In den letzten acht Jahren stand ich vor der einzigartigen Herausforderung, ein Identity and Access Management (IAM)-Programm für einen großen multinationalen Einzelhändler mit einer extrem komplexen Hybridumgebung von Grund auf aufzubauen und zu optimieren. Am ersten Tag gab es nur mich, einen Laptop und unzählige Herausforderungen. Das Ausmaß war atemberaubend – Tausende von Geschäftsanwendungen, Zehntausende von Servern, fast eine halbe Million Mitarbeiter weltweit und eine riesige Angriffsfläche mit begrenzten Ressourcen zu sichern. Trotz unserer Bemühungen entdeckten wir ständig neue Sicherheitsrisiken, was die Dynamik unserer Identity-Security-Lücken.
Aufbau einer starken IAM-Grundlage
Die Freiheit von strengen Vorschriften ermöglichte es mir und meinem Team, eine IAM Programm, das auf unsere individuellen Sicherheitsanforderungen zugeschnitten ist. Wir legten den Grundstein für ein erfolgreiches IAM-Programm – ein leistungsstarkes, hochautomatisiertes Zugriffsmanagement für Millionen von Konten und deren Zugriffsrechte, basierend auf einem umfassenden Identitätsbestand. Wir implementierten Single Sign-On (SSO), geschützt durch Multi-Faktor-Authentifizierung (MFA) für Hunderte von Anwendungen und entwickelte Technologie zum sicheren Zurücksetzen von Passwörtern, die eng mit HR-Prozessen verknüpft ist.
Trotz dieser Bemühungen fühlten wir uns nie wirklich sicher. Hinter jeder Tür, die wir öffneten, schienen sich neue Risiken zu verbergen. Identitätssicherheit fühlte sich wie ein endloser Kreislauf an, in dem wir Lücken schließen mussten, während neue auftauchten. Angesichts der Komplexität moderner IT-Umgebungen konnte selbst das scheinbar harmloseste Konto zum Einfallstor für Angreifer werden.
Durch diese Erfahrung habe ich einen Leitsatz entwickelt: Sicherheit ist ein Spiel von Raum und Zeit. Das Ziel besteht nicht darin, Sicherheit schrittweise zu implementieren, sondern strategische Investitionen in Lösungen zu tätigen, die mehrere Risiken gleichzeitig mindern, sodass Sicherheitsteams Bedrohungen immer einen Schritt voraus sind, ohne sich in der Komplexität zu verlieren.
Raum und Zeit schaffen
Herkömmliche Sicherheitsverbesserungen umfassen oft kleine Schritte, die jeweils viel Zeit und Ressourcen in Anspruch nehmen und nur einen kleinen Teil des Problems lösen. Beispiele hierfür sind die Verwendung von SSO oder die Implementierung von Identity Governance and Administration (IGA) für Geschäftsanwendungen. Keine einzelne Initiative kann das Identitätsrisiko auf ein akzeptables Niveau reduzieren. Sie werden jeweils schrittweise umgesetzt, ohne einen größeren Nutzen zu erzielen, und ihre Implementierung erfordert viel Zeit und Ressourcen.
Meine Herausforderung bestand darin, die richtigen Investitionen zu finden, um zu verhindern, dass mein Team komplexe, hochtechnische und inkrementelle Aufgaben offen und unter inakzeptablen Identitätsrisiken erledigen muss. Wir mussten den Fokus von einzelnen Anwendungsfällen und inkrementellen Lösungen auf Investitionen verlagern, die spezifische Probleme lösen und gleichzeitig ein breites Spektrum an Schutz und Skalierbarkeit bieten – mit anderen Worten: Investitionen, die unseren Teams Freiraum und Zeit verschaffen.
Die Frage ist: Wie sichern wir die Identität schnell, ohne uns in der Komplexität zu verlieren?
Um diese Frage zu beantworten, müssen Sie meiner Meinung nach dreiteiliger Ansatz um einen umfassenden Identitätsschutz in Ihrem gesamten Unternehmen zu erreichen.
Ein Spiel mit Decken und Böden: Erhöhung der Sicherheitsgrundwerte
Als begeisterter Sportfan ziehe ich oft Parallelen zwischen Identitätssicherheit und Mannschaftssport. Im Sport wird der Erfolg einer Mannschaft selten von ihren besten Spielern bestimmt, sondern von der Leistung ihres schwächsten Glieds. Die „Obergrenze“ eines Spielers stellt sein maximales Leistungspotenzial dar, während die „Untergrenze“ sein schlechtestes Leistungsniveau darstellt.
Identitätssicherheit folgt demselben Prinzip: Unternehmen müssen zunächst ihre Sicherheitsuntergrenze erhöhen, bevor sie die Obergrenze erreichen. Anstatt sich ausschließlich auf High-End-Schutzmaßnahmen für ausgewählte Systeme zu konzentrieren, sollte die Priorität auf dem Aufbau umfassender, grundlegender Sicherheit liegen, die gängige Angriffsvektoren und Sicherheitsrisiken berücksichtigt.
In der Praxis bedeutet dies die Implementierung strenger Sicherheitskontrollen und die Sicherstellung, dass alle aktuellen IAM-Best Practices eingehalten werden. Benutzerkonten und Ressourcen innerhalb der Organisation. Durch die Festlegung dieser Basis schaffen Organisationen eine robuste Grundlage, die die größten Bedrohungen abmildert und das Gesamtrisiko reduziert.
Erst wenn diese Schutzgrundlage geschaffen ist, können sich Sicherheitsverantwortliche darauf konzentrieren, die Obergrenze durch erweiterte Schutzmaßnahmen zu erhöhen. Daher können hochwirksame Sicherheitsinvestitionen, die mehrere Risiken gleichzeitig adressieren, den ROI multiplizieren.
Durch die Priorisierung umfassender, grundlegender Sicherheit und die Nutzung von Investitionen mit vielfältigen Vorteilen können Unternehmen eine umfassende und skalierbare Sicherheitsstrategie entwickeln. Dieser Ansatz stellt sicher, dass kein Konto, egal wie unbedeutend, gefährdet ist und das gesamte Unternehmen besser vor sich entwickelnden Bedrohungen geschützt ist.
Nutzen Sie die Hebelwirkung zu Ihrem Vorteil
Nicht alle Sicherheitsinvestitionen bieten den gleichen Nutzen. Manche Maßnahmen lösen isolierte Probleme, während andere durch die Minderung angrenzender Risiken Hebelwirkung erzeugen. Investitionen mit hohem Hebeleffekt bieten eine vervielfachte Rendite und reduzieren die Dringlichkeit der Lösung damit verbundener Risiken.
Meiner Erfahrung nach schützt der Schutz aller Serverauthentifizierungen mit MFA oder Nutzungsbeschränkungen (z. B. die Begrenzung Service Accounts nach Quelle und Ziel) mindert eine Vielzahl von Passwort- und Zugriffsmanagementrisiken. Schlechte Passwortqualität, Unsicherheit darüber, wo Ihre Passwörter gespeichert oder aufgeschrieben sind, fehlende Rotation für nichtmenschliche Identitätenund Bedenken hinsichtlich zu privilegierter Konten – all diese Probleme sind weniger dringend, wenn Sie über einen geeigneten Authentifizierungsschutz verfügen.
Andererseits ist die Verhinderung unsicherer Passwortspeicherung ein komplexes Problem, das sich nicht durch Hebelwirkung lösen lässt. Ein Passwort kann in einer Datei auf einem Computer, in einem Cloud-Speicherkonto, in einer Dateifreigabe usw. gefunden werden. Die Lösung dieses Problems allein erfordert erheblichen Aufwand und mindert nicht andere, ebenso drängende Risiken. Selbst ein sicher gespeichertes Passwort ist bei schlechter Qualität gefährdet.
Durch die Suche nach Investitionen mit Hebelwirkung wird die Dringlichkeit der technischen Risiken, die sie mindern, verringert; sie verschaffen Ihrem Team Raum und Zeit, um Ihre Sicherheitsobergrenze aufzubauen.
Umfassender Schutz ist wichtig
Es gibt eine bekannte Geschichte aus einer Red-Team-Übung, die einen entscheidenden Punkt verdeutlicht: Um in ein Hochsicherheits-Rechenzentrum einzudringen, fand ein ethischer Hacker eine robuste, zugangskontrollierte Tür. Anstatt zu versuchen, diese zu umgehen, rannte er durch die angrenzende Gipskartonwand.
Diese Geschichte brachte mich zum Nachdenken darüber, dass Angreifer wie Wasser sind: Sie finden immer das niedrigste Niveau. Wenn ein Unternehmen seine Sicherheitsbemühungen auf eine begrenzte Anzahl von Systemen oder Konten beschränkt, wird der Gegner einfach auf leichter zu erreichende Ziele ausweichen. Die meisten Cyberangriffe sind finanziell motiviert und opportunistisch; sie haben keinen persönlichen Hintergrund.
Angesichts der Komplexität und Vernetzung unserer heutigen Systeme können wir nicht davon ausgehen, dass jedes Konto, egal wie harmlos es aussieht, sicher ist oder eine zu geringe Schutzpriorität genießt. Der Schlüssel zur Skalierbarkeit liegt in der Bewertung von Investitionen hinsichtlich ihrer Skalierbarkeit.
Plattformen mit einer leicht zu verwaltenden Steuerungsebene sind skalierbarer als inkrementelle, dezentrale Steuerungen. Starke Sicherheitskontrollen, die nicht maßstabsgetreu implementiert werden können, bilden eine schwache Grundlage. Um Skalierbarkeit zu erreichen, ist ein umfassender Ansatz erforderlich, um diese Lücken effizient zu schließen.
Ein ausgewogener Ansatz zur Identitätssicherheit
Verantwortliche für Identitätssicherheit übernehmen komplexe und anspruchsvolle Aufgaben. Der Aufbau einer umfassenden Sicherheitsgrundlage und die Priorisierung von Investitionen, die Ihrem Team Freiraum und Zeit verschaffen, können hilfreich sein. Die Balance zwischen dieser Denkweise und Compliance-Anforderungen, die naturgemäß den selektiven Aufbau hoher Sicherheitsgrenzen fördern, trägt noch mehr zum Schutz Ihrer Umgebung bei. Ich glaube, dieser Balanceakt ist der einzige effektive Methode zur Risikominderung in heutigen Umgebungen.
Es ist wichtig, Investitionen zu priorisieren, die Hebelwirkung, breite Abdeckung und zentrale Kontrolle bieten, um Risiken im großen Maßstab zu reduzieren. Die Berücksichtigung dieser Prinzipien ermöglicht es Unternehmen, ihre Identität effizient zu schützen und neuen Bedrohungen einen Schritt voraus zu sein, ohne in der Komplexität zu ertrinken.
Für Sicherheitsverantwortliche ist die Herausforderung klar: Sie müssen eine solide Grundlage schaffen, in skalierbare Sicherheitslösungen investieren und dafür sorgen, dass Ihre Sicherheitsbemühungen die nötige Zeit und den nötigen Raum verschaffen, um der Bedrohungslandschaft im Bereich der Identitäten immer einen Schritt voraus zu sein.