Dieser Blog wurde erstmals im Jahr 2021 veröffentlicht und wurde aktualisiert.
Identitätssicherheit beginnt mit der Authentifizierung: Der Nachweis, dass man derjenige ist, der man vorgibt zu sein, ist der erste Schritt zur Durchsetzung der organisatorischen Sicherheit, aber bei weitem nicht der letzte. Für zu viele Unternehmen ist das, was nach der Authentifizierung passiert, ein großer blinder Fleck. Der Zugang wird bereitgestellt. Konten akkumulieren Berechtigungen. Mitarbeiter wechseln die Rolle oder verlassen das Unternehmen. Und ohne ein klares, kontinuierlich durchgesetztes Verständnis darüber, wer wann und warum Zugriff auf was haben sollte, vergrößern sich die Lücken unmerklich.
Durch die Pandemie verdreifachte sich die Zahl der Remote-Arbeitsplätze fast, was zu einem erheblichen Anstieg der Zugangsanfragen führte. Aufgrund dieses Ausmaßes waren die Lücken noch schwerer zu ignorieren. Die Hacker drangen in die Netzwerke von Colonial Pipeline ein, indem sie ein VPN-Konto nutzten, das nicht mehr aktiv war. Es handelte sich nicht um eine ausgeklügelte Sicherheitslücke. Es handelte sich um ein Versagen der Zugangsverwaltung, und zwar genau der Art, die die Identitätsverwaltung und -verwaltung (IGA) speziell zu verhindern. Da hybrides Arbeiten zum Standard wird, ist die richtige Sicherheit nach der Authentifizierung nicht mehr optional.
Die hybride Arbeit hat nicht nur den Arbeitsort verändert. Es hat auch das verändert, was Unternehmen zu verteidigen haben. Wenn Mitarbeiter von Heimnetzwerken, Cafés und gemeinsam genutzten Arbeitsbereichen aus auf Unternehmensressourcen zugreifen, verliert die traditionelle Sicherheitsgrenze ihre Bedeutung. Die Frage lautet dann nicht mehr: “Befindet sich diese Person innerhalb des Netzwerks? Die Frage lautet vielmehr: ”Sollte diese Person in diesem Moment und in diesem Kontext Zugang zu dieser Ressource haben?“ Diese Verschiebung bringt eine Reihe von Herausforderungen mit sich, für die die perimeterbasierte Sicherheit nie ausgelegt war.
Zersiedelung der Landschaft
Während der Pandemie kam es fast über Nacht zu einem sprunghaften Anstieg der Fernarbeit und damit zu einer Flut von neuen Zugriffsanforderungen. Die Mitarbeiter benötigten VPNs, SaaS-Anwendungen, Cloud-Ressourcen und Tools für die Zusammenarbeit - oft alles auf einmal. Die Sicherheitsteams richteten den Zugang schnell ein, um den Geschäftsbetrieb aufrechtzuerhalten. Aber Zugriff, der schnell bereitgestellt wird, wird selten sorgfältig überprüft. Das Ergebnis ist ein Abdriften der Berechtigungen. Benutzer akkumulieren Berechtigungen, die sie nicht mehr benötigen, über Systeme hinweg, die die Sicherheitsteams nicht mehr vollständig einsehen können.
Verwaiste und ruhende Konten
Angreifer brauchen nicht einzubrechen, wenn eine Tür offen gelassen wurde. Ruhende Konten, d. h. Anmeldedaten, die noch lange nach dem Ausscheiden oder dem Rollenwechsel eines Mitarbeiters existieren, sind genau diese Art von offenen Türen. Der Einbruch bei Colonial Pipeline ist ein gut dokumentiertes Beispiel: Die Angreifer verschafften sich Zugang über ein VPN-Konto, das nicht mehr aktiv genutzt wurde. Es handelte sich nicht um einen ausgeklügelten Exploit. Es war ein Versagen der Zugangsverwaltung. Und das ist bei weitem kein Einzelfall.
Zugang für Dritte und Auftragnehmer
Hybride Arbeitsgruppen arbeiten selten isoliert. Anbieter, Auftragnehmer und Partner benötigen regelmäßig Zugang zu internen Systemen, um ihre Arbeit zu erledigen. Dieser Zugriff wird in der Regel nach Bedarf gewährt und nur selten überprüft. Unternehmen haben dann eine lange Reihe von Drittanbieter-Zugangsdaten, die außerhalb der normalen Bereitstellungs- und Überprüfungszyklen liegen und genau die Art von implizitem Vertrauen schaffen, die mit Zero Trust beseitigt werden soll.
Risiko seitlicher Bewegungen
Sobald ein Angreifer über einen Satz gültiger Anmeldedaten verfügt, stellt sich die Frage, wie weit er gehen kann. In Umgebungen mit schwachen Zugangsgrenzen lautet die Antwort oft: sehr weit. Seitliche Bewegungen, d. h. die Nutzung legitimer Zugangsdaten, um tiefer in ein Netzwerk einzudringen, sind eines der häufigsten Muster bei Sicherheitsverletzungen in Unternehmen. Die beste Verteidigung ist nicht eine bessere Erkennung im Nachhinein. Vielmehr muss sichergestellt werden, dass selbst ein kompromittiertes Konto nicht auf Systeme zugreifen kann, die es nie hätte erreichen dürfen.
Lücken in der Sichtbarkeit
Man kann nicht regeln, was man nicht sehen kann. In hybriden Umgebungen befinden sich die Identitätsdaten selten an einem Ort. Mitarbeiter authentifizieren sich bei lokalen Systemen, Cloud-Anwendungen, SaaS-Tools und Infrastrukturplattformen, oft über unterschiedliche Verzeichnisse und Zugriffskontrollen. Ohne eine einheitliche Übersicht darüber, wer Zugriff auf was hat, müssen Sicherheitsteams Zugriffsentscheidungen mit unvollständigen Informationen treffen, und Zugriffsüberprüfungen werden eher zu einer Vermutung als zu einer zuverlässigen Kontrolle.
Gleichgewicht zwischen Sicherheit und Datenschutz
Die richtige Sicherheit in einer hybriden Umgebung bedeutet, den Zugang zu ermöglichen und nicht nur einzuschränken. Das Ziel von Identity Governance ist es nicht, alles zu sperren, sondern sicherzustellen, dass die richtigen Personen den richtigen Zugriff haben, ohne dass es für diejenigen, die genau das tun, was sie tun sollten, zu Problemen kommt. Dieses Gleichgewicht erfordert ein Zusammenspiel von Richtlinien, Automatisierung und Governance und nicht nur strengere Beschränkungen.
Ein ausgereiftes Identity-Governance-Programm begegnet diesen Herausforderungen, indem es die Sicherheit direkt in die Art und Weise integriert, wie der Zugriff gewährt, überwacht und entzogen wird. Zu den Kernkomponenten gehören:
- Identitätsmanagement und -verwaltung (IGA). Die grundlegende Schicht. IGA legt fest, wer auf was zugreifen darf, automatisiert die Bereitstellung und Aufhebung der Bereitstellung und erstellt einen prüfbaren Datensatz für jede Zugriffsentscheidung.
- Rollenbasierte Zugriffskontrolle (RBAC). Zuweisung von Berechtigungen auf der Grundlage der Arbeitsfunktion und nicht auf der Grundlage individueller Verhandlungen. RBAC begrenzt den Aktionsradius eines kompromittierten Kontos und beschleunigt die Zugriffsüberprüfungen erheblich.
- Kontinuierliche Überprüfung des Zugangs. Regelmäßige Zertifizierungen, bei denen überprüft wird, ob die aktuellen Berechtigungen noch mit den aktuellen Aufgaben übereinstimmen, so dass eine Ausweitung von Privilegien erkannt wird, bevor sie zu einer Belastung wird.
- Automatisches De-Provisioning. Der sofortige Entzug des Zugriffs, wenn Mitarbeiter das Unternehmen verlassen, ihre Rolle wechseln oder offline gehen, eliminiert das Risiko eines ruhenden Kontos, das den Einbruch bei Colonial Pipeline ermöglichte.
- Erkennung von Anomalien und Verhaltensanalytik. Identifizierung ungewöhnlicher Zugriffsmuster, die auf eine kompromittierte Zugangsberechtigung oder eine Insider-Bedrohung hindeuten können, selbst wenn die Anmeldung selbst legitim erscheint.
- Zero Trust Network Access (ZTNA). Ersetzen des impliziten Vertrauens auf der Grundlage des Netzwerkstandorts durch eine kontinuierliche Überprüfung der Identität, des Gerätezustands und des Kontexts, bevor der Zugriff auf eine Ressource gewährt wird.
Der Aufbau eines ausgereiften Identitätsmanagement- und -verwaltungsprogramms (IGA) beginnt damit, die Lücke nach der Authentifizierung zu verstehen und sie zu schließen. IGA bietet die Sicherheit nach der Authentifizierung, die Unternehmen heute benötigen, um die Produktivität aufrechtzuerhalten und gleichzeitig die Sicherheit zu gewährleisten.
Das bedeutet, dass Sicherheitsteams die Tools zur Verfügung gestellt werden müssen, um Zugriffsentscheidungen zu automatisieren, Anomalien aufzudecken und die Identitätsebene in dem Umfang zu kontrollieren, wie es für hybrides Arbeiten erforderlich ist.
In der Praxis sieht das so aus:
- Verstehen, was passiert, wenn sich ein Pen-Tester Zugang verschafft und sich seitlich innerhalb eines Unternehmensnetzwerks bewegt, und wie IGA diese Art von Bewegung einschränken kann.
- Bewertung der Frage, ob eine nutzerzentrierte Identität noch möglich ist und wie sie sich mit der IGA vereinbaren lässt.
- Verwendung einer rollenbasierten Zugriffskontrolle zur Authentifizierung von Benutzern, Systemen, Anwendungen und Daten auf eine Weise, die präzise genug ist, um das Unternehmen zu schützen, ohne es zu verlangsamen.
RSA ID Plus kann Benutzer in verschiedenen Umgebungen unterstützen, einschließlich Cloud-, Hybrid- und On-Premises-Konfigurationen. Erfahren Sie mehr über die Lösung oder Starten Sie jetzt Ihre kostenlose Testversion von ID Plus.
IGA ist die Gesamtheit der Richtlinien, Prozesse und Tools, die Unternehmen zur Verwaltung digitaler Identitäten und zur Kontrolle des Zugriffs auf Systeme und Daten einsetzen. Sie geht über die Authentifizierung hinaus und regelt, was die Benutzer tatsächlich tun dürfen, sobald sie sich in einem Netzwerk befinden.
Null Vertrauen geht davon aus, dass kein Benutzer oder Gerät von Natur aus vertrauenswürdig ist. IGA setzt dies um, indem es den Zugang mit den geringsten Rechten erzwingt, Zugangsprüfungen automatisiert und kontinuierlich bewertet, ob eine bestimmte Identität noch Zugang zu einer bestimmten Ressource haben sollte.
Durch hybrides Arbeiten steigt die Anzahl der Zugriffsanfragen, Remote-Zugriffspunkte und Berechtigungskombinationen, die ein Unternehmen verwalten muss, drastisch an. Ohne IGA entstehen durch diese Komplexität Lücken, die Angreifer ausnutzen können, z. B. ruhende Konten, übermäßig bereitgestellte Rollen und ungeprüfter Zugriff durch Dritte.
Seitliche Bewegung bedeutet, dass ein Angreifer ein kompromittiertes Konto benutzt, um tiefer in ein Netzwerk einzudringen. IGA schränkt dies ein, indem es strenge Zugriffsgrenzen durchsetzt, so dass der Angreifer, selbst wenn ein Konto kompromittiert wurde, nicht auf Systeme oder Daten außerhalb des autorisierten Bereichs dieses Kontos zugreifen kann.
