Gastkommentar von Fabian Gentinetta, Vectra
Wenn der Identity-Provider kompromittiert ist
Fortsetzung des Artikels von Teil 1
Schadensbegrenzung und weiteres Vorgehen
6. Schädliche Änderungen deaktivieren: Dieser Schritt erklärt sich von selbst – alle entdeckten schädlichen Änderungen in den Einstellungen sind umgehend rückgängig zu machen. Die Details der Änderung sollte man umfassend aufzeichnen, um ein vollständiges Bild der Kompromittierung zu erhalten und weitere forensische Aktivitäten unterstützen zu können.
7. Benutzerpasswörter zurücksetzen: Wenn Sie den Verdacht haben, dass einzelne Benutzerkonten kompromittiert sind, ist es ratsam, die Erneuerung aller Benutzeranmeldedaten zu erbitten – auch wenn dieser Schritt bei Ihren Nutzern unpopulär sein dürfte. Dafür ist er einfach durchzuführen und eine sehr pragmatische, wirksame Maßnahme bei einer möglichen Kompromittierung von Konten.
8. Unter Umständen Schlüssel und Zertifikate zurücksetzen: Das Zurücksetzen der Anmeldeinformationen von Anwendungen und Diensten ist in der Regel eine sehr viel komplexere und arbeitsintensivere Tätigkeit als das Rücksetzen der Passwörter. Deshalb sollten Sie sich vergewissern, dass dieser Schritt zwingen notwendig ist, bevor Sie damit beginnen. Wenn Daten nach außen dringen, kann er unvermeidlich sein.
9. Drittanbietern alle weitreichenden Berechtigungen entziehen: Einige Identitätsanbieter (darunter auch Okta) bitten Anwenderunternehmen mitunter um die Erlaubnis, auf Nutzereinstellungen zuzugreifen und diese zu ändern; oder auch darum, ein System-Debugging durchzuführen. Im Falle einer Kompromittierung des Anbieters ist es ratsam, alle bereits erteilten Zugriffsrechte zu widerrufen.
10. Verteidigungsmaßnahmen verstärken: Die Überprüfung der aktuellen Sicherheitseinstellungen ist ein weiterer offensichtlicher Schritt. Ein sicherheitsrelevanter Vorfall ist eine gute Gelegenheit, um Ihre aktuellen Sicherheitseinstellungen zu überprüfen und zu verbessern. Lösungen zur Verwaltung der Sicherheitslage, die Lücken in den Konfigurationen von Azure AD und M365-Kontrollen scannen und identifizieren können, sind dabei eine große Hilfe.
11. Eine Überwachungslösung installieren: Auch eine nach aktuellen Standards optimal konfigurierte Sicherheitslösung ist nicht immun gegen Sicherheitsverletzungen. Der menschliche Faktor oder Angriffe auf die Lieferkette – wie eben eine Kompromittierung der Identitätsinfrastruktur – können es Angreifern ermöglichen, Ihre Verteidigungsmaßnahmen zu überwinden. Um auf Vorfälle reagieren zu können, benötigen Sie eine wirksame Erkennungs- und Reaktionslösung, um bösartige Aktivitäten zu überwachen und das weitere Vorgehen der Angreifer zu unterbinden.
12. Pläne für die Reaktion auf Vorfälle entwerfen und implementieren: Im Idealfall haben Sie bereits einen Plan, um auf einen Vorfall bei Ihrem Identity Provider zu reagieren, und führen ihn bereits aus. Diejenigen, die noch nicht ausreichend vorbereitet sind, sollten sicherheitsrelevante Vorfälle bei einem IDP zum Anlass nehmen, einen Reaktionsplan zu implementieren. Dieser enthält konkrete Gegenmaßnahmen bei einer Sicherheitsverletzung, die bei einem kritischen Infrastrukturanbieter stattgefunden hat, von dem Ihr Unternehmen abhängig ist.
13. Prüfung durch eine dritte Partei: Wenn sich die Wogen geglättet haben, ist es zu empfehlen, einen seriösen Sicherheitsdienstleister eine Überprüfung Ihrer Sicherheitsvorkehrungen vornehmen zu lassen. So lässt sich klären, ob diese gut konzipiert sind oder Lücken aufweisen.
- Wenn der Identity-Provider kompromittiert ist
- Schadensbegrenzung und weiteres Vorgehen
Lesen Sie mehr zum Thema
