Suche

Sprache

MFA und administrativer Zugriffsschutz sind die Mittel. Aber zu welchem ​​Zweck?

März 2nd, 2023

Startseite » Blog » MFA und administrativer Zugriffsschutz sind die Mittel. Aber zu welchem ​​Zweck?

Hin und wieder ist es in der Cybersicherheit nützlich, über Dinge nachzudenken, die als selbstverständlich angesehen werden, und Entscheidungen, die getroffen wurden – insbesondere warum sie getroffen wurden und ob diese Dinge ihren Zweck erfüllt haben. Betrachten wir beispielsweise die Verwendung von MFA und den Schutz des Administratorzugriffs. Wir wissen, dass diese kritisch sind, aber warum? Was bedeutet es außerdem, diese Sicherheitsmaßnahmen nicht zu haben?

In diesem Artikel untersuchen wir einige allgemein akzeptierte (aber ebenso ignorierte) Wahrheiten über die Ziele hinter MFA und privilegierte Zugangskontrolle, die Risiken, die sie mindern, und die Hindernisse für den vollständigen Einsatz in einer Umgebung.

Abschließend zeigen wir Ihnen, wie SilverfortMit der Unified Identity Protection-Plattform von können Identitäts- und Sicherheitsteams diese Lücken schließen und sicherstellen, dass ihre Umgebungen vor Kontoübernahmen geschützt sind. seitliche Bewegung, und Ransomware verbreitete sich.

Inhaltsverzeichnis

  • Zusammenfassung: Was sind MFA und administrative Zugriffskontrollen?
  • Der falsche Zweck: Eine Checkbox-Mentalität, die unweigerlich zu Sicherheitslücken führt
  • Der wahre Zweck: Identitätsbedrohungen wie Kontoübernahmen, laterale Bewegungen und die Verbreitung von Ransomware verhindern
  • Wie die Checkbox-Mentalität Umgebungen gefährdet
  • Was sind die technologischen Barrieren, die verhindern, dass MFA und privilegierte Zugriffskontrolle in der gesamten Umgebung bereitgestellt werden?
  • Silverfort Unified Identity Protection: MFA Everywhere und automatisierte Erkennung, Überwachung und Schutz für Dienstkonten

    • Zusammenfassung: Was sind MFA und administrative Zugriffskontrollen?

    MFA und administrative Zugriffskontrollen erweitern den Benutzerauthentifizierungsprozess, indem sie zusätzlich zur grundlegenden Benutzername-Passwort-Übereinstimmung eine Schutzschicht hinzufügen. Der Grund dafür ist, dass Zugangsdaten kompromittiert werden können, was bedeutet, dass sich Angreifer mit einem legitimen Benutzernamen und Passwort anmelden könnten. MFA mildert dieses Szenario indem sichergestellt wird, dass der wahre Benutzer herausgefordert wird, seine Identität zu überprüfen, indem er eine echte Kennung bereitstellt, die der Gegner wahrscheinlich nicht hat. A Privilegierte Zugriffsverwaltung (PAM) Die Lösung kann im Wesentlichen dasselbe erreichen, indem sie den Akt der Kompromittierung von Anmeldeinformationen durch Vaulting und regelmäßige Passwortrotation erheblich erschwert.

    Der falsche Zweck: Eine Checkbox-Mentalität, die unweigerlich zu Sicherheitslücken führt

    Der häufigste Fehler, den Identitäts- oder Sicherheitsteams bei MFA begehen, besteht darin, die Mittel mit einem Zweck zu verwechseln. Zum Beispiel Denkprozesse wie „Wir müssen MFA anwenden, um die Vorschriften X einzuhalten“ oder „Wir müssen die MFA-Abdeckung erhöhen, damit wir dem Management zeigen können, dass wir Fortschritte machen.“ Diese Denkweise ist grundsätzlich fehlerhaft, da sie sicherstellt, dass immer dann, wenn eine technologische Hürde für den Einsatz von MFA oder privilegiertes Konto Wenn Zugriffskontrollen angezeigt werden (wir werden später in diesem Artikel Beispiele dafür zeigen), findet die Bereitstellung einfach nicht statt. Compliance-Anforderungen können möglicherweise durch eine vage kompensierende Kontrolle erfüllt werden, wobei der Schutzumfang nur schrittweise voranschreitet – indem das geschützt wird, was leicht zu schützen ist, und nicht durch das, was die Widerstandsfähigkeit der Umgebung wesentlich verbessert.

    Die Realität ist, dass der einzige Weg zu einem besseren Schutz darin besteht, ständig daran zu denken, was wir erreichen wollen. Lassen Sie uns also untersuchen, was genau der Schutz ist, den wir mit MFA und administrativen Zugriffskontrollen erreichen wollen, und welche Bedrohungen wir zu mindern versuchen.

    Der wahre Zweck: Identitätsbedrohungen wie Kontoübernahmen, laterale Bewegungen und die Verbreitung von Ransomware verhindern


    Wenn man sich den wahren Zweck dieser Schutzmaßnahmen genauer ansieht, wird deutlich, dass es in Wirklichkeit darum geht, Identitätsbedrohungen (d. h. jede Art von Angriff oder Angriffskomponente) zu verhindern, bei denen kompromittierte Anmeldeinformationen für böswilligen Zugriff verwendet werden. Die bekanntesten Beispiele hierfür sind Kontoübernahmen, Seitwärtsbewegungen usw Ransomware verbreiten. Und das ist eine große Sache, denn genau diese Bedrohungen stellen heute das größte Betriebsrisiko für Unternehmen dar. Also lasst uns verstehen, warum.

    Identitätsbedrohungen sind heute die ultimativen Schadensbeschleuniger bei Cyberangriffen

    Warum also ist der Schutz vor Identitätsbedrohungen eine entscheidende Notwendigkeit? Lassen Sie uns das Ransomware-Beispiel verwenden, um besser zu verstehen, warum. Ransomware-Angriffe beginnen immer mit einer anfänglichen Kompromittierung einer Workstation oder eines Servers, die dem Angreifer dann einen ersten Halt in der Zielumgebung verschafft. Zu diesem Zeitpunkt beschränkt sich der Schaden jedoch auf nur eine einzige Maschine. Der X-Faktor ist hier die laterale Bewegungsphase, in der der Angreifer kompromittierte Zugangsdaten verwendet, um sich anzumelden und auf zusätzliche Maschinen in der Umgebung zuzugreifen, bis er eine Position erreicht, die es ihm ermöglicht, die Ransomware-Nutzlast auf so allen Maschinen wie möglich zu platzieren. Jetzt hat sich der Angriff von einem lokalen Ereignis auf einem einzelnen Computer zu einem Ereignis entwickelt, das den Geschäftsbetrieb tatsächlich zum Erliegen bringen könnte.

    Wie die Checkbox-Mentalität Umgebungen gefährdet

    Genau das sollen MFA- und PAM-Lösungen verhindern. Sie können also sehen, wie eine Compliance-Checkbox-Mentalität zu kurz kommt. Um Identitätsbedrohungen zu blockieren, muss der MFA- und PAM-Schutz alle Benutzer, Ressourcen und Zugriffsmethoden umfassen. Alles andere lässt Gegnern eine offene Tür. Allerdings machen die Einschränkungen herkömmlicher MFA- und PAM-Technologien das Erreichen dieser Art von Abdeckung praktisch unmöglich.

    Die Checkbox-Mentalität ist besonders gefährlich, da sowohl die Regulierungsbehörden als auch das Management zufrieden sein können, weil sie ihr Bestes gegeben haben. Außerdem haben Identitätsteams möglicherweise das Gefühl, dass sie ihre Arbeit nach besten Kräften erledigt haben. Allerdings werden die Gegner am meisten zufrieden sein, da ihre Operationen unbemerkt weiterlaufen können. Und zu einem großen Teil ist dies leider der Fall Identitätsschutz Status quo in vielen Organisationen heute.

    Was sind die technologischen Barrieren, die verhindern, dass MFA und privilegierte Zugriffskontrolle in der gesamten Umgebung bereitgestellt werden?

    Lassen Sie uns nun verstehen, was die Herausforderungen sind, um sicherzustellen, dass alle Benutzer, Ressourcen und Zugriffsmethoden geschützt sind.

    Traditionelle MFA: Agentenabhängig ohne Abdeckung Active Directory Authentifizierungsprotokolle

    Herkömmliche MFA-Produkte erfordern entweder die Installation von Agenten auf den geschützten Servern und Workstations oder die Platzierung von Proxys vor den Netzwerksegmenten. Was das in der Praxis bedeutet, ist das dass es immer Maschinen ohne Schutz geben wird – entweder weil sie keine zusätzlichen Agenten akzeptieren können oder weil die Netzwerkarchitektur zu komplex ist.

    Die zweite Einschränkung ist noch problematischer. Active Directory(AD)-Authentifizierungsprotokolle, einschließlich NTLM und Kerberoswurden lange vor der Entstehung der MFA-Technologie geschrieben. Dadurch ist der MFA-Schutz für den größeren Teil der AD-Authentifizierung nicht anwendbar. Authentifizierungen über Befehlszeilen-Zugriffstools, die auf diesen Protokollen basieren – wie z PsExec, Remote PowerShell und WMI (die alle häufig von Administratoren für die Verbindung mit Remote-Maschinen verwendet werden) – können nicht geschützt werden. Genau aus diesem Grund sind dies die Werkzeuge der Wahl für seitliche Bewegungsangriffe. Die Unfähigkeit, sie mit MFA zu schützen, bedeutet, dass es einem Angreifer, sobald es ihm gelungen ist, kompromittierte Anmeldeinformationen zu erhalten, nicht mehr möglich ist, ihn daran zu hindern, auf so viele Ressourcen zuzugreifen, wie er möchte.

    Privilegierter Zugriffsschutz: Ein mühsamer Bereitstellungsprozess ohne Schutz für Dienstkonten

    Während PAM als unkomplizierter Weg zum Schutz privilegierter Konten angesehen wird, unterliegt es auch zwei wichtigen Einschränkungen, die seine Wirksamkeit erheblich einschränken. Der erste ist ein extrem langer und mühsamer Onboarding-Prozess, der die manuelle Erkennung aller privilegierten Konten, die geschützt werden müssen, sowie separate Integrationen mit jeder einzelnen Komponente der IT-Infrastruktur umfasst.

    Der zweite Grund ist ein grundlegendes Missverhältnis zwischen den Vaulting- und Rotationssicherheitsmechanismen von PAM und der Art der Maschine-zu-Maschine Dienstkonten. Das Onboarding dieser Konten in das PAM ist im Grunde unmöglich, weil: 1) es kein Dienstprogramm gibt, das einen sofortigen Einblick in diese Konten bieten kann, was ihre Entdeckung zu einem mühsamen und oft unmöglichen Aufwand macht, und 2) selbst nach der Entdeckung eines Dienstkontos dies tut Es gibt immer noch keinen Einblick in die Quell- und Zielmaschinen oder die Apps, die es ausführt. Ohne diese Informationen können Sie einfach keine Passwortrotation auf das Konto anwenden, ohne das Risiko einzugehen, dass die von ihm verwalteten Prozesse unterbrochen werden.

    Das Ergebnis dieser Lücken in der MFA und beim Schutz privilegierter Konten ist der Grund dafür, dass sie zu einem Schlüsselfaktor geworden sind Angriffsfläche die die Gegner mit großem Erfolg ins Visier nehmen.

    Silverfort Unified Identity Protection: MFA Everywhere und automatisierte Erkennung, Überwachung und Schutz für Dienstkonten

    Silverfort hat Pionierarbeit für die erste speziell entwickelte Unified Identity Protection-Plattform geleistet, die dies kann verlängern MFA für jeden Benutzer und jede Ressource, Automatisieren Sie die Erkennung, Überwachung und den Schutz von Dienstkonten, und proaktiv verhindern seitliche Bewegung und Ransomware verbreitet Anschläge. Silverfort verbindet sich mit allen Domänencontrollern und anderen lokalen Identitätsanbietern (IdPs) in der Umwelt zur kontinuierlichen Überwachung, Risikoanalyse und Durchsetzung von Zugriffsrichtlinien bei jedem Authentifizierungs- und Zugriffsversuch von Benutzern, Administratoren oder Dienstkonten auf Benutzer, Systeme und Umgebungen.

    Identitäts- und Sicherheitsteams verwenden Silverfort's-Plattform zur einfachen Implementierung der erforderlichen 360-Grad-Abdeckung, die ihre Umgebungen benötigen, um Schutz vor Identitätsbedrohungen zu erhalten. Müssen Sie die Abdeckung Ihres MFA-Schutzes für alle Ihre Benutzer und Systeme erhöhen oder Transparenz und Schutz für Ihre Dienstkonten erhalten? Termin vereinbaren mit einem unserer Experten.

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  

    März 2nd, 2024

    MFA-Schutz für Air-Gap-Netzwerke

    Februar 21st, 2024

    Minderung der Identitätsrisiken der Konten ehemaliger Mitarbeiter
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt