Identitätssicherheit bei M&A: Erhalten Sie Einblick in konsolidierte Umgebungen mit Silverfort 

Heim » Blog » Identitätssicherheit bei M&A: Erhalten Sie Einblick in konsolidierte Umgebungen mit Silverfort 

Wenn ein Unternehmen beabsichtigt, eine andere Organisation durch eine Fusion oder einen Kauf zu erwerben, ist es wichtig zu wissen, welche Sicherheitsrisiken mit der Übernahme einhergehen könnten. Ohne dies könnten sich Organisationen erheblichen finanziellen und rechtlichen Herausforderungen stellen. 

Nach einer Fusion und Übernahme müssen IT-Teams unterschiedliche Technologien und Ressourcen zusammenführen, da die beteiligten Organisationen zunehmend miteinander vernetzt sind. Eine neu erworbene Umgebung bringt eigene IT-Systeme, Netzwerke usw. mit Benutzerkonten – zusammen mit seinen eigenen einzigartigen Risiken – für eine bestehende Infrastruktur. Dies kann zu einer hochkomplexen Umgebung führen, in der Administratoren möglicherweise Schwierigkeiten haben, alle Ressourcen, Anwendungen und Benutzer der konsolidierten Einheit zu verstehen. 

Die neue konsolidierte Einheit muss in der Lage sein, alle Domänen und Ressourcen in einer einzigen einheitlichen IT-Infrastruktur zu vereinen. Dies bedeutet, dass Sie die Art der Konten und Ressourcen kennen, die Sie migrieren müssen. Zum Beispiel, welche Konten Dienstkonten sind und welche Art von Anwendungen Sie zusammenführen müssen. In den meisten Fällen weiß das IT-Team nicht viel über die erworbene Umgebung oder ihre Benutzer. 

Dieser Mangel an Transparenz über die neue Umgebung, ihre Ressourcen und ihre Benutzer schafft einen großen blinden Fleck – und möglicherweise viele weitere Sicherheitsrisiken.  

Silverfort's Domain-Konsolidierungsschutz 

Mit Silverfortkönnen Unternehmen die Ressourcen und Benutzer der neuen Umgebung schnell und einfach in die Hauptentitätsdomäne migrieren und so den Post-Merger-Integrationsprozess beschleunigen. Silverfort kann Unternehmen außerdem eine vollständige Sichtbarkeit ihrer bestehenden und eingehenden Umgebungen bieten, so dass sie beide schützen und alle mit der Integration verbundenen Risiken genau erkennen können. Durch die Durchsetzung neuer Sicherheitsmaßnahmen mit Silverfortkönnen sich Unternehmen proaktiv gegen eingehende Cyber-Bedrohungen wie z seitliche Bewegung Anschläge. 

Sichtbarkeit und Überwachung von Dienstkonten 

Silverfort identifiziert automatisch alle Dienstkonten und überwacht deren Authentifizierung und Verhalten innerhalb einer konsolidierten Umgebung. Silverfort Dies ist möglich, da Maschinen- und Dienstkonten vorhersehbare Verhaltensmuster aufweisen, die eine automatische Identifizierung und Kategorisierung auf dem Bildschirm „Dienstkonten“ ermöglichen. 

Silverfort unterstützt auch Group Managed Service Accounts (gMSA) und bietet einen Filter, mit dem Sie jedes gMSA in Ihrem System sehen können. Jedes gMSA wird wie jedes andere erkannt und behandelt Dienstkonto

Silverfort identifiziert Dienstkonten auf verschiedene Arten: 

• Verhaltensanalyse – Silverfort Verfolgt das Verhalten des Kontos, um sich wiederholende Verkehrsmuster zu erkennen. 

• AD-Konfiguration – Silverfort überprüft die Kontoattribute in AD, um gemeinsame Merkmale von Dienstkonten zu finden. 

• Regeln der Namensgebung - Silverfort enthält ein Repository mit Namenskonventionen, die typischerweise für Dienstkonten verwendet werden. 

• Benutzerdefinierte Einblicke – Silverfort erhält vom Administrator Feedback zur Struktur der Dienstkonten in den Kundenumgebungen (wie OU, SG und Namenskonventionen). 

• gMSA – Die verschiedenen in AD definierten Kontotypen werden als Dienstkonten verwendet. 

Überwachung und Risikoanalyse von Servicekonten

Nachdem alle migrierten Dienstkonten identifiziert wurden, können Sie deren Aktivität und die damit verbundenen Risiken überwachen. Silverfort Bietet Echtzeiteinblicke und Einblick in alle Details und das Verhalten von Dienstkonten und überwacht und prüft gleichzeitig deren Nutzung. 

Mit kontinuierlicher Überwachung aller Authentifizierungs- und Zugriffsaktivitäten aller migrierten Dienstkonten, Silverfort kann das mit jedem Authentifizierungsversuch verbundene Risiko einschätzen und verdächtiges Verhalten oder Anomalien erkennen. 

Sichtbarkeit von Benutzeraktivitäten und Authentifizierungen 

Verwenden des Protokollbildschirms im Silverfort Konsole erhalten Unternehmen vollständigen Einblick in alle Benutzerprotokolle und Authentifizierungsaktivitäten. Unternehmen, die sich einer Fusion unterziehen, erhalten ein besseres Verständnis über die neuen Benutzer, worauf sie zugreifen möchten und wie hoch ihre Risikobewertung ist. 

Sie können Details zu den Protokollen, Authentifizierungsaktivitäten und Risikoindikatoren eines Benutzers anzeigen und umsetzbarere Erkenntnisse gewinnen, indem Sie auf dem Bildschirm „Protokolle“ neben dem Benutzer auf das Symbol „Untersuchen“ klicken. Mit diesen Details erhalten Unternehmen einen vollständigen Einblick in jeden Benutzer und seine Authentifizierungsaktivitäten. 

Durch die vollständige Transparenz der migrierten Ressourcen, Dienstkonten und Benutzer können Unternehmen sicher sein, dass ihre konsolidierte Umgebung und ihre Gesamtheit geschützt sind Identitätssicherheit Das Haltungsmanagement ist auf dem neuesten Stand.  

Authentifizierungs-Firewall in Aktion: Verhindern eines Lateral-Movement-Angriffs über mehrere Domänen hinweg 

In einem von ihnen wurde die Notwendigkeit einer verbesserten Sichtbarkeit und Sicherheitskontrollen für alle Domäneneinheiten während Fusionen und Übernahmen hervorgehoben Silverfort's Kunden. Im April 2024 wandte sich ein europäischer Hersteller an unsere Identitätssicherheitsdienste, um ihn bei der Bedrohungssuche zu unterstützen, da er feststellte, dass eines der von ihm übernommenen Unternehmen kompromittiert und einem Cyberangriff ausgesetzt war.  

Im Rahmen einer größeren Akquisition hatte dieser Kunde auch ein kleineres Unternehmen mit Sitz in den USA erworben, das er in seine Organisation integrierte. Damals schufen sie eine bidirektionale Vertrauensstellung zwischen den Domänen ihrer Unternehmen, um die kleinere Domäne in die neu konsolidierte Organisation zu integrieren. Dem IT-Team war nicht bekannt, dass das übernommene Unternehmen über begrenzte Sicherheitskontrollen verfügte: Es verfügte über keine MFA Schutz für VPN-Zugriff oder EDR am Endpunkt. Infolgedessen wurde das übernommene Unternehmen von böswilligen Akteuren kompromittiert, die versuchten, seitlich vom kleineren Unternehmen in die Domäne des Kunden einzudringen, um einen Ransomware-Angriff durchzuführen.  

Der Angriffsfluss: 

  1. Erstzugang: Mithilfe einer sicheren VPN-Authentifizierung hat der Angreifer mit einem Brute-Force-Angriff drei verschiedene Benutzer auf sieben Servern gezielt angegriffen und diese erfolgreich kompromittiert.  
  1. Kompromittierung der Anmeldedaten: Nachdem der Angreifer zunächst in der Umgebung Fuß gefasst und den Zielbenutzer kompromittiert hatte, änderte er dessen Passwort und erstellte neue Benutzer mit denselben Berechtigungen.  
  1. Seitliche Bewegung: Mit dem kompromittierten Konto versuchte der Angreifer seitlich in die größere Domäne einzudringen, nämlich a Silverfort Kunde. Die größere Domäne bemerkte böswillige Zugriffsversuche auf ihre Domäne und wandte sich an sie Silverfort falls Sie Unterstützung benötigen. 

Der Schutzfluss: 

  1. In Silverfort's Konsole und das Arbeiten mit dem Silverfort Als das Threat-Hunting-Team erkannte, dass sie angegriffen wurden, wandten sie schnell Zugriffsverweigerungsrichtlinien an, um jeglichen Zugriff über die IP-Adresse der gefährdeten Entität zu verhindern. 
  1. Das Sicherheitsteam des Kunden segmentierte die Domäne des Unternehmens, um sicherzustellen, dass in seiner Domäne kein böswilliger Zugriff erfolgen konnte. Dadurch wurde die seitliche Bewegung sofort blockiert.  
  1. Nach der Implementierung einer Authentifizierungs-Firewall mit Ablehnungsrichtlinien und Identitätssegmentierung, nutzte das Team Silverfort um den Authentifizierungspfad der kompromittierten Konten bis zum Patienten-Null-Gerät zu verfolgen. Anschließend konnten sie die Behebung abschließen und die verbleibende bösartige Präsenz aus der gefährdeten Domäne entfernen. 

Dieses Beispiel zeigt, wie wichtig es ist, eine zu haben Identitätsschutz Lösung, die Authentifizierungs-Firewall-Funktionen bietet, einschließlich Richtlinien zur Durchsetzung von Zugriffsverweigerungen, und Identitätssegmentierungsfunktionen. Durch Echtzeittransparenz und proaktive Sicherheitskontrollen konnte das Unternehmen einen Angriff durch Angreifer verhindern kompromittierte Zugangsdaten

Möchten Sie einen vollständigen Überblick über Ihre Umgebung erhalten? Kontaktieren Sie einen unserer Experten hier

Stoppen Sie Identitätsbedrohungen jetzt