Die derzeitige Definition von Identitätsbedrohungen sowie der Verteidigungsansatz und die von den meisten SOC-Teams verwendeten Tools sind völlig unzureichend.
Das muss sich sofort ändern.
Die meisten SOC-Teams sehen die Identitätssicherheit in der Identitätshygiene und der Aktualisierung des Posture Managements im Vorfeld eines Angriffs. Aber in dieser expandierenden Identitäts- und GenAi-Bedrohungsumgebung erfordert umfassende Identitätssicherheit auch KI-gesteuerte Post-Compromise-Erkennungs- und Reaktionsfunktionen, um laufende Angriffe abzuwehren. Wir wissen dies, weil Unternehmen in ihren hybriden Bedrohungsoberflächen von identitätsbasierten Angriffen überrumpelt werden, obwohl sie über einen Schutz vor Identitätsangriffen verfügen.
Diese Herausforderung wird noch dadurch erschwert, dass die meisten SOC-Teams nicht über die technischen Voraussetzungen verfügen, um solche Identitätsangriffe erst Monate später - wenn überhaupt - zu erkennen. Einfach ausgedrückt: Was man nicht sehen kann, kann man auch nicht aufhalten. Wir brauchen ein neues Verständnis von Identität und einen umfassenden Ansatz zur Erkennung und Reaktion.
Eine neue Definition von Identität: das Zentrum des modernen Unternehmens
Identität ist nicht mehr singulär oder weggesperrt. Eine angemessenere Definition lautet, dass die Identität das Zentrum des modernen Unternehmens ist, da sie sich durch Ihre lokalen und cloud Netzwerke, SaaS, PaaS, Daten, Remote-Arbeit und andere Oberflächen und zahlreiche Geräte zieht. Leider ermöglicht es Cyber-Angreifern auch, ihre Angriffe über hybride Oberflächen im industriellen Maßstab zu starten. Darüber hinaus genügt eine einzige kompromittierte Identität, damit Angreifer schnell durch komplexe Netzwerksysteme navigieren und kritische Daten von Unternehmen überallhin stehlen können, ohne von den meisten SOC-Teams überhaupt entdeckt zu werden. Die Realität ist, dass alle hybriden Angriffe letztendlich zu Identitätsangriffen werden.
Alle hybriden Angriffe werden schließlich zu Identitätsangriffen.
Woher wissen wir das?
Denn trotz Investitionen in Millionenhöhe in Sicherheitstools zur Verteidigung hybrider Umgebungen haben 90 % der Unternehmen einen Identitätsangriff erlebt. Darüber hinaus haben Angreifer Techniken wie phishing-as-a-service und ransomware-as-service kommerzialisiert, die es ihnen ermöglichen, erfolgreiche Angriffe mit Identitäten in großem Maßstab zu wiederholen.
Unified cloud und Network Access sind die neue Frontlinie der Identitätssicherheit
Früher waren Identitäten nur zugänglich, wenn ein Angreifer bereits im Netzwerk war. Man glaubte, dass Firewalls, EDR und Richtlinien ausreichen, um Identitäten zu schützen, und dass sie die vorderste Front der Identitätsverteidigung bilden. Das ist nicht mehr der Fall. Heutzutage befinden sich die Identitäten außerhalb des Netzwerks und der Zugriff darauf ist auch außerhalb der traditionellen Netzwerkumgebung möglich. Da ein solcher externer Zugriff nun die Norm ist, sind Unified cloud und der Netzwerkzugriff zu den neuen Frontlinien für Verteidiger geworden.
Angreifer brauchen zwei Dinge, um erfolgreich zu sein - eine Identität und ein Netzwerk
Im Wesentlichen brauchen Angreifer nur zwei Dinge, um erfolgreich zu sein - eine Identität und ein Netzwerk. Was die Identität betrifft, so ist sie für Angreifer ein reiches Ziel. Da die Zahl der Angriffsflächen für Identitätsdiebstahl rapide zunimmt, steigen auch die Möglichkeiten zur Kompromittierung der Identität exponentiell. Jeder Benutzer (Kunden, Mitarbeiter, Partner und Lieferanten), jedes Gerät und jedes Dienstkonto im cloud und im Netzwerk stellt einen potenziellen Angriffsvektor für die Identität dar.
So können Angreifer jede Art von Identität, sowohl menschliche als auch maschinelle, missbrauchen, um ihre Angriffe entweder als Ausgangspunkt zu verbreiten oder sich seitlich innerhalb einer Umgebung zu bewegen, um auf sensible Daten zuzugreifen und ransomware zu verbreiten. Außerdem stellen die unzähligen maschinellen Identitäten (z. B. APIs, Bots und Dienstkonten) allesamt einzigartige Herausforderungen für die Verteidigung dar. Im Gegensatz zu menschlichen Nutzern können sie sich nicht über MFA authentifizieren (mehr zu MFA in einem späteren Abschnitt).
Die Identitätsexplosion bringt enorme blinde Flecken bei Maschinen und Diensten mit sich
Dennoch haben diese Rechneridentitäten Zugang zu wichtigen Ressourcen. Nach Angaben von Silverfort sind 31 % aller Benutzer Dienstkonten mit hohen Zugriffsrechten und geringer Sichtbarkeit. Darüber hinaus werden im Durchschnitt 109 neue Shadow-Admins durch eine einzige AD-Fehlkonfiguration eingeführt, die es Angreifern ermöglicht, das Passwort eines echten Administrators zurückzusetzen. *SilverfortIdentity Underground Bericht
31% aller Nutzer sind Dienstkonten mit hohen Zugriffsberechtigungen und geringer Sichtbarkeit.
Darüber hinaus haben Unternehmen mehr Identitäten zu schützen, als ihrem SOC-Team bewusst sein mag. Laut dem Vectra Identity Calculator haben Unternehmen 3X Identitäten (Rechner-/Dienstkonten) für jeden Mitarbeiter. Das bedeutet, dass Unternehmen mit 1.000 Mitarbeitern mindestens 3.000 Identitäten zu schützen haben. Laut Okta aktivieren nur 64 % dieser Benutzer tatsächlich MFA, was zu mindestens 1.080 Identitäten (3.000 x (100 %-64 %) führt, die nicht durch MFA geschützt sind oder diese sogar verwenden. Es liegt auf der Hand, dass die Art und Weise, wie wir über Identität denken und an Identitätssicherheit herangehen, sowohl elastischer sein als auch eine umfassende Abdeckung beinhalten muss.
Während Angreifergruppen nach Belieben zwischen den Angriffsflächen im Netzwerk und cloud hin- und herwechseln, verlassen sich SOC-Teams allzu oft auf isolierte Tools für jede Angriffsfläche, was zu mehr Lärm, einer Kaskade von Warnungen und weniger Transparenz führt. Mit der rasanten Zunahme von Unternehmensidentitäten und der mangelnden Transparenz erhalten Angreifer immer mehr Möglichkeiten, in ein Netzwerk einzudringen und ihre Angriffe voranzutreiben, während die Verteidiger schlecht gerüstet sind, um diesen neuen Herausforderungen zu begegnen. Folglich können SOC-Teams in den meisten Fällen nicht verhindern, dass Identitätsangriffe in ihre Netzwerke eindringen oder ihre Daten stehlen.
Eine wachsende Angriffsfläche für Identitäten erhöht Ihr Bedrohungsrisiko
Mit der fortschreitenden Migration von Unternehmen auf die Website Cloud erstrecken sich ihre Umgebungen auf die Infrastruktur vor Ort, cloud und Remote-Arbeitsplätze, wodurch ein immer komplexeres Gefüge miteinander verbundener Systeme entsteht. Diese Erweiterung bietet Angreifern mehrere neue Einstiegspunkte für einen Angriff. Allein diese Tatsache erhöht die Erfolgsaussichten erheblich. Selbst ein einziger kompromittierter Einstiegspunkt kann zu erheblichen Einbrüchen führen, da Angreifer zwischen lokalen und cloud Umgebungen wechseln.
MFA ist nicht annähernd genug - wenn es das jemals war
Für einen großen Teil der SOC-Teams ist die vorherrschende Ansicht über ihre Identitätssicherheit die folgende: "Wir haben MFA, also ist alles in Ordnung". Wie wir bei den jüngsten, aufsehenerregenden Sicherheitsverletzungen gesehen haben, ist MFA nicht genug. Die Tatsache, dass 90 Prozent der Unternehmen, die von Identitätsangriffen betroffen sind, über MFA verfügen, spricht eine eindeutige Sprache
90 % der Unternehmen, die von Identitätsangriffen betroffen sind, hatten MFA eingerichtet.
Diese Tatsache wird durch die Offenlegung von Microsoft auf der Ignite 2023 bestätigt, die zeigt, dass 62 % aller monatlich aktiven Nutzer keine MFA aktiviert haben. Das bedeutet, dass für fast zwei Drittel der Identitäten eines Unternehmens ein viel höheres Risiko für eine Kontoverletzung besteht. Schließlich hat der OKTA-Lieferkettenbruch Ende 2023 gezeigt, dass MFA beim Schutz von Identitäten unzureichend ist. Angreifer können MFA u. a. durch Social Engineering oder kompromittierte Geräte leicht aushebeln.
Das ist weniger eine Kritik an der MFA als vielmehr ein Realitätscheck über menschliches Verhalten.
Ebenso sind auch EDR-Lösungen nicht kugelsicher. Sie sind notwendig, aber unzureichend, da sie verschiedene und subtile Anzeichen einer Identitätsgefährdung übersehen können. Intrusion Prevention Tools sind ebenfalls hilfreich, aber nicht perfekt. Kurz gesagt, auf die eine oder andere Weise werden Angreifer Ihre Verteidigungsmaßnahmen durchbrechen. Laut einer Studie von Vectra AIglauben 71 % der Sicherheitsexperten, dass in ihr Unternehmen eingebrochen wurde, sie wissen nur nicht, wo. SOC-Teams müssen die Vorbeugung durch robuste Identitätserkennungs- und Reaktionsfunktionen nach dem Einbruch ergänzen.
Angreifer werden MFA oder EDR umgehen und auf die eine oder andere Weise Ihre Verteidigungsmaßnahmen durchbrechen.
Das menschliche Element und die Ermüdung der Identitätssicherheit
Es gibt auch ein menschliches Element bei der Identitätssicherheit, das sich in der oben erwähnten Statistik der Azure Active Directory-Nutzer von MFA widerspiegelt. Es ist die Erkenntnis, dass selbst dann, wenn den Mitarbeitern oder sogar den Unternehmen Sicherheitstools zur Verfügung stehen, diese nicht immer korrekt oder konsequent genutzt oder umgesetzt werden, wenn überhaupt. Dies äußert sich auf unterschiedlichste Weise, von einfacher Passwortmüdigkeit bis hin zum Versagen bei der Implementierung oder Durchsetzung von Richtlinien auf Unternehmensebene. Der Erfolg von Spear phishing ist zum Teil auf die Ermüdung der Menschen zurückzuführen, auf die Ablenkung durch Multitasking, auf KI-generierte Fälschungen oder einfach auf die "gute alte Neugier".
Aber die Ermüdung der Identitätssicherheit ist auch eine Zweibahnstraße, die sich auch auf SOC-Teams auswirkt. Ermüdung und Burnout von Analysten sind reale und ernstzunehmende Faktoren, die ihre Effektivität beeinträchtigen. Die Bewältigung einer überwältigenden Anzahl von Warnmeldungen - fast 5.000 pro Tag - in Verbindung mit mühsamen manuellen Aufgaben und zu vielen Überstunden führt dazu, dass die Teams überlastet, überfordert und unterbesetzt sind. Das Ergebnis ist ein schwindendes Vertrauen in die eigene Arbeit und eine hohe Fluktuationsrate. Da die Angreifer ihre Angriffe immer effizienter gestalten, fallen die Verteidiger zunehmend hinter die Bedrohungskurve zurück.
GenAI-Angriffsfläche - exponentiell steigende Identitätsbelastung
Und schließlich schafft die schnelle Einführung und Integration von GenAI-Tools wie Microsoft Copilot in Unternehmensumgebungen bereits neue und leicht zugängliche Angriffsflächen. Obwohl KI-gesteuerte Tools die Abläufe rationalisieren sollen, sind sie ein ideales Ziel für Identitätsangriffe, da die großen Sprachmodelle (LLMs), die sie antreiben, Zugang zu geschützten Unternehmensdaten haben. Mit nur einem Einbruch verschaffen sich Angreifer denselben KI-gesteuerten Vorteil, indem sie KI-Funktionen auf Unternehmensebene gegen das Unternehmen selbst einsetzen und Identitäten ausnutzen, um ihre Angriffe mit der Geschwindigkeit und dem Umfang von KI zu verbreiten.
Erschwerend kommt hinzu, dass SOC-Teams ohne eine Lösung zur Identitätserkennung und -reaktion nach der Kompromittierung, die Verhaltensanalysen mit der Geschwindigkeit von KI anwendet, wenig bis gar keinen Einblick in die Informationen haben, die ein KI-Chat-basiertes Tool wie Copilot an den Angreifer zurückgibt. Dies führt zu einer noch größeren Latenz bei Erkennung und Reaktion als ohnehin schon. SOC-Teams müssen in der Lage sein, Erkennungs- und Überwachungslösungen mit KI-gesteuerter Geschwindigkeit und Funktionen zu nutzen, um Angreifer daran zu hindern, Identitäten über GenAI-Tools zu missbrauchen und auf sensible Daten und Informationen zuzugreifen.
Die herkömmliche Definition von Identitätssicherheit, die aus Anmeldedaten und der Verwendung von MFA besteht, ist nicht mehr zutreffend oder brauchbar, da sie hinter der Realität der wachsenden hybriden Oberfläche, der Unzulänglichkeit von MFA, der Massenproduktion von Maschinenidentitäten und der steilen KI-gesteuerten Bedrohungskurve zurückbleibt.
Das Fazit ist, dass die GenAI-gesteuerten Angriffsmöglichkeiten einer Copilot-Verletzung Ihre Identitätsgefährdung in exponentiellem Ausmaß erhöhen.
Wie groß ist das Risiko einer Identitätsverletzung für Unternehmen?
Etwa 98 % der Unternehmen stellen fest, dass die Zahl der Identitäten, die sie schützen müssen, aber nicht schützen können, rapide ansteigt - die Herausforderung ist also kaum zu überschätzen. Darüber hinaus haben laut ISDA 84 % der Unternehmen direkte Auswirkungen auf ihr Geschäft durch eine Identitätsverletzung erlitten. Die Ausbreitung von Identitäten findet statt und wird sich fortsetzen. Es ist kein Wunder, dass 90 % der Unternehmen von einer Identitätsverletzung betroffen sind. Die Kompromittierung von Identitäten wird immer einfacher und gibt Angreifern den Schlüssel zu Ihrem Datenreich in die Hand.
Deshalb ist es erstaunlich, dass 62 % der SOC-Teams keinerlei Einblick in die menschlichen oder maschinellen Identitäten haben, die Zugang zu sensiblen Daten oder Vermögenswerten ihres Unternehmens haben. Mit anderen Worten: Die überwiegende Mehrheit der Unternehmen ist nicht in der Lage, ihre kritischen Werte vor identitätsbasierten Angriffen zu schützen, und kann nicht einmal erkennen, wenn eine Identität missbraucht wird oder wurde.
Was ist wichtiger: der Angreifer, der eindringen könnte, oder der, der schon drin ist?
Wie bereits erwähnt, glauben 71 % der SOC-Analysten, dass sie bereits gefährdet sind, sie wissen es nur noch nicht. Sicher, präventive Maßnahmen und Hygiene sind für eine identitätsorientierte Sicherheit von grundlegender Bedeutung. Mit neuen Benutzern, Geräten, Systemen und Arbeitslasten ist es jedoch ein ständiger Kampf, neue Lücken zu schließen und weitere Konfigurationen zu ändern. Ganz zu schweigen von Fehlkonfigurationen, die durch Automatisierung oder Systemänderungen aufgrund von Fusionen und Übernahmen entstehen.
Trotz Ihrer größten Bemühungen benötigen Angreifer nur eine einzige Öffnung, um in einer Umgebung voranzukommen. Da Angreifer ihre Angriffe immer schneller ausführen, sollten Sicherheitsteams vorrangig in die Erkennung von Bedrohungen nach der Kompromittierung investieren, um Angreifer, die bereits in Ihre Umgebung eingedrungen sind, so früh wie möglich zu stoppen, bevor Schaden entsteht.
Alle Unternehmen müssen ihre Identitätssicherheit auf dem neuesten Stand halten. Das beginnt damit, dass sie die neuen Realitäten der Identitätssicherheit in der wachsenden Identitäts- und GenAI-Bedrohungsumgebung erkennen. Außerdem ist ein ausgewogener Ansatz erforderlich, der die Optimierung der Identitätshygiene und des Haltungsmanagements sowie die Erkennung von und Reaktion auf Identitätsverletzungen umfasst. Empfohlen wird auch eine Lückenanalyse der Gefährdung.
VectraIdentity Threat Detection and Response (ITDR) erkennt Veränderungen in der Sicherheitslage und liefert Identitätserkennung und -reaktion nach einer Kompromittierung mit der Geschwindigkeit und dem Umfang von KI, sodass Ihr Team Identitätskompromittierungen erkennen und stoppen kann, bevor ein Schaden entsteht.