6 Funktionen, die jede Identity-Security-Plattform haben muss 

Silverfort Bild
RFP-Checkliste Grafiken-2-Blog_1200x630
Inhaltsverzeichnis

Diesen Beitrag teilen:

Identität hat sich verändert – in einer Welt, in der Geschäfte über Systeme, Zeitzonen und sogar zwischen Menschen und Nicht-Menschen hinweg abgewickelt werden, bedeutet „Identität“ nicht mehr, dass sich eine einzelne Person an einem einzigen Ort an einem einzigen Gerät anmeldet. Warum nähern wir uns also immer noch der Identität Sicherheitdienst als wäre es 2005? Es muss einen besseren Weg geben: einen Weg, der nicht einen unzusammenhängenden Satz von IAM, IGA und PAM-Lösungen die einzige Option, sondern berücksichtigt auch, wo Sichtbarkeit, Haltung, Schutz und Bedrohungsanalyse ins Spiel kommen. Hier Identity-Security-Lücken sitzt – geht über Autorisierung und Zugriffsverwaltung hinaus und betritt den Bereich der Echtzeit-Prävention und -Erkennung und -Reaktion. 

Nach Recherchen der Schutz der Angriffsfläche für Identitäten berichten, „75 % der Erkennungen sind frei von Malware (ein Malware-freier Angriff ermöglicht es Angreifern, unter dem Radar zu agieren und nahtlos über Endpunkt- und Cloud-Domänen zu navigieren).“ Also ja, das Sprichwort „Angreifer brechen nicht ein, sie melden sich an“ ist heute wahrer denn je, und es gibt kein Zurück.  

Doch während Identität Management ist nicht gleichbedeutend mit Identität SicherheitdienstIAM-, Compliance- und Sicherheitsteams stehen immer noch vor den gleichen Problemen wie damals, als die „Sicherung“ von Identitäten die Zugriffsregelung für eine Person, ein Gerät und einen Standort bedeutete. Zu diesen unveränderten Herausforderungen gehört die Lösung folgender Fragen: 

  • Erhalten Sie Einblick in alle Identitäten, überall 
  • Reduzieren Sie die Betriebs- und Systemkomplexität 
  • Prozesse und Kommunikation verbessern 
  • Reduzieren Sie die Wahrscheinlichkeit von Sicherheitsvorfällen (oder begrenzen Sie diese zumindest, wenn sie auftreten). 

Aus diesem Grund haben wir die Branchenweit erste RFP-Checkliste zur Identitätssicherheit, eine Ressource für Identitäts-, Compliance- und Sicherheitsteams zur Bewertung von Anbietern in sechs Schwerpunktbereichen, damit sie die richtigen Fragen stellen können, die zur Auswahl umfassender Best-of-Breed-Lösungen führen.  

In diesem Blog gehen wir kurz auf diese sechs Kernfunktionen ein, die jede Identitätssicherheitslösung aufweisen sollte und die, wenn sie erfüllt sind, Ihr Unternehmen unabhängig von Umgebung, Unternehmensgröße oder Branche auf Erfolgskurs bringen.  

Klicken Sie hier, um zur vollständigen RFP-Checkliste für Identitätssicherheit zu gelangen. 

Funktion Nr. 1: Aktivieren Sie die universelle Multi-Faktor-Authentifizierung (MFA)  

Most MFA-Lösungen wurden nicht dafür entwickelt, alles abzudecken – und hinterließen eine Spur von ungeschützten Systemen, veralteten Protokollen und nicht verwalteten Schnittstellen. Um die Sache noch komplizierter zu machen, selbst wenn MFA Die Implementierung ist oft komplex und erfordert Agenten oder Proxys. Außerdem führt die Verwaltung mehrerer MFA-Tools vor Ort und in der Cloud zu redundanten Kosten und einer inkonsistenten Benutzererfahrung.  

Was Organisationen wirklich brauchen, ist universelle MFA: die Möglichkeit, den Schutz auf jede Ressource auszuweiten, ohne Server oder Anwendungen zu ändern und ohne an einen einzigen MFA-Anbieter gebunden zu sein.  

Um herauszufinden, ob ein Lösungsanbieter universelle MFA anbietet, sollten Sie unter anderem folgende wichtige Fragen stellen: 

  1. Erweitert Ihre Lösung MFA für anspruchsvollere Systeme, z. B. Befehlszeilentools wie PsExec zur IT/OT-Infrastruktur und benutzerdefinierten Apps? 
  1. Macht Ihre Lösung Agenten oder Proxys mit Echtzeit- oder Inline-Durchsetzung überflüssig? 
  1. Bietet Ihre Lösung MFA für alle AD-Authentifizierungen, einschließlich NTLM, Kerberos, LDAP und LDAPS? 
  1. Erweitert Ihre Lösung Entra ID bedingter Zugriff auf AD-verwaltete Ressourcen? 
  1. Lässt sich Ihre Lösung integrieren mit Okta MFA? 
Universelle MFA von Silverfort 

Fähigkeit Nr. 2: Erzwingen des Zugriffs mit geringsten Berechtigungen 

Sobald ein Angreifer in Systemen Fuß fasst, gibt es oft keine Möglichkeit mehr, die seitliche Bewegung zu stoppen oder Privilege-Escalation-Angriffe ohne Auswirkungen auf die Kernsysteme. Schlimmer noch: Die meisten Erkennungstools werden erst ausgelöst, wenn der Schaden bereits angerichtet ist.  

Was wir brauchen ist Inline-Durchsetzung am Authentifizierungspunkt – tief in der Identitätsinfrastruktur – sodass der Zugriff blockiert oder angefochten werden kann, bevor eine Sitzung überhaupt hergestellt wird. Sie müssen in der Lage sein, jeden Anmeldeversuch zu überprüfen und das Risiko kontinuierlich zu bewerten, um Richtlinien durchzusetzen, bevor eine Sitzung überhaupt beginnt.  

Um herauszufinden, ob ein Lösungsanbieter Ihrem Team die Durchsetzung ermöglicht Least-Privilege-Prinzip Zu den wichtigsten Fragen, die Sie stellen sollten, gehören: 

  1. Verfügt Ihre Lösung über einen Laufzeitzugriffsschutz, der präventive, integrierte Sicherheitskontrollen auf der AD-Authentifizierung Schicht? 
  1. Kann Ihre Lösung verhindern, lateraler Bewegung ausnutzen und die Verbreitung von Ransomware, während sie stattfindet? 
  1. Kann Ihre Lösung die Umgehung von PAM durch Administratoren verhindern, die sich direkt bei Ressourcen anmelden? 
Authentifizierungs-Firewall von Silverfort

Fähigkeit Nr. 3: Schutz privilegierter Benutzer und Konten 

Privilegierte Konten sind weiterhin einer der am häufigsten missbrauchten Einstiegspunkte für Sicherheitsverletzungen und Insider-Bedrohungen. Wie Chief Identity Security Advisor (EMEA) Rob Ainscough in seinem Webinar feststellt „Den Kampf um privilegierten Zugriff gewinnen: Von der Brandbekämpfung zur Feldkontrolle“, Sicherheitsteams greifen in der Regel auf Privileged Access Management (PAM)-Lösungen zurück, um den Missbrauch privilegierter Konten zu verhindern. PAM-Lösungen sind jedoch schwer zu skalieren und bieten nur schwer eine umfassende Abdeckung (insbesondere wenn nichtmenschliche Identitäten wie etwa Dienstkonten), und es kann Monate oder Jahre dauern, nur ein einziges Konto zu schützen.  

Die Implementierung von PAM-Lösungen kostet Zeit und Ressourcen, bietet aber dennoch keinen umfassenden Schutz für alle privilegierten Konten 

Was Unternehmen brauchen, ist ein Ansatz, der den Overhead reduziert, blinde Flecken beseitigt und das Prinzip der geringsten Privilegien dynamisch durchsetzt. Um herauszufinden, ob ein Lösungsanbieter schützt privilegierte Benutzer und KontenZu den wichtigsten Fragen, die Sie stellen sollten, gehören: 

  1. Kann Ihre Lösung unbekannte privilegierte Konten erkennen? 
  1. Kann Ihre Lösung den Zugriff mit den geringsten Berechtigungen erzwingen, indem sie durch virtuelles Fencing einschränkt, wo Konten verwendet werden können? 
  1. Wie verhindert Ihre Lösung den Missbrauch privilegierter Konten, ohne legitime Arbeitsabläufe zu stören? 
Privileged Access Security von Silverfort

Fähigkeit Nr. 4: Nicht-menschliche Identitäten wie Dienstkonten erkennen, klassifizieren und sichern 

Nicht-menschliche Identitäten (NHIs) wie Dienstkonten und API-Schlüssel sind den menschlichen Benutzern um mindestens 50:1 überlegen, und diese Kluft wird immer größer. Doch diese Identitäten agieren oft im Verborgenen. Sie sind schwer zu entdecken, haben keine klaren Eigentümer und werden häufig mit übermäßigen Privilegien ausgestattet.  

Moderne Identitätssicherheitslösungen müssen vollständige Transparenz, aktive Kontrolle und skalierbare Automatisierung bieten, um NHIs während ihres gesamten Lebenszyklus in großem Umfang zu verwalten – ob in der Cloud oder vor Ort.  

Um herauszufinden, ob ein Lösungsanbieter sichert jede NHI in der Cloud und vor OrtZu den wichtigsten Fragen, die Sie stellen sollten, gehören: 

  1. Kann Ihre Lösung die folgenden Arten von NHIs oder programmierbaren Zugangsdaten automatisch erkennen und klassifizieren? 
    • Lokale AD-Dienstkonten 
    • OAuth oder Zugriffstoken 
    • API-Keys 
    • Zertifikate 
    • Cloud-IAM-Rollen 
    • Dienstprinzipale 
    • Kryptografische Schlüssel 
  1. Kann Ihre Lösung jede Authentifizierungsanfrage anzeigen, die über Active Directory
  2. Automatisiert Ihre Lösung den Schutz von Maschinenidentitäten im großen Maßstab mithilfe von APIs, intelligenten Richtlinien-Engines und Integrationen wie CMDB oder Ticketsystemen? 
  3. Kann Ihre Lösung die Identifizierung und Bestandsaufnahme von Service Accounts
  4. Kann Ihre Lösung die Einbindung von Dienstkonten in PAM erleichtern? 
NHI-Sicherheit von Silverfort 

Fähigkeit Nr. 5: Missbrauch von Anmeldeinformationen erkennen und blockieren, laterale Bewegungen stoppen, Fehlalarme reduzieren und eine Reaktion in Echtzeit aktivieren 

Nach Angaben der US-Organisation Verizon Data Breach Investigations Report 2024Über 80 % der Sicherheitsverletzungen beruhen auf gestohlenen oder kompromittierten Anmeldeinformationen. Die meisten Erkennungs- und Reaktionstools wurden jedoch nicht für die Identitätserkennung entwickelt. Darüber hinaus ist es mit herkömmlichen SIEM-Plattformen schwierig, identitätsbasierte Erkennungen zu skalieren. Dies erschwert es SOC- und IR-Teams, mit den sich entwickelnden Bedrohungen Schritt zu halten. EDRs, XDRs und CDRs betrachten hingegen nur einen Teil des Puzzles, anstatt ein vollständiges Bild der Bedrohungen in der Umgebung zu liefern.  

Um diese Lücken zu schließen, müssen Organisationen ITDR-Lösungen die identitätsbasiert und proaktiv sind. Die richtige Plattform kann die Bedrohungen identifizieren, die vielen groß angelegten Sicherheitsverletzungen zugrunde liegen: laterale Bewegung, Rechteausweitung und verdächtige Zugriffsmuster.  

Um herauszufinden, ob ein Lösungsanbieter identitätsbasierte Bedrohungen in Echtzeit erkennen und darauf reagieren kann, sollten Sie sich unter anderem folgende Fragen stellen: 

  1. Bietet Ihre Lösung eine erweiterte identitätsbasierte Bedrohungserkennung, die jeden Zugriffsversuch auf lokale und Cloud-Ressourcen überprüft? 
  1. Kann Ihre Lösung über die passive Erkennung hinausgehen und Inline-Reaktionen in Echtzeit auf bösartiges Verhalten ermöglichen? 
  1. Hält Ihre Lösung Angreifer mit verstärkter Authentifizierung, Zugriffsblockierung oder erzwungener erneuter Authentifizierung auf? Und ist dies möglich, ohne die Produktivität der Benutzer zu beeinträchtigen? 
  1. Kann Ihre Lösung im Falle einer Sicherheitsverletzung den Angriff eindämmen und sicherstellen, dass er sich nicht auf weitere Ressourcen ausbreitet? 
Erkennung und Reaktion auf Identitätsbedrohungen von Silverfort (Cloud-spezifisch) 

Fähigkeit Nr. 6: Verbessern Sie die Identitätssicherheit, erkennen Sie Risiken proaktiv und beheben Sie Schwachstellen in hybriden Umgebungen. 

Schwachstellen in der Identitätsinfrastruktur – wie Fehlkonfigurationen, veraltete Protokolle und übermäßige Berechtigungen – bleiben oft unbemerkt, bis es zu spät ist, was zu Kontoübernahmen, lateralen Bewegungen und fehlgeschlagenen Audits führt. Die Abbildung und Behebung von Risiken in großem Maßstab erfordert zentrale Transparenz, umfassenden Schutz und messbare Ergebnisse, um die Identitätshygiene zu verbessern und aufrechtzuerhalten. 

Um herauszufinden, ob ein Lösungsanbieter umfassende Identitätssicherheits-Posture-Management (ISPM)Zu den wichtigsten Fragen, die Sie stellen sollten, gehören: 

  1. Kann Ihre Lösung eine priorisierte Bestandsaufnahme der Identitätsschwächen innerhalb der Organisation bereitstellen? 
  1. Kann Ihre Lösung mit Benutzeraktivitäten und Authentifizierungsanforderungen verbundene Risiken, wie etwa veraltete Protokolle, identifizieren? 
  1. Wie identifizieren Sie Dienstkonten, die inaktiv sind oder nicht mehr verwendet werden? 
  1. Kann Ihre Plattform Benutzer erkennen, die nicht zu den Domänenadministratoren oder anderen offensichtlichen Gruppen gehören, aber dennoch über Berechtigungen auf Administratorebene verfügen (Schattenadministratoren)? 
Identity Security & Posture Management ab Silverfort (On-Prem-spezifisch) 

Laden Sie die RFP-Checkliste zur Identitätssicherheit herunter 

Diese Fragen sind eine kleine Auswahl dessen, was in der vollständigen Checkliste verfügbar ist – Laden Sie es heute herunter um die vollständige Liste für jede der sechs Fähigkeiten anzuzeigen. Das Beste daran ist, dass wir die Checkliste auch interaktiv gestaltet haben, damit Sie Passen Sie es an die Bedürfnisse Ihres Teams an; Nach dem Herunterladen haben Sie die Möglichkeit, die Fragenliste entweder im Google Sheet- oder im Microsoft Excel-Format abzurufen (je nachdem, was Sie bevorzugen!).  

Machen Sie Identitätssicherheit zu Ihrem strategischen Vorteil. Basierend auf der kuratierten Fragenliste unserer Experten für Identitätssicherheit erhalten Sie aus Gesprächen mit Anbietern ein klares Bild davon, wie Sie Zusammenhänge erkennen, fundierte Entscheidungen treffen und Bedrohungen einen Schritt voraus sein können.  

Interessiert daran zu sehen, wie Silverfort erfüllt die Anforderungen der RFP-Checkliste zur Identitätssicherheit? Durchsuchen Sie jetzt unsere Plattform.  

Wir haben Identity Security auf ein neues Level gehoben.

Entdecken Sie, was möglich ist.

Vereinbaren Sie eine Demo und erleben Sie die Silverfort Identity-Security-Plattform in Aktion.

Demo anfragen
neuer Held (1)

Silverfort übernimmt Fabrix Security

Bereitstellung autonomer Identitätssicherheit zur Laufzeit

Pionierarbeit bei der Entwicklung der ersten autonomen Laufzeit-Zugriffskontroll-Engine, die alle menschlichen, maschinellen und agentenbasierten Identitäten mithilfe von tiefgreifendem Kontext und der Geschwindigkeit von KI schützen soll.

Holen Sie sich die ganze Geschichte