Da identitätsbasierte Angriffe auf dem Vormarsch sind und die Ursache für schwerwiegende Sicherheitsverletzungen sind, wurde die Multi-Faktor-Authentifizierung (MFA) von Unternehmen, Organisationen und Regierungen weltweit weitgehend übernommen. Da jedoch im Jahr 2023 fast 90 % der Organisationen identitätsbasierte Angriffe erleiden werden, reicht die Implementierung von MFA nicht aus.
Wie wir wissen, umfasst die Multifaktor-Authentifizierung zwei und oft drei Faktoren der Identitätsüberprüfung, bevor einem Benutzer der Zugriff auf Daten, ein Netzwerk, ein Konto oder eine Anwendung gewährt wird.
Drei Arten der Authentifizierung
Die Ein-Faktor-Authentifizierung ist sehr einfach. Als Benutzer geben Sie einen drei- oder vierstelligen Code ein - also etwas, das Sie kennen -, um auf Telefonnachrichten, Online-Bankkonten usw. zuzugreifen. Allerdings erwies sich der Einsatz von Ein-Faktor-Authentifikatoren (SFA) als wenig sicher. Hacker fanden schnell Wege, die "geheimen" Codes zu kopieren, zu stehlen oder zu erraten und auf private Konten zuzugreifen.
Bei der Zwei-Faktor- oder Zwei-Schritt-Authentifizierung wird etwas, das Sie kennen, wie z. B. eine PIN oder ein Geheimcode, und etwas, das Sie besitzen, wie z. B. ein persönliches Mobilgerät, hinzugefügt, um eine Push-Benachrichtigung oder eine Textnachricht zu erhalten. In diesem Beispiel gibt es zwei Verifizierungsebenen. Für den Benutzerzugang müssen Sie Ihren Geheimcode kennen und sofortigen Zugriff auf Ihr mobiles Gerät haben.
Bei der Multi-Faktor-Authentifizierung, die über zwei Faktoren hinausgeht, kommt ein dritter Faktor hinzu, d. h. etwas, das Sie sind - ein physisches Attribut, das für Sie einzigartig ist, wie z. B. ein Fingerabdruck, eine Stimme oder eine Gesichtserkennung. MFA erfordert in der Regel alle drei Faktoren, damit der Benutzer den gewünschten Zugriff erhält.
Die MFA-Sicherheitslandschaft und KI-gesteuerte Angriffe
Die Realität ist, dass die Risiken der Verwendung von MFA als effektives Identitätssicherheitsverfahren in Zukunft wahrscheinlich weiter steigen werden. Der Hauptgrund dafür ist das Aufkommen künstlicher Intelligenz oder KI-gesteuerter Cyberangriffe, die im Jahr 2023 stark zun ehmen werden. KI und maschinelles Lernen erweisen sich als gewaltige Kraftverstärker, die es Cyberkriminellen ermöglichen, hochkomplexe und automatisierte Angriffe zu starten, die die üblichen MFA-Schutzmaßnahmen umgehen oder überwältigen.
KI-gestützte Angriffe können beispielsweise Spear-Phishing-Angriffe so anpassen, dass sie sich speziell auf eine einzelne Person konzentrieren, um dem Nutzer vorzugaukeln, dass der Angreifer diese Person ist. KI-gesteuerte Angriffe geben sich als vertrauenswürdiger Benutzer aus, indem sie Tausende von Datenpunkten aus öffentlichen Quellen, Social-Media-Posts und Online-Verhaltensweisen erfassen, um die spezifischen Vorlieben und Eigenschaften dieser Person zu bewerten und so tiefgreifend gefälschte, aber äußerst überzeugende Nachrichten und Online-Auftritte zu erstellen. Diese und andere Arten von KI-gesteuerten Angriffen werden im Jahr 2024 immer häufiger auftreten.
Die Okta-Angreifer sind so froh, dass Sie sich für MFA entschieden haben
Aber KI-gesteuerte Angriffe sind nicht die einzige Art, die die Zunahme von Identitätsangriffen vorantreibt. Selbst wenn Sie alles richtig machen, können Angreifer immer noch Ihre Präventivkontrollen umgehen. Tatsächlich führen mehrere gängige situationsbedingte Bedrohungsrisiken zu sehr erfolgreichen und sehr öffentlichen identitätsbasierten Angriffen.
Der Okta-Einbruch im November 2023 war beispielsweise kein KI-gesteuerter Angriff, sondern einfach das Ergebnis eines IAM-Programms (Identity Access Management) ohne ausreichenden Einblick in die Benutzer, ihren Kontozugriff oder die Nachverfolgung von Anmeldeinformationen. Hacker verschafften sich über gestohlene Zugangsdaten eines auf ihrem System gespeicherten Dienstkontos unbefugten Zugang zum Netzwerk und griffen auf alle persönlichen Daten aller Okta-Kontoinhaber zu.
Die Sicherheitsverletzung wurde durch einen einfachen identitätsbasierten Angriff begangen, den MFA nicht verhindern oder rechtzeitig erkennen konnte. Die Sicherheitsverletzung bei Okta bestätigt das Sprichwort, dass Menschen unser wertvollstes Gut sind, aber je nach Situation auch das größte Risiko für die am besten vorbereiteten Organisationen darstellen können.
Der Angriff von Okta war sicherlich nicht sehr innovativ, aber er hat funktioniert.
Situationsbedingte Bedrohungsrisiken
Es ist wichtig zu verstehen, dass die Okta-Sicherheitslücke auf situative Bedrohungsrisiken zurückzuführen ist, die viel kontrollierbarer sind als KI-gesteuerte Bedrohungen , wenn Ihre Erkennungsfähigkeiten so sind, wie sie sein sollten. Die Ironie des Okta-Verstoßes besteht natürlich darin, dass Okta der Branchenführer im Bereich der Multifaktor-Authentifizierung (MFA) ist, die speziell darauf ausgelegt ist, identitätsbasierte Angriffe zu verhindern. Situationsbedingte Bedrohungsrisiken sind jedoch nach wie vor eine häufige Ursache für identitätsbasierte Angriffe.
Die gute Nachricht ist, dass sie mit der richtigen Lösung zur Erkennung von und Reaktion auf Identitätsbedrohungen durchaus vermeidbar sind, auch wenn sie häufig eingesetzt werden. Aus diesem Grund sollten Sie als Erstes die situativen Bedrohungsrisiken in Ihrer eigenen Umgebung bewerten. Die Risiken sind vielleicht nicht so offensichtlich, wie Sie es gerne hätten. Wenn Sie jedoch genau hinsehen, werden Sie situative Risiken finden, die von Ihren Praktiken und Verfahren zur Verwaltung des Identitätszugriffs (IAM) oder sogar der Verwaltung des privilegierten Zugriffs (PIM) möglicherweise nicht abgedeckt werden - und auch nicht entdeckt werden können.
Im Folgenden finden Sie die fünf größten kontrollierbaren situativen Risiken, die zum raschen Anstieg identitätsbasierter Angriffe beitragen und mit der richtigen Lösung leicht zu verhindern sind.
1. M&A-bezogene Aktivitäten
Fusionen und Übernahmen (M&A) nehmen zu, und es wird erwartet, dass die Zahl der Private-Equity- und Unternehmensübernahmen bis 2024 um 12-13 % steigen wird. Wenn Ihr Unternehmen an Fusionen und Übernahmen beteiligt ist oder dies plant, sollten Sie sich bewusst sein, dass die Risikotoleranz eines Unternehmens während des Fusionsprozesses am geringsten ist.
Dafür gibt es mehrere Gründe. Zum einen bringt jede Phase von Fusionen und Übernahmen neue Verhaltensweisen, neue Mitarbeiter, neue Prozesse, neue Ziele und neue Ereignisse in das tägliche Leben Ihres Unternehmens. Diese Veränderungen werden sich auf alle Ebenen des Unternehmens auswirken, von den Anfängern bis hin zur Führungsebene. Kurz gesagt, mit neuen Realitäten kommen neue Risiken.
Auf operativer Ebene beinhaltet der M&A-Prozess neue Strategien, die Auswahl neuer Mitarbeiter, die Harmonisierung differenzierter Due-Diligence-Praktiken, die Unterbrechung von Routinen, die gemeinsame Nutzung von Daten, neue Systemintegrationsprozesse, neue Transaktionen und andere situations- und verhaltensbedingte Veränderungen. Jede dieser Veränderungen bringt neue Herausforderungen und neue Risiken mit sich. Einige der Risiken werden offensichtlich sein, andere vielleicht nicht.
Auf kultureller und personalwirtschaftlicher Ebene kann die Abstimmung der täglichen Geschäftspraktiken, des Mitarbeiterverhaltens, der Erwartungen an das Risikomanagement und der Herausforderungen bei der Integration des Personals ebenfalls neue und unbekannte Risiken mit sich bringen. Darüber hinaus bedeuten Fusionen und Übernahmen in der Regel einen Stellenabbau, was zu verärgerten Mitarbeitern, territorialen Konflikten zwischen den Mitarbeitern und anderen Verhaltensmustern führen kann, die identitätsbezogene Risiken darstellen können.
Zu all diesen Faktoren kommt noch das Bestreben auf Vorstands- und Geschäftsführungsebene hinzu, das Geschäft mit so wenig Unterbrechungen oder Geschäftsverlusten wie möglich abzuschließen. Das kann dazu führen, dass manche Führungskräfte bei bewährten Verfahren oder beim Risikomanagement Abstriche machen, z. B. zu früh zu viele Daten weitergeben, Zugang auf höchster Ebene gewähren, wenn dies nicht erforderlich ist, und andere Abkürzungen nehmen, um das Geschäft schneller abzuschließen.
Diese und andere situationsbedingte Risiken gehören zu Fusionen und Übernahmen einfach dazu.
2. Organisationen, die über sensible Daten oder kritische Infrastrukturen verfügen, sind hochrangige Ziele
Eine weitere Form des situativen Risikos sind Unternehmen und Organisationen, die mit hochwertigen Daten und/oder Infrastrukturen arbeiten oder diese besitzen. Dadurch werden sie eher zum Ziel von Identitätsangriffen.
Okta zum Beispiel hat mit seiner kritischen Infrastruktur eine erhöhte Wahrscheinlichkeit, von Identitätsangreifern ins Visier genommen zu werden. Ein Finanzdienstleistungsunternehmen mit Vermögenswerten in Milliardenhöhe wäre ein weiteres Beispiel für ein Unternehmen mit einem höheren situativen Risiko eines Identitätsangriffs. Energieunternehmen mit nuklearer Infrastruktur, Unternehmen des Gesundheitswesens, Telekommunikationsunternehmen, Anwaltskanzleien und bestimmte Hersteller haben ebenfalls ein erhöhtes situatives Risiko für Identitätsangriffe.
3. Risiko des Zugriffs durch Dritte
Mit der zunehmenden Nutzung von und Abhängigkeit von Anwendungen, Drittanbietern und externen Diensten in Unternehmen steigt auch das Risiko identitätsbasierter Angriffe. Die Aufrechterhaltung einer strikten Zugangskontrolle zu sensiblen Netzwerken, Diensten und Anwendungen wird umso schwieriger, je mehr Partner, Auftragnehmer und Lieferanten eingesetzt werden.
So können Angreifer beispielsweise Microsoft-Identitäten nutzen, um Zugang zu verbundenen Microsoft-Anwendungen und föderierten SaaS-Anwendungen zu erhalten. Die Angriffe in diesen Umgebungen erfolgen nicht durch die Ausnutzung von Schwachstellen an sich, sondern durch den Missbrauch nativer Microsoft-Funktionen. Die Angreifergruppe Nobelium, die mit den SolarWinds-Angriffen in Verbindung gebracht wird, nutzt nachweislich systemeigene Funktionen wie die Erstellung von Federated Trusts, um ununterbrochenen Zugang zu einem Microsoft-Mandanten zu erhalten.
Problematisch ist auch, dass Unternehmen, die sich auf mehrere Partner und Drittparteien verlassen, ihre Partner zeitaufwändiger überwachen müssen, um sicherzustellen, dass ordnungsgemäße Risiko- und Zugriffsmanagementverfahren eingehalten und durchgesetzt werden. Unterschiedliche Fachkenntnisse, geografisch verteilte Geschäftspartner sowie kulturell unterschiedliche Gepflogenheiten und Verhaltenserwartungen stellen für Unternehmen ein Risiko für identitätsbasierte Verstöße dar.
4. Bedrohung durch Insider und Risiken des Personalabbaus/der Entlassung
Ihre Mitarbeiter können eine wichtige Quelle für Identitätsrisiken sein. Selbst heute, wo die Gefahr von Cyber-Bedrohungen allgemein bekannt ist, befolgen die meisten nicht einmal die grundlegendsten Sicherheitsprotokolle zum Schutz ihrer Identität.
So verwenden beispielsweise 62 % der Fachleute ein Passwort für mehrere Konten, was identitätsbasierte Angriffe viel zu einfach macht. Das erklärt auch, warum 31 % der befragten Unternehmen angeben, dass sie im vergangenen Jahr Brute-Force- oder Passwort-Spraying-Angriffe erlebt haben. VPNs können dabei helfen, den Remote-Zugriff von Dritten zu überprüfen und zu ermöglichen, aber sie sind in ihrer Sichtbarkeit begrenzt.
Personalabbau und Entlassungen können ebenfalls eine wichtige Ursache für identitätsbasierte Insider-Bedrohungen sein. So hat beispielsweise fast jeder dritte ehemalige Mitarbeiter noch immer Zugang zu SaaS-Lösungen des Unternehmens. Bei cloud-basierten Plattformen wie Microsoft 365, die viele Zugangspunkte haben, können Cyberkriminelle die Anmeldedaten Ihrer ehemaligen Mitarbeiter über deren ungeschützte persönliche Geräte, gemeinsam genutzte Anwendungen oder auf andere Weise abrufen.
5. Übermäßiger Zugang für Mitarbeiter
Ein weiteres sehr häufiges Risiko besteht darin, dass Mitarbeiter mehr Zugang zu Daten, Anwendungen und Netzwerken erhalten, als sie für die Ausübung ihrer Tätigkeit benötigen. Übermäßiger Zugriff kann auftreten, wenn neuen Mitarbeitern ein festes oder standardisiertes Maß an Zugriff auf das Unternehmensnetzwerk, Systeme und Anwendungen gewährt wird, das über das hinausgeht, was für ihre Aufgaben erforderlich ist.
Übermäßiger Zugriff öffnet die Tür für Mitarbeiter mit geringer Verantwortung, die ihre Anhänger, Laptops oder Authentifizierungsfaktoren nicht so schützen, wie sie es sollten, und so unwissentlich zu Vektoren für identitätsbasierte Angriffe werden. In diesen Fällen sind IAM-Tools unwirksam, da der übermäßige Zugriff bereits gewährt wurde und der Missbrauch nicht erkannt wird.
Dies geschieht auch, wenn Mitarbeitern für ein bestimmtes Projekt oder einen bestimmten Zweck eine höhere Zugangsberechtigung gewährt wird. Nachdem die Aufgabe oder das Projekt abgeschlossen ist, wird der erhöhte Zugriff nicht widerrufen, was zu Identitätsmissbrauch führen kann.
Nicht nur Mitarbeiter mit geringem Zugang stellen ein Zugangsrisiko dar, das nicht durch IAM- oder PAM-Tools gemindert werden kann. Privilegierte Identitäten, insbesondere Dienstkonten, sind schwer zu überwachen und die Zugriffsberechtigung zu kontrollieren. Infolgedessen haben Sicherheitsteams oft wenig Einblick in die sensiblen Daten und/oder Assets, auf die ihre privilegierten Mitarbeiter zugreifen, oder in die Gründe dafür.
Ein weiteres häufiges Szenario für übermäßigen Zugang ist der Wechsel eines Mitarbeiters in eine andere Abteilung oder in eine andere Rolle innerhalb des Unternehmens oder der Organisation. Die vorherigen Zugriffsebenen bleiben möglicherweise unnötigerweise offen, der Laptop wird möglicherweise nicht von den vorherigen Zugriffsebenen befreit oder die Anhänger werden nicht eingesammelt oder deaktiviert. All dies sind übliche situative Risiken, die das Risiko eines identitätsbasierten Angriffs erhöhen können.
Mangelnde Sichtbarkeit des Benutzerzugriffs und -verhaltens erhöht das identitätsbasierte Risiko
Mangelnder Einblick in den Benutzerzugriff, die Benutzeridentitäten und das Benutzerverhalten ist der gemeinsame Nenner der meisten situationsbedingten Risiken, einschließlich der fünf in diesem Beitrag aufgeführten. Darüber hinaus werden SOC-Teams bei der Verteidigung ihrer Unternehmen gegen identitätsbasierte Risiken in Zukunft noch größere Herausforderungen zu bewältigen haben.
Dafür gibt es mehrere Gründe.
Die explosionsartige Zunahme von SaaS-Anwendungen hat es für IT-Sicherheitsteams sehr schwierig gemacht, auf SaaS-Anwendungen zuzugreifen und Einblicke in die Identität der Benutzer und ihr Verhalten innerhalb des Netzwerks zu erhalten.
Durch die Ausweitung der Fernarbeit ist es schwieriger geworden, die Identität und die Notwendigkeit des Zugriffs von Dritten auf das Netz festzustellen. Dieser Trend wird sich fortsetzen.
Die rasche Zunahme der Zahl der Identitäten erhöht die Gefahr identitätsbezogener Risiken. Die Statistiken sind erschütternd. Etwa 98 % der Unternehmen haben eine Zunahme der Identitäten zu verzeichnen (ISDA). Darüber hinaus kommen auf jede menschliche Identität 45 Maschinen-/Dienstidentitäten, und 62 % der Unternehmen haben keinen Überblick über Mitarbeiter oder Maschinen, die auf ihre sensiblen Daten und Vermögenswerte zugreifen.
Diese Faktoren führen dazu, dass IAM-Programme weniger effektiv sind, als sie sein müssten, und können es ungeprüften Benutzern ermöglichen, sich über nicht autorisierte IP-Adressen Zugang zu verschaffen und auf eingeschränkte Daten zuzugreifen, oder schlimmer noch. Ohne Transparenz kann es schwierig, wenn nicht gar unmöglich sein, die Regeln für die gemeinsame Nutzung von Konten durch Mitarbeiter durchzusetzen und den Beschäftigungsstatus einer Person oder ihr Verhalten innerhalb des Netzwerks auf granularer Ebene zu bestimmen.
Nutzen Sie KI, um die Identität und das Verhalten von Nutzern sichtbar zu machen und einen situativen Kontext zu schaffen.
Der Schlüssel zum Verständnis und zur Eindämmung identitätsbasierter Risiken liegt in der Fähigkeit, den Spieß umzudrehen und die wichtigsten situativen Risikofaktoren zu umgehen. Zu diesen Faktoren gehören die mangelnde Transparenz der Benutzeridentität, die Sicherstellung eines angemessenen Benutzerzugriffs auf das Netzwerk und die Fähigkeit, das Benutzerverhalten schnell zu kontextualisieren. Ihr SOC-Team muss in der Lage sein, einen Benutzer automatisch zu verifizieren, sofort Einblick in das Verhalten des Benutzers innerhalb des Netzwerks und cloud zu erhalten und es sofort mit der Zugriffsstufe und den Aufgaben des Benutzers zu korrelieren, unabhängig davon, wo sich der Benutzer befindet.
Eine häufige Herausforderung ist es, die Identität und die Notwendigkeit des Zugriffs von Mitarbeitern Dritter auf das Netzwerk und cloud festzustellen. Sie kann jedoch mit der richtigen Lösung gelöst werden, die einen tiefen Einblick in die hybriden Umgebungen von Unternehmen bietet. Ohne Transparenz kann es jedoch schwierig, wenn nicht gar unmöglich sein, die Regeln für die gemeinsame Nutzung von Konten durch Mitarbeiter durchzusetzen, den Beschäftigungsstatus einer Person zu bestimmen oder ihr Verhalten innerhalb der hybriden Umgebung auf einer granularen Ebene zu ermitteln.
Darüber hinaus ist der Schutz von Unternehmen mit automatisierten, angemessenen Reaktionen notwendig, um das Risiko identitätsbasierter Angriffe zu minimieren. Sofortige KI-gesteuerte Abhilfemaßnahmen ermöglichen es Ihrem Team, nicht autorisiertes Verhalten zu stoppen, den Zugriff zu unterbinden und Verstöße, Anwendungsmissbrauch, Exfiltration oder andere Schäden zu verhindern - und zwar innerhalb von Minuten, nicht Monaten.
Das ist eine sehr große Sache.
Vectra ITDR nutzt KI-gesteuerte Attack Signal IntelligenceTM, um aktives und verdecktes Identitätsverhalten wie heimliche Admins, missbräuchlich genutzte Dienstkonten und bösartige Anmeldungen über mehrere Angriffsflächen hinweg zu erkennen. Mit vollständigem Kontext zu Vorfällen und Wissen über das Verhalten von Angreifern gewährleistet es eine 360-Grad-Sicht auf identitätsbasierte Angriffe mit >80 % weniger Alarmrauschen als andere Tools.
Vectra AI bietet eine unübertroffene Signalklarheit, Abdeckung und Kontrolle, die es Unternehmen ermöglicht, nicht autorisierte Anmeldungen, Skripting-Engine-Zugriffe, Missbrauch von vertrauenswürdigen Anwendungen, Domänenverbundänderungen und weit verbreiteten Missbrauch von Netzwerk- und cloud -Berechtigungen sofort zu erkennen, zu verstehen und zu unterbinden, bevor es zu Ransomware und Datenverletzungen kommt.
Buchen Sie noch heute eine kostenlose Analyse der Identitätslücke und ermitteln Sie Ihr Schutzniveau im Falle einer möglichen Identitätsverletzung.