Mehr als Passwörter: Warum Vertrauen in die Passworthygiene nicht ausreicht

Lassen Sie uns über Passwörter und Identitätssicherheit sprechen. Indem Sie ein Passwort eingeben, das nur Sie kennen, „beweisen“ Sie einem System theoretisch, dass Sie die Person sind, für die Sie sich ausgeben. Passwörter werden in der IT/OT-Welt schon seit sehr langer Zeit verwendet – wohl zu lange.  

Um Passwörter ein wenig sicherer zu machen, haben einige Organisationen Richtlinien bezüglich der Komplexität und Häufigkeit von Passwortänderungen. Aus diesem Grund gibt es Lösungen, die sich auf die Erkennung von Problemen mit der Passworthygiene oder ähnlichen Warnungen konzentrieren. 

Welche unterschiedlichen Probleme gibt es bei der Passworthygiene? 

Passworthygiene bezieht sich auf die Vorgehensweise beim Erstellen, Verwalten und Schützen von Passwörtern. Sie umfasst Richtlinien und bewährte Vorgehensweisen, die das Risiko eines unbefugten Zugriffs oder kompromittierte ZugangsdatenIm Folgenden sind einige häufige Probleme bei der Kennworthygiene aufgeführt: 

  1. Schwache Passwörter: Die Verwendung einfacher, leicht zu erratender Passwörter, beispielsweise „123456“ oder „Passwort“. Diese Passwörter sind leicht zu knacken, da sie kurz sind und nicht aus einer Mischung von Buchstaben, Zahlen und Sonderzeichen bestehen.  
  1. Doppelte oder gemeinsam genutzte Passwörter: Die Verwendung desselben Kennworts für mehrere Systeme/Konten erhöht das Risiko, wenn ein System/Konto kompromittiert wird. 
  1. Alte Passwörter: Wenn Kennwörter nicht regelmäßig aktualisiert werden, hat ein Angreifer möglicherweise genügend Zeit, das Kennwort zu erraten, oder es ist für längere Zeit unzugänglich, wenn ein Kennwort kompromittiert wurde.  
      

Ist das Erkennen mangelnder Passworthygiene der richtige Ansatz? 

Sowohl ja als auch nein. Theoretisch sind Warnmeldungen eine gute Sache, aber Organisationen sollten sich nicht ausschließlich auf die Erkennung und Reaktion auf Warnmeldungen konzentrieren. Es ist nicht immer sinnvoll, jeden Tag mehr Warnmeldungen überprüfen zu müssen, und eine alleinige nachträgliche Erkennung kann zu wenig und zu spät sein, da der Angreifer sie möglicherweise bereits ausgenutzt hat.  

Darüber hinaus können böswillige Akteure auch bei sorgfältiger Passworthygiene ohne Ihr Wissen an Anmeldeinformationen gelangen. Sogar ein sicheres Passwort, das weder weitergegeben noch im Dark Web gefunden wurde, kann durch Phishing oder Tools wie Mimikatz kompromittiert werden.  

Gehen Sie davon aus, dass Passwörter kompromittiert werden können, und verfolgen Sie einen anderen Ansatz zum Schutz von Identitäten – einen, der den Schutz in den Vordergrund stellt. Der Schlüssel besteht darin, sicherzustellen, dass ein Angreifer, selbst wenn er gültige Anmeldeinformationen erhalten hat, diese nicht für böswillige Aktivitäten wie die Durchführung von seitliche BewegungKurz gesagt: Konzentrieren Sie sich nicht nur auf die Erkennung – konzentrieren Sie sich auf den Schutz. 

Schutz ist besser

Sie Identitätssicherheit Die Strategie sollte darauf ausgerichtet sein, den Schutz Ihrer Identitäten in den Mittelpunkt zu rücken, und nicht darauf, einfach weitere Warnmeldungen hinzuzufügen. 

Für menschliche Konten, das könnte stark sein MFA und bedingte Zugriffskontrollen, sogar für Schnittstellen, die als „ungeschützt“ gelten, wie CLI-Tools oder Dateifreigaben. Selbst wenn ein Angreifer also versucht, kompromittierte Anmeldeinformationen mit diesen Schnittstellen zu verwenden, wird er mit einer weiteren Sicherheitsebene konfrontiert.  

Vergessen Sie nicht die nicht-menschlichen Identitäten (NHI)  

NHI und Active Directory Servicekonten müssen ebenfalls geschützt werden. Ihre Aktivität ist in der Regel automatisiert und basiert auf der Kommunikation zwischen Maschinen. Es ist üblich für nichtmenschliche Identitäten um je nach den Anforderungen des jeweiligen Anbieters erhöhte Privilegien oder sogar administrativen Zugriff zu haben. Im großen Maßstab könnte das eine Menge sein. Kompromittierte Dienstkonten können für eine Vielzahl bösartiger Aktivitäten verwendet werden, wie z. B. für die Durchführung von Lateral Movement zum Zwecke der Bereitstellung Ransomware-

Einige Organisationen versuchen auf unterschiedliche Weise, sichere Dienstkonten, ihre Passwörter und ihre Aktivitäten im Netzwerk. Trotzdem könnte ein Angreifer Dienstkonto Anmeldeinformationen mit anderen Methoden oder Tools. 

Wie können Sie Dienstkonten schützen?

Organisationen sollten proaktive Schutzmethoden auf der Grundlage von Sicherheitskontrollen implementieren, die auf die jeweiligen Dienstkonten im großen Maßstab zugeschnitten sind. 

Bei der Auswahl einer Lösung für die Verwaltung und den Schutz von Dienstkonten sollten die folgenden Funktionen berücksichtigt werden:  

  • Volle Transparenz – Sie sollten in der Lage sein, alle Ihre Dienstkonten anhand ihres tatsächlichen Verhaltens im Netzwerk abzubilden. Auf diese Weise können Administratoren sie automatisch identifizieren – auch diejenigen, von deren Existenz Sie nichts wussten – und vollständige Einblicke in ihre Verhaltensmuster erhalten.  
  • Verhaltensanalyse- Sie sollten in der Lage sein, ihre Abhängigkeiten und ihre Wiederholungen zu analysieren Beglaubigung Aktivitäten innerhalb der Domäne sowie Synchronisierung mit Ihrer CMDB zur Wissenserweiterung.  
  • Proaktiver Schutz- Am wichtigsten ist, dass Sie Richtlinien erstellen können, um einen „virtuellen Zaun“ um Ihre Dienstkonten zu errichten, damit selbst ein kompromittiertes Dienstkonto sich nicht seitlich im Netzwerk bewegen kann. Es ist wichtig, dass Sie ihm nur das erlauben, was es für seine Funktionalität tun soll. Beispielsweise sollte ein Datenbankdienstkonto nur zur Authentifizierung bei den DB-App-Servern verwendet werden.

Von der Erkennung zum Schutz: Verbesserung der Identitätssicherheit 

Um die Sicherheit Ihrer Benutzer und Servicekonten vor böswilligen Akteuren zu schützen, ist eine Identitätssicherheitsstrategie mit dem Schwerpunkt auf Schutz der Hauptaufgabe zu empfehlen. Die Implementierung einer starken MFA (wie z. B. Nummernabgleich oder Phishing-resistente Methoden wie FIDO2) für menschliche Konten, die auch auf traditionell „nicht schutzfähige“ Schnittstellen zugreifen können, erhöht die Sicherheit erheblich. Für Servicekonten bieten virtuelle Fencing-Techniken robusten Schutz im großen Maßstab durch strenge Kontrolle und Überwachung von Machine-to-Machine-Aktivitäten. 

Unterm Strich sollten Sie sich mehr auf schützende Sicherheitskontrollen konzentrieren und nicht nur auf nachträgliche Erkennungswarnungen. Erfahren Sie, wie Silverfort kann Ihnen helfen, sich auf den Schutz zu konzentrieren und Ihre Identitätssicherheitsanforderungen zu erfüllen. Fordern Sie hier eine Demo an: https://www.silverfort.com/request-a-demo-de 

Stoppen Sie Identitätsbedrohungen jetzt