Problemfall Identity-Management
Lücken im Identitätsschutz
Fortsetzung des Artikels von Teil 1
Einheitlicher Schutz
Unternehmen können sich gegen identitätsbasierte Bedrohungsvektoren verteidigen, indem sie auf einen einheitlichen Identitätsschutz (Unified Identity Protection) setzen, der auf drei Fundamenten steht: Um eine komplette Übersicht zu erhalten und eine detaillierte Gefahrenanalyse vornehmen zu können, bedürfen Sicherheitsexperten und -mechanismen erstens einer ständigen und ganzheitlichen Beobachtung aller Zugriffsversuche. Dies gilt für jedes Authentifizierungsprotokoll (für User-to-Machine- wie auch Machine-to-Machine-Zugriffe) wie auch für alle Systeme und Umgebungen. Es muss alle Zugriffsanfragen einschließen, seien es Anfragen auf Endpunkte, Cloud-Workloads, SaaS-Anwendungen, lokale Datei-Server, Legacy-Geschäftsanwendungen oder Zugriffsversuche auf weitere Ressourcen. Für weitergehende Analysen sollten Unternehmen die Überwachungsdaten in einem einheitlichen Repository sammeln. Dies umgeht die immanenten Komplikationen der IAM-Silos und erleichtert Gefahrenentdeckung sowie -analyse.
Zweitens ist eine sofortige Gefahrenanalyse bei jeder Zugriffsanfrage erforderlich. Ob Gefahr im Verzug ist, können Abwehrmechanismen nur erkennen, wenn sie jeden Zugriffsversuch analysieren, um ihn richtig einzuordnen. Dies muss in Echtzeit geschehen, damit sie notfalls reagieren können. Das bedeutet auch, dass die Abwehr das vollständige Verhalten eines Benutzers nachvollziehen muss – also jede Authentifizierung in einem Netzwerk, einer Cloud- oder On-Premises-Ressource, angefangen bei der ersten Netzwerkanmeldung bis hin zu jeder weiteren Zugriffsanfrage, die er in den Unternehmensumgebungen stellt. Dadurch kann die Abwehr eine exakte Gefahrenanalyse in Echtzeit durchführen. Denn so überblickt sie die notwendigen Zusammenhänge, um zu erkennen, ob eine Kompromittierung der Anmeldedaten vorliegen könnte.
Drittens gilt es, die Sicherheitskontrollen auf alle Zugriffsanfragen auszuweiten. Damit Unternehmen einen Schutz in Echtzeit etablieren können, müssen sie die Sicherheitsüberprüfungen zum Beispiel durch MFA, risikobasierte Authentifizierung und Conditional Access auf alle Systeme in jeder Umgebung des Unternehmens ausdehnen. Denn es ergibt wenig Sinn, für jedes System eine eigene Schutzmaßname einzuführen. Dagegen spricht einerseits, dass sich moderne Umgebungen dynamisch weiterentwickeln, sodass Unternehmen ihre Abwehr ständig erweitern müssten. Andererseits decken bestehende IAM-Sicherheitslösungen viele Assets gar nicht ab. Für den einheitlichen Komplettschutz brauchen Unternehmen eine Technologie, die eine entsprechende Überprüfung durchsetzt und weder die direkte Integration mit einzelnen Geräten, Servern und Anwendungen noch größere Architekturänderungen erfordert.
Einen solchen Komplettschutz liefert ein „Unified Identity Protection“-Mechanismus (UIP). Eine agenten- und Proxy-lose Architektur sorgt dabei dafür, dass diese Technologie jeden Zugriffsversuch – sei es von einem Benutzer oder von einem Service-Account – auf allen Assets und Umgebungen beobachtet. Zudem weitet sie risikobasierte Analyse-, Conditional-Access- und MFA-Richtlinien aus, sodass alle Ressourcen in einer komplexen Unternehmensumgebung eingeschlossen sind. Dabei kann der Schutzmechanismus auch bei Assets greifen, die bislang nicht gesichert waren, beispielsweise bei selbstentwickelten Applikationen und Legacy-Anwendungen, kritischer Infrastruktur, Dateisystemen, Datenbanken und Admin-Tools wie PsExec, durch die Angreifer derzeit agentenbasierter MFA ausweichen können.
Unternehmen können Unified Identity Protection entweder lokal oder in einer hybriden Umgebung implementieren. Bei einem lokalen Knoten empfängt und analysiert eine VM den Authentifizerungsverkehr vom Active Directory, von Radius (Remote Authentication Dial-In User Service), verschiedenen API-Clients, Active Directory Federation Services (ADFS) und PingFederate. In einer hybriden Infrastruktur stellt die VM über eine Management-Konsole eine grafische Benutzeroberfläche bereit, setzt Zugriffsrichtlinien durch und empfängt und analysiert den Authentifizierungsverkehr von Cloud Directories.
Ersetzen Unternehmen die bestehende MFA-Lösung durch einen einheitlichen Identitätsschutz, sinkt die Zahl der installierten Lösungen wie auch der Verwaltungsschnittstellen, da sich alle Zugriffsrichtlinien für den Netzwerkzugriff, für On-Premises- oder Cloud-Umgebungen nun von einer einzigen Konsole aus verwalten lassen. Besteht bereits ein Schutz durch MFA, kann sich eine UIP-Lösung dort integrieren und alle bislang nicht abgedeckten Ressourcen schützen, indem sie den MFA-Schutz auf diese Ressourcen erweitert. Für eine hybride IAM-Konsolidierung verbindet eine solche UIP-Lösung den Identitätsschutz aller On-Premise- und Legacy-Ressourcen, sodass sich über eine Schnittstelle Zugriffsrichtlinien für alle Ressourcen lokal wie auch in der Cloud konfigurieren lassen.
Martin Kulendik ist Regional Sales Director DACH bei Silverfort.
- Lücken im Identitätsschutz
- Einheitlicher Schutz
Lesen Sie mehr zum Thema
