„Ohne Daten ist man nur jemand mit einer Meinung.“
Es ist eine moderne Interpretation von Peter Druckers zeitlosem Prinzip: Was man nicht misst, kann man nicht managen. Wenn man nicht den nötigen Überblick hat, um sein Problem zu verstehen, wie will man es dann lösen? Weiß man überhaupt, was das Problem wirklich ist?
Dies ist das Dilemma, vor dem Cybersicherheitsexperten heute stehen. Im Laufe des letzten Jahres hat die Branche endlich erkannt, dass Identity-Security-Lücken ist nicht nur wichtig – es ist grundlegend für die Cybersicherheit. Dennoch fehlt den meisten Unternehmen nach wie vor die nötige Transparenz oder aussagekräftige Daten, um ihr Gefährdungspotenzial zu quantifizieren. Als ich vor einigen Jahren CIO eines großen Beratungsunternehmens war, befanden sich mein Team und ich genau in dieser Lage.
Die Transparenzlücke beim Identitätsschutz
Mein IT-Team arbeitete sehr datenorientiert. Wir verfügten über ein umfassendes Berichtswesen für alle Betriebsbereiche – Programmmanagement, Servicemanagement, Verfügbarkeit und mehr. Auch das Cybersicherheits-Reporting war in Bereichen wie Perimeterschutz und Schwachstellenmanagement ähnlich ausgereift.
Doch was die Identitätsebene betraf, war die Berichterstattung dürftig. Meine grundlegende Frage „Wie angreifbar sind wir?“ blieb unbeantwortet. Dieser Mangel an Erkenntnissen wurde einfach als „das Beste, was wir tun können“ hingenommen.
Wir glaubten an unsere starke Perimeterverteidigung, unterstützt von kompetenten Teams, einem globalen SOC, SIEM-Systemen und ITDRSie gab uns Sicherheit. Dieser Glaube verflog jedoch in dem Moment, als das Rote Team eintraf.
Der Weckruf
Für Laien: Ein Red Team – vom NIST als „eine Gruppe von Personen definiert, die autorisiert sind, einen potenziellen Angreiferangriff zu simulieren“ – testet, wie weit ein Angreifer Ihre Verteidigung durchdringen kann, idealerweise ohne Alarm auszulösen. Ihr oberstes Ziel ist der Zugriff auf Ihre gesamte Domäne.
In unserem Fall nutzte das Red Team einen raffiniert gestalteten Phishing-Angriff als Einstiegspunkt. Trotz regelmäßiger interner Phishing-Übungen klickte ein kleiner Prozentsatz der Nutzer darauf – und das reichte aus.
Was dann folgte, war noch alarmierender. Trotz unserer hochmodernen Verteidigungssysteme operierte das Red Team wochenlang unentdeckt. Keine Warnmeldungen erreichten das SOC; sie gingen in der Flut der SIEM-Daten unter. Die Übung endete erst, als sie selbst den Abbruch beschlossen. Bis dahin hatten sie sich über einen längst vergessenen Mechanismus Zugriff auf die Domäne verschafft. privilegiertes Konto.
Die harte Realität
Wir hatten gerade ein fünfjähriges, millionenschweres Programm zur Verbesserung unserer Cybersicherheit mit modernsten Tools abgeschlossen. Dennoch gelang es einem versierten Angreifer, einzudringen – weil wir den Missbrauch von Zugangsdaten nicht verhindern konnten.
Seitdem habe ich dieselbe Entwicklung in vielen Organisationen beobachtet, unabhängig von deren technischer Ausstattung. Wer glaubt, vor dieser Bedrohung gefeit zu sein, dies aber nicht mit Daten belegen kann, setzt auf Hoffnung – und Hoffnung ist keine Strategie.
Was wir gelernt
- Identitätsschutz ist von grundlegender Bedeutung.
Perimeterverteidigungen sind unerlässlich, doch was nach einem Sicherheitsvorfall geschieht, ist entscheidend. Ein Fenster einzuschlagen ist schlimm; all seine Wertsachen zu verlieren, ist noch viel schlimmer. Bei jedem Angriff ist der Missbrauch privilegierter Zugangsdaten der Schlüssel zu diesem Verlust. - Bestimmen Sie Ihr Risiko.
Meinungen zur Sicherheitslage reichen nicht aus. Untermauern Sie sie mit Daten. Führen Sie eine Red-Team-Übung durch, die nicht nur Ihre Perimeter-Sicherheit, sondern auch Ihre internen Identitätsschutzmaßnahmen testet. Die Quantifizierung Ihres Risikos gibt Ihnen eine echte Chance, es zu minimieren. - Sichtbarkeit ist alles.
Viele Identitätsspeicher haben sich über Jahrzehnte entwickelt und verbergen dabei oft Altlasten. Sie müssen in der Lage sein, risikoreiche Konten systemübergreifend zentral zu identifizieren. Andernfalls agiert Ihr Team im Blindflug. - Decken Sie die Grundlagen ab.
Sie glauben vielleicht, Sie hätten die volle Kontrolle MFA Es gibt zwar eine entsprechende Abdeckung, aber die Wahrscheinlichkeit ist hoch, dass Sie diese nicht haben. Ältere Systeme, Dateifreigaben und Kommandozeilentools bieten oft keine MFA-Unterstützung und stellen somit leichte Einfallstore dar. Ebenso wichtig ist die Abgrenzung von Sicherheitsbereichen. nichtmenschliche Identitäten Sie können daher nur dort eingesetzt werden, wo der Einsatz von entscheidender Bedeutung ist.
„Der Missbrauch privilegierter Konten – ob von Menschen oder Computern – ist das Herzstück der meisten erfolgreichen Angriffe.“
Ein Geistesblitz
Der Wendepunkt kam kurz nach unserer Red-Team-Übung, als ich entdeckte, dass Silverfort Die Plattform. Sie war eine Offenbarung für mich und meinen CISO.
Unser Machbarkeitsnachweis bestätigte dies: Zwar konnte das Red Team anfänglichen Zugriff erlangen, war aber nicht in der Lage, sich seitlich auszubreiten oder Schaden anzurichten. Noch wichtiger war jedoch, dass wir endlich die jahrelang fehlende Transparenz in unseren Identitätsspeichern erhielten – ein enormer Fortschritt bei der Reduzierung von Cyberrisiken.
E-Book
Verhinderung von Lateralbewegungen in Active Directory
- Warum traditionelle Verteidigungsstrategien nicht ausreichen lateraler Bewegung ausnutzen
- Wie Sie laterale Bewegungen mit einer Identity-First-Strategie überlisten
- Die unverzichtbaren Fähigkeiten für eine effektive Verteidigung
Was man nicht sieht, kann man nicht schützen.
Die Lehre aus meiner Erfahrung – und der unzähliger anderer seither – ist eindeutig: Man kann nur schützen, was man sieht. Identität ist zum neuen Schlachtfeld der Cybersicherheit geworden, und dennoch bleibt sie der am wenigsten gemessene und am meisten missverstandene Bereich. Ohne die Identitätsrisiken zu quantifizieren, agiert Ihr Unternehmen quasi blind und verlässt sich auf Annahmen und Meinungen statt auf Fakten.
Praxisnahe Tests, kontinuierliche Transparenz und verwertbare Daten unterscheiden die Organisationen, die sich in Sicherheit wiegen, von denen, die es tatsächlich sind. Die Fähigkeit, die Nutzung – und den Missbrauch – von Identitäten in Ihrer Umgebung zu beobachten, zu messen und zu verstehen, wandelt die Sicherheit von reaktiv zu proaktiv.
Durch die Quantifizierung von Identitätsrisiken decken Sie nicht nur Schwachstellen auf, sondern befähigen Ihr Team auch, fundierte Entscheidungen zu treffen, Prioritäten effektiv zu setzen und die von Angreifern ausgenutzten Sicherheitslücken zu schließen. In der Cybersicherheit ist das der entscheidende Unterschied zwischen Hoffen auf das Beste und dem souveränen Verteidigen dessen, was am wichtigsten ist.