häufig der erste Schritt in einem komplexen und letztendlich verheerenden Cyber-Angriff. Da dies gemäß den Grundpfeilern von Zero Trust auf lange Sicht unvermeidlich ist (das „assume breach“-Prinzip), muss das Identitäts-Subsystem in der Lage sein, den Missbrauch entwendeter Identitäten möglichst schnell zu erkennen und automatisch gegenzusteuern. Nichtsdestotrotz sollten stets auch starke Authentifizierungsverfahren wie SmartCards, FIDO-Keys/Passkeys oder zumindest Mehrfaktor-Authentifizierung implementiert werden.
Integrität: Nicht minder schädlich als die unbefugte Verwendung von Identitäten sind böswillige und unbemerkte Änderungen an Identitätssystemen und den Daten darin. Damit versuchen Angreifer, die Privilegien erbeuteter Identitäten zu erhöhen, neue Identitäten für die eigene Verwendung zu erzeugen und die eigene Tätigkeit möglichst lange vor der Überwachung zu verbergen. Auch hier gilt es, getreu dem „assume breach“-Prinzip, unerwünschte Änderungen möglichst frühzeitig und präzise zu identifizieren und nach Möglichkeit zu neutralisieren.

Für die Autorisierung von Identitäten beim Zugriff auf Daten und Anwendungen schreiben alle Zero Trust-Konzepte das „Least privilege“-Prinzip vor. Dieses muss natürlich erst recht in der Verwaltung der Identitäten selbst zur Anwendung kommen. Gezielte granulare Delegierung von administrativen Tätigkeiten, Just-In-Time-Administration und generelle Vermeidung von „God mode“-Accounts sind hier Pflicht.

ITDR: Kennen, schützen und bewahren

Es liegt in der Natur des Menschen, einem drohenden Unglück vorbeugen zu wollen, statt sich ihm direkt zu stellen. Daher bildet das Wissen um die eigene Angriffsfläche die „menschlichste“ Säule von ITDR. Die kontinuierliche Überwachung der Kernsysteme in der Identitätslandschaft auf offene Schwachstellen oder bekannte Angriffspfade hin macht es möglich, einen Teil der Angriffe zu antizipieren und ein besonderes Augenmerk auf diese Schwachstellen zu richten. Oft lassen sich Schwachstellen in Identitätssystemen durch Konfigurationsmaßnahmen schließen. Allerdings verhindern Systeme, die Identitäten konsumieren und für die Autorisierung verwenden, immer wieder solche gehärteten Konfigurationen. Ein Paradebeispiel dafür ist Active Directory in Verbindung mit Third-Party-Systemen wie Steuerungsgeräten für Produktionsmaschinen. Letztere diktieren oft unsichere Konfigurationen, und der 25 Jahre alte Verzeichnisdienst von Microsoft erlaubt einem Angreifer, der über solche Konfigurationen einen Fuß in die Tür bekommen hat, eine schnelle Eskalation seiner Privilegien.

Neben dem Wissen um die bereits offenen Flanken muss die richtige ITDR-Strategie daher Mechanismen und Prozesse beinhalten, die das Verfolgen von Änderungen in den Identitätssystemen erlauben. Idealerweise sollte die eingesetzte Infrastruktur es ermöglichen, unerwünschte Änderungen möglichst schnell nach ihrer Entdeckung rückgängig zu machen. Verbunden mit der notwendigen Automatisierung, sorgt solch ein lückenloses Monitoring für die von Gartner gewünschte „Immunisierung“ der Identitätsdienste im laufenden Betrieb.

Für den Fall der Fälle

So gut präventive Maßnahmen auch sein mögen, schreibt sowohl der gesunde Menschenversand als auch das „assume breach“-Prinzip von Zero Trust vor, auch für den Fall vorbereitet zu sein, dass diese Maßnahmen einmal versagen und ein Cyber-Angriff zu Ende geführt werden kann. Anders als bei Systemausfällen infolge einer Naturkatastrophe, müssen die IT-Verantwortlichen bei einem Cyber-Desaster mit einer derartigen Veränderung von Daten in ihren sorgfältig isolierten Backups durch den Angreifer rechnen, dass ein einfaches Restore ihm einen schnellen Wiedereinstieg in die kompromittierte Umgebung ermöglicht. Identitäten sind hier in einem besonderen Maße gefährdet.

Eine moderne ITDR-Strategie muss auch den Cloud-Teil einer hybriden Identität im Auge behalten. Dies betrifft die Schwachstellenanalyse und eine kontinuierliche Überwachung gleichermaßen. Doch auch ein Desaster-Recovery-Konzept für die Cloud-Identitäten darf in einem hybriden Unternehmen nicht fehlen.

Ein Desaster-Recovery-Plan als Teil von ITDR muss daher eine malware- und kompromittierungsfreie Wiederherstellung der Identitäts-Systeme wie beispielsweise des Active Directory ermöglichen. Da Cyber-Angriffe heute Tage, Wochen oder sogar Monate dauern können, kann das Vertrauen in den wiederhergestellten Verzeichnis- oder Authentifizierungsdienst nicht dadurch erreicht werden, dass man auf einen bestimmten Zeitpunkt in der Vergangenheit zurückgeht. Abgesehen davon, dass es in der Regel unmöglich ist, mit Gewissheit zu sagen, seit wann der Angreifer „im System“ ist, bedeutet jeder Schritt in die Vergangenheit zwangsläufig langwierige manuelle Nacharbeiten, Disruption der Benutzer-Erfahrung und verlorene Produktivität. Stattdessen sollte der Recovery-Prozess möglichst viele der Unsicherheitsfaktoren bereits bei der Sicherung abfangen und die Möglichkeit bieten, das verbleibende Risiko als Teil der Wiederherstellung zu behandeln – mit speziellen Tools, Forensik-Maßnahmen oder durch Hinzuziehung externer Expertise.

Wie der Desaster-Recovery-Plan für die Identität auch immer beschaffen ist, muss er nicht nur festgeschrieben, sondern auch gelebt, regelmäßig geübt und bei Bedarf weiterentwickelt werden.

Die Zukunft ist hybrid – Identität muss mithalten

Mit der wachsenden Verbreitung der Cloud-Dienste in Unternehmen und Organisationen gewinnen cloudbasierte Identitätssysteme immer mehr an Bedeutung. Durch die in der Cloud üblichen Protokolle fällt es dort viel leichter als in den herkömmlichen IT-Landschaften, Zero-Trust-Prinzipien inklusive starker Authentifizierung durchzusetzen und die Zugriffe zu überwachen. Allerdings sind weder die IT-Verantwortlichen noch die Endbenutzer dazu bereit, mehrere getrennte Identitäten zu verwalten und zu benutzen. Solange on-premises-Systeme also eine Rolle spielen, bleibt die Mehrheit der Identitätslandschaften daher hybrid. Dies bietet sowohl Chancen (wie die bessere Verhaltensanalyse, die nur in der Cloud möglich ist) als auch Risiken (wie den Durchgriff eines Angreifers von den on-premises-Infrastrukturteilen in die Cloud oder umgekehrt).

Eine moderne ITDR-Strategie muss daher auch den Cloud-Teil einer hybriden Identität im Auge behalten. Dies betrifft die Schwachstellenanalyse und eine kontinuierliche Überwachung gleichermaßen. Doch auch ein Desaster-Recovery-Konzept für die Cloud-Identitäten darf in einem hybriden Unternehmen nicht fehlen.

Die Identität als feste Konstante

Durch die Konvergenz der Unternehmens-Architekturen in Richtung Zero Trust, verbunden mit der Verbreitung von Cloud-Diensten und hybriden Infrastrukturen verschwimmen alle früher etablierten Grenzen zwischen den Teilen einer IT-Landschaft. Einzig die Identität bleibt eine feste Konstante in dem sich ständig verändernden Sicherheitsdschungel. Daher muss die Bewahrung der Vertraulichkeit und Integrität, aber auch die Verfügbarkeit und Performance der Identitätsdienste oberste Priorität für die Sicherheitsverantwortlichen haben. Dies wird durch ein optimales Zusammenspiel aller drei Bestandteile von ITDR erreicht: die Angriffsfläche der eigenen Umgebung kennen, das Geschehen in der Identitätslandschaft nachverfolgen und einen validierten und erprobten Desaster-Recovery-Plan für den Ernstfall parat haben.

Evgenij Smirnov, Senior Solutions Architect bei Semperis

^{1 https://www.gartner.com/en/newsroom/press-releases/04-12-2023-gartner-identifies-the-top-cybersecurity-trends-for-2023}