Die traditionelle, domänenverknüpfte Welt von Active Directory (AD) ist mit der Explosion von Cloud-Services, SaaS-Apps, nicht-menschliche Identitäten (NHIs), und autonom AI-AgentenDadurch entsteht eine riesige – und doch oft unsichtbare – Angriffsfläche.
Was einst ein gut repariertes Labyrinth aus Kerberos-Tickets war, ist heute ein KI-gesteuerter Dschungel aus Token-Unordnung, überdimensionierten Servicekonten und lateraler Bewegung ausnutzen mit Maschinengeschwindigkeit.
Doch die Wahrheit ist: Auch wenn sich der Begriff „Identität“ ständig weiterentwickelt, kämpfen viele Organisationen noch immer mit grundlegenden Herausforderungen, die seit den frühen 2000er-Jahren bestehen. Genau, ich spreche von Altlasten. Active Directory.
Während die CISOs mit dem Rest der Führungsebene Gespräche über die sichere Einführung von KI führten, … IAM Die Teams arbeiteten weiterhin unauffällig im Hintergrund und konzentrierten sich darauf, wie sie die Geschäftsbedürfnisse und die Kollaborationsmöglichkeiten unterstützen können, die unabhängig von der Art der Infrastruktur bestehen, die den reibungslosen Betrieb des Unternehmens gewährleistet.
IAM ≠ Identitätssicherheit
Es herrscht ein klares Missverständnis darüber, dass die derzeitige Funktionsweise von IAM der beste (oder einzige) Ansatz für die Integration von Sicherheit in das Identitätsmanagement sei, und es ist an der Zeit, CIO und CISO an einen Tisch zu bringen.
Die Gewährung von Zugriffsrechten bedeutet nicht automatisch die Kontrolle der damit verbundenen Risiken. Hier prallen Identität und Sicherheit aufeinander, und es stellt sich die Frage: „Hey CISO, sind Sie mit Ihrem CIO zufrieden?“ Active Directory Strategie im Zeitalter der KI?“
Ich gebe ein Beispiel: Synchronisiert das IAM-Team das lokale Active Directory mit Entra IDJane Doe aus dem Marketing ändert ihr Passwort, welches nun in Ergänzung Die ursprünglich lokal gespeicherten Daten wurden nun repliziert und in der Cloud gespeichert. Datenverarbeitung und -sicherheit unterscheiden sich lokal und in der Cloud, sodass das Infrastrukturteam die Angriffsfläche des Unternehmens vergrößert hat, während es eigentlich seine Aufgaben erledigte.
Im weiteren Verlauf dieses Beitrags werden wir die Entwicklung des Identitätsrisikos untersuchen und warum ein bestimmtes Identity-Security-Lücken Die Strategie muss eine gemeinsame Anstrengung der IT- und Sicherheitsteams sein und darin bestehen, konkrete Schritte zu unternehmen, um gemeinsame Ziele zu erreichen und gleichzeitig die Einhaltung der Vorschriften zu gewährleisten.
Identitäten sind jetzt der Angriffsvektor Nr. 1
Active Directory wurde nie für KI konzipiert. Wir hatten zentralisiertes Vertrauen, Kerberos. AD-Authentifizierungund Gruppenrichtlinien ließen sich aufgrund des begrenzten Umfangs leicht definieren. Die Identitäten waren größtenteils menschlicher Natur, und Privilege-Escalation-Angriffe Die Sicherheitsmaßnahmen folgten vorhersehbaren lateralen Angriffspfaden (z. B. Pass-the-Hash). Die Sicherheit folgte einem klaren Modell: Härtung der Gruppenrichtlinienobjekte (GPO), Tier-0-Netzwerke und Schutzmaßnahmen gegen schwerwiegende Sicherheitslücken.
Aber dann kam Cloud- und Hybrid-Transformation...
Der Perimeter löste sich auf. Hybrid wurde zur Norm, da Unternehmen weiterhin lokale Active Directory-Umgebungen für geschäftskritische Anwendungen und Compliance-Vorgaben nutzten und gleichzeitig Identitäten auf andere Bereiche ausweiteten. Entra ID or OktaDie einfache Verfügbarkeit von SaaS-Anwendungen führte dazu, dass Schatten-IT verbreiteter war als je zuvor, und viele Identitäten existieren heute außerhalb des Sichtfelds des SOC.
Schneller Vorlauf zu nichtmenschliche Identitäten und agentenbasierte KI. NHIs wie Servicekonten und API-Schlüssel jetzt übertreffen die menschlichen Identitäten um mindestens das 50-fache.Währenddessen erhalten KI-Agenten Zugriff auf Dateien, Finanzsysteme, Kalender und Codebasen – und hinterlassen dabei neue Token, Anmeldeinformationen und Protokolle.
Das Endergebnis? Ihr Active Directory ist nur noch ein Teil eines Netzwerks unverbundener, übermäßig berechtigter Systeme. Identitätsrisiken sind dynamisch geworden, statische rollenbasierte Modelle bieten keinen Schutz mehr. Sicherheitslücken wie die bei SolarWinds nutzen föderierte Identitäten und gefälschte SAML-Token aus und enthüllen, dass Identitäten oft persistent, übermäßig berechtigt und schlecht verwaltet sind.
Statt „Identität“ als reine Zugriffsverwaltung zu betrachten, ist eine kontinuierliche Sicherheitsbewertung erforderlich.
„Ihre Active Directory ist jetzt nur noch ein Teil eines Netzwerks unverbundener, überberechtigter Systeme.“ – Eric Haller, Berater
Was hat sich im Risikoumfeld verändert?
Mit KI und der digitalen Transformation verändert sich die Nutzung von Identitäten. Sie wird föderiert (Cloud) und gleichzeitig durch KI imitiert, wodurch die Probleme der Transparenz und Kontrolle schwieriger zu lösen werden. Diese Landschaft bedeutet Auch Kommunikation und Strategie müssen sich ändern.Das IAM-Team, das für die Bereitstellung der Infrastruktur zuständig ist, muss eng mit dem Sicherheitsteam zusammenarbeiten, das diese Infrastruktur schützt – und umgekehrt. Ein Mittelweg ist nicht mehr möglich.
Nachfolgend die übergeordneten Ziele, die aufgrund dieser neuen Realität unbedingt kommuniziert werden müssen:
- Führen Sie ein Identitätsinventar
- Benutzen Sie die Prinzip des geringsten Privilegs
- Systeme aus einer Identitäts-First-Perspektive konfigurieren
Leitfaden zur Umsetzung der übergeordneten Ziele und der dazugehörigen Maßnahmen
Lasst uns genauer betrachten, wie diese übergeordneten Ziele aussehen und warum sie so wichtig sind.
Schritt 1: Die vorhandenen Identitäten erkennen und klassifizieren
Gartner nennt dies mittlerweile „Plattformen für Identitätsinventarisierung, Transparenz und Intelligenz (IVIP)Das bedeutet im Grunde, dass sowohl das Identitäts- als auch das Sicherheitsteam wissen sollten, welche Identitäten existieren, um welche Arten von Identitäten es sich handelt und wie diese mit den umgebenden Systemen interagieren. Ein praktisches Beispiel: Das Identitätsteam stellt Zugriff auf einen bestimmten Ordner in SharePoint bereit, und das Sicherheitsteam hat Einblick in die Existenz und die Berechtigungen dieser Identität. Basierend auf seinem Wissen über Best Practices im Bereich IT-Sicherheit kann der Sicherheitsmanager Empfehlungen zum Prinzip der minimalen Berechtigungen geben, nachdem er sich einen umfassenden Überblick über die Zugriffsrechte einer Identität im Unternehmen verschafft hat. Der Sicherheitsverantwortliche kann außerdem wichtige Informationen darüber liefern, welche weiteren Sicherheitslücken bestehen oder welche anderen Zugriffsrechte das Konto über die beabsichtigte Bereitstellung hinaus haben könnte. Dies bietet eine Validierungs- und Risikobewertungsmöglichkeit, die typischerweise vernachlässigt wird, insbesondere wenn die Anzahl der Identitäten in einem Unternehmen stetig zunimmt. Auch hier gilt: Dies ist nur möglich, wenn wir wissen, welche Identitäten existieren. was Identitäten existieren mit einem ihre Beziehungen im gesamten hybriden Umfeld.
Schritt 2: Priorisieren Sie alle privilegierten Identitäten (nicht nur diejenigen, die PAM kennt).
Die Wahrscheinlichkeit ist hoch, dass Ihre Organisation ein solches verwendet. Privileged-Access-Management- (PAM)-Lösung. Das Problem dabei ist PAM. Die Qualität eines Systems hängt von den darin enthaltenen Identitäten ab. Es ist wichtig, alle Identitäten zu identifizieren und zu kategorisieren. privilegierten Konten Basierend auf tatsächlichen Authentifizierungsaktivitäten. Dies hilft Ihnen, die Risiken in der gesamten Umgebung abzubilden und das Sicherheitsteam in die Lage zu versetzen, Just-in-Time-Zugriffskontrollen (JIT) zu implementieren. Das IAM-Team kann hierbei unterstützen, indem es zusätzlichen Kontext zu jeder privilegierten Identität bereitstellt und eine klare Verantwortlichkeit sowie Dokumentation sicherstellt. Ein weiterer Vorteil ist die Möglichkeit, auf Basis des bereitgestellten Detaillierungsgrades eine robustere SOC-Alarmierungsstrategie zu entwickeln.
Schritt 3: Die zugrunde liegende Sicherheitshygiene stärken.
Eine sicherere Umgebung ist auch einfacher zu verwalten und bereitzustellen. Nehmen wir zum Beispiel den externen Mitarbeiter des Betriebsteams, der seine Tätigkeit vor sechs Monaten beendet hat? Er ist immer noch im System. Kontinuierliche Überwachung hilft dabei, bestehende Systeme zu bereinigen und zu optimieren. warum im gesamten Identitätsinventar, wodurch es sowohl dem Sicherheitsteam erleichtert wird, die Angriffsfläche und das Identity-Team, das die verwendeten Systeme und Anwendungen verwaltet. Darüber hinaus können die beiden Abteilungen zusammenarbeiten, um Folgendes anzuwenden: risikobasierter bedingter Zugang Richtlinien und isolierte Bereiche optimieren die Synergie mit SIEM/SOAR-Systemen, die ungewöhnliche Aktivitäten erkennen. Dies ist ein entscheidender Faktor für die Erreichung gemeinsamer Ziele zwischen IAM- und Sicherheitsteams: Durch die Zusammenarbeit von CIO und CISO können automatisierte Präventionsmaßnahmen wie die Sperrung des Zugriffs von Auftragnehmern vor Missbrauch eingesetzt werden.
Ein realisierbarer Aktionsplan zur Umsetzung gemeinsamer Ziele
Nachdem die übergeordneten Ziele festgelegt wurden, ist es an der Zeit, den CIO, den CISO und ihre jeweiligen IAM- und Sicherheitsteams an einen Tisch zu bringen und miteinander zu sprechen. Folgende Themen sollten gemeinsam besprochen werden, um a) messbare Ergebnisse zu bestätigen und b) Kommunikations- und Projektlücken zu identifizieren, die geschlossen werden müssen:
- Ordnen Sie Ihre zu Kronjuwelensysteme und wer (oder was) darauf zugreift
- Identifizieren Sie die Die 10 riskantesten Identitäten basierend auf Privilegien, Nutzung und Ausbreitung
- Entwickle SOAR-Spielbücher Überwachung wichtiger Ereignisse im Identitätslebenszyklus, wie z. B. die Beendigung des latenten Zugriffs (oder Ähnliches).
- Partner auf Alarmierung (und Anreicherungs-/Kontextflüsse) um die Transparenz des SOC hinsichtlich des Kontomissbrauchs zu verbessern – dies nutzt das Wissen des IAM über beabsichtigte Benutzer (im Gegensatz zur Sicht der Sicherheit auf tatsächliche Benutzer), um den Schutz zu verbessern.
- Etablieren Kommunikationsprozesse Wenn Vorfälle aufgrund von Kontrollfehlern (IT) nicht erkannt werden, eröffnen sich Möglichkeiten für Verbesserungen der Kontrollen (IAM) und der Sicherheitsabdeckung.
- Beginnen Sie mit Verhaltensbasierte MFA, Identitätsbasierte Bedrohungserkennung und detaillierte Protokollierung
Wer die Identität kontrolliert, kontrolliert die Tötungskette
In einer Welt der Automatisierung und KI, in der Active Directory Gewährleistet nach wie vor Geschäftskontinuität und Produktivität. Identität ist der neue EndpunktDer neue Perimeter ist der neue Schlüssel zum Königreich. Wenn Sie ihn nicht sehen, segmentieren und sichern können – eine Leistung, die voraussetzt, dass IAM und Sicherheit auf gemeinsamen Verhaltensweisen und Zielen basieren –, haben Sie bereits verloren.
Wir müssen das Thema Identitätsschutz der nächsten Generation ernst nehmen, denn der nächste Sicherheitsvorfall wird kein Brute-Force-Angriff sein – Es wird ein autonomer KI-Agent mit einem alten API-Schlüssel sein..
Um mit der Entwicklung gemeinsamer Ergebnisse und Projekte zwischen IAM- und Sicherheitsteams zu beginnen, Beginnen Sie mit dem Aufbau Ihres Identitätsinventars. um zu verdeutlichen, was in Ihrer Umgebung wirklich vor sich geht.