Die 10 Gebote der Identitätssicherheit 

Ein modernes Manifest zum Schutz des menschlichen und nicht-menschlichen Zugriffs in einer Zero-Trust-Welt
Inhaltsverzeichnis

Diesen Beitrag teilen:

In vielen Organisationen wird Identitätssicherheit immer noch als operative Funktion und nicht als strategische Notwendigkeit betrachtet. Dies liegt vor allem daran, dass sich Identitätsprogramme traditionell auf das Identitäts- und Zugriffsmanagement konzentrierten (IAM) – Benutzer bereitstellen, Verzeichnisse verwalten und SSO aktivieren.

Obwohl IAM eine grundlegende Komponente ist, ist es nicht gleichbedeutend mit Identity-Security-Lücken.

Sicherheitsteams gehen oft davon aus, dass die Identitätsebene durch die Implementierung einer IAM-Lösung sicher ist. Identitätssicherheit erfordert jedoch weit mehr: Transparenz aller Identitäten (auch nicht-menschlicher) – in der gesamten hybriden Umgebung, Durchsetzung des Prinzips der geringsten Privilegien, kontinuierliche Zugriffsprüfung und Bedrohungserkennung für kompromittierte Zugangsdaten.

Inzwischen haben sich die Angreifer angepasst. Sie „brechen“ nicht mehr ein – sie melden sich an, verwenden gestohlene oder missbrauchte Anmeldeinformationen, nutzen überdimensionierte Zugriffsrechte oder missbrauchen nicht verwaltete Service Accounts.

Um effektiv reagieren zu können, müssen Identitäts- und Sicherheitsteams die Identitätssicherheit als einheitliche, kontinuierliche Verteidigungsebene neu denken. – eine Lösung, die menschlichen und nicht-menschlichen Zugriff, On-Premise und Cloud, Echtzeit-Risikosignale und Automatisierung umfasst.

At Silverfort, glauben wir, dass diese 10 Gebote der Identitätssicherheit diese strategische Grundlage bilden. Egal, ob Sie ein CISO sind, der eine Zero Trust Ob Sie nun ein Identitätsmodell verwenden oder ein Identitätsingenieur sind, der sich mit den täglichen Risiken auseinandersetzt – diese Gebote (auch Prinzipien genannt) helfen Ihnen dabei, Ihr Identitätssicherheitsprogramm weiterzuentwickeln und in Ihrem gesamten Unternehmen dauerhaftes Vertrauen aufzubauen.

Das Identity Security Playbook

Ihr 5-Schritte-Aktionsplan für eine nachhaltige Identitätssicherheitsstrategie

Los geht´s

1. Kenne deine Identitäten (Du sollst deine Identitäten kennen)

Verstehen und inventarisieren Sie jede Identität – menschlich und nicht-menschlich – in Ihrer Umgebung.

Moderne Unternehmen sind ein komplexes Netz aus Benutzern, Geräten, Anwendungen, APIs und Automatisierungsskripten. Ohne vollständige Transparenz dieser Identitäten und ihrer Berechtigungen ist ihr Schutz unmöglich.

Ejemplo:
Ein Unternehmen stellt fest, dass es über 4,000 Dienstkonten verfügt – von denen nur 2,500 aktiv genutzt werden. Der Rest, längst vergessen, verfügt noch immer über privilegierten Zugriff.

Lektion:
Beginnen Sie mit der Entdeckung. Wenn Sie es nicht sehen können, können Sie es nicht sichern.

2. Nutzen Sie das Prinzip der geringsten Privilegien (Du sollst den Zugriff mit den geringsten Privilegien nutzen)

Gewähren Sie den erforderlichen Mindestzugriff – nicht mehr.

Viele Sicherheitsverletzungen entstehen, weil Benutzer oder Systeme Zugriff behalten, den sie nicht mehr benötigen. Das Prinzip der geringsten Privilegien minimiert das Risiko von lateraler Bewegung ausnutzen indem Sie den Zugriff auf das Wesentliche beschränken. Dies ist die Grundlage Ihrer gesamten Strategie zur Statusverwaltung. So können Sie Fehlkonfigurationen finden und beheben, korrelierte Informationen zur Analyse von Berechtigungen nutzen und Ihre allgemeine Identitätshygiene verbessern.

Ejemplo:
Ein Praktikant erhält aufgrund der Rollenduplizierung Zugriff auf den Quellcode der Organisation. Auch nach dem Ausscheiden aus dem Unternehmen bleibt dieser Zugriff aktiv.

Lektion:
Gestalten Sie den Zugriff rollenspezifisch, zeitgebunden und kontextabhängig – nicht vererbt oder dauerhaft.

3. Authentifizieren und mit Stärke durchsetzen (Du sollst mit Stärke authentifizieren)

Gehen Sie über Passwörter hinaus und nutzen Sie sichere, adaptive und risikobasierte Authentifizierung.

Passwortbasierte Sicherheit reicht nicht mehr aus. Implementieren Sie Phishing-resistente Multi-Faktor-Authentifizierung (MFA) und setzen Sie Richtlinien durch, die sich je nach Gerätetyp, Standort und Benutzerverhalten anpassen.

Ejemplo:
Ein Finanzbenutzer versucht, sich im Ausland von einem unbekannten Gerät aus anzumelden. Das System fordert eine biometrische MFA an und löst einen Genehmigungsworkflow aus.

Lektion:
Effektiv AD-Authentifizierung ist für legitime Benutzer nahtlos – und für Angreifer undurchdringlich.

4. Gehen Sie von Kompromissen aus (Sie sollen von einem Verstoß ausgehen und Kompromisse planen)

Entwerfen Sie Ihre Identitätssysteme mit der Erwartung von Kompromissen.

Zero Trust basiert auf dem Prinzip, dass keiner Identität standardmäßig vertraut werden sollte. Systeme müssen Identitäten kontinuierlich überprüfen und anomales Verhalten erkennen, um die Verweildauer zu verkürzen und Schäden zu minimieren.

Ejemplo:
Ein AWS-Schlüssel wird versehentlich auf GitHub veröffentlicht. Automatisierte Verhaltensanalysen erkennen ungewöhnliche Aktivitäten und widerrufen den Schlüssel sofort.

Lektion:
Behandeln Sie Erkennung und Eindämmung als ebenso wichtig wie Prävention.

5. Steuern Sie den Identitätslebenszyklus (Du sollst den Identitätslebenszyklus streng steuern)

Automatisieren und orchestrieren Sie das Identitätsmanagement vom Onboarding bis zum Offboarding.

Manuelle Identitätsprozesse sind langsam, fehleranfällig und riskant. Implementieren Sie Automatisierung, um Zugriffe basierend auf Änderungen der Rolle oder des Beschäftigungsstatus bereitzustellen, anzupassen und zu widerrufen.

Ejemplo:
Der Weggang eines Mitarbeiters löst einen automatisierten Deprovisionierungsprozess aus, der innerhalb weniger Minuten sämtliche Zugriffe auf allen Systemen entzieht.

Lektion:
Sicherheit hängt von Präzision ab – und Präzision hängt von Automatisierung ab.

6. Sichern Sie nicht-menschliche Identitäten (Sie sollen nicht-menschliche Identitäten gleichermaßen sichern)

Behandeln Sie Dienstkonten, APIs und Bots mit der gleichen Sorgfalt wie menschliche Benutzer.

Nichtmenschliche Identitäten In vielen Unternehmen sind die Mitarbeiter mittlerweile zahlreicher als die Menschen. Diese Einheiten verfügen oft über höhere Privilegien, werden jedoch deutlich weniger überwacht.

Ejemplo:
Ein Legacy-Skript verwendet fest codierte Anmeldeinformationen, die seit über zwei Jahren nicht mehr rotiert wurden. Diese Anmeldeinformationen ermöglichen den Zugriff auf vertrauliche Datenbanken.

Lektion:
Maschinenidentitäten sind ebenfalls Ziele. Sie benötigen Governance, Rotation und Sichtbarkeit.

Sicherheit nicht-menschlicher Identitäten

Jede NHI – im Blick und unter Kontrolle

  • Entdecken Sie automatisch alle NHIs in Ihren Umgebungen.
  • Bilden Sie Aktivitäten ab und legen Sie Referenzwerte fest.
  • Setzen Sie die Kontrolle durch und schränken Sie ihre Aktivitäten ein.
Machen Sie eine Tour

7. Zugriff kontinuierlich überprüfen (Du sollst den Zugriff kontinuierlich überprüfen)

Der Zugriff sollte standardmäßig vorübergehend sein und regelmäßig neu bewertet werden.

Was gestern noch angemessen war, kann heute übertrieben sein. Implementieren Sie Zugriffsüberprüfungen, dynamische Widerrufe und Auslöser für die erneute Authentifizierung, um sicherzustellen, dass nur die richtigen Benutzer zum richtigen Zeitpunkt den richtigen Zugriff haben.

Ejemplo:
Ein Entwickler erhält für ein einwöchiges Projekt vorübergehenden Zugriff auf Produktionsprotokolle. Das System widerruft den Zugriff automatisch nach 7 Tagen, sofern er nicht erneuert wird.

Lektion:
Vertrauen muss kontinuierlich verdient – ​​und neu verdient – ​​werden.

8. Richtlinien mit Automatisierung durchsetzen (Du sollst Richtlinien mit Automatisierung durchsetzen)

Nutzen Sie Echtzeitkontext und Automatisierung, um Zugriffsentscheidungen zu treffen.

Manuelle Zugriffsgenehmigungen sind nicht skalierbar. Dynamische, risikobasierte Richtlinien müssen die Durchsetzung basierend auf Benutzerverhalten, Tageszeit, Standort und Geräterisikolage steuern.

Ejemplo:
Ein Auftragnehmer, der sich üblicherweise von einem Firmenlaptop aus anmeldet und sich bis 4:00 Uhr AEST abmeldet, versucht um 11:30 Uhr von einem privaten Gerät aus auf ein sensibles Quellcode-Repository zuzugreifen. Eine Richtlinien-Engine erkennt die ungewöhnliche Aktivität anhand des bisherigen Benutzerverhaltens, markiert die Anomalie und löst eine verstärkte Authentifizierung aus. Schlägt die MFA fehl, blockiert das System den Zugriff und benachrichtigt das Sicherheitsteam in Echtzeit.

Lektion:
Durch die Durchsetzung von Richtlinien in Echtzeit können Unternehmen Anomalien erkennen, bevor sie zu Vorfällen werden – und zwar mit einer Geschwindigkeit und Präzision, die manuelle Überprüfungen nicht bieten können.

9. Schützen Sie die Identitätsinfrastruktur (Du sollst die Identitätsinfrastruktur schützen)

Sichern und überwachen Sie die Plattformen, die die Identität verwalten, mit einer einzigen Plattform, die sich in jede Art von IdentitätsinfrastrukturEs sollte anbieterunabhängig und leichtgewichtig sein und Ihnen eine einzige Kontrollebene bieten, um Ihr gesamtes Identitätsgefüge und die darin enthaltenen Identitäten zu erkennen, zu verwalten und zu schützen.

Identitätsanbieter (IdPs), Verbunddienste, Domänencontroller und Tools für privilegierten Zugriff sind Tier-0-Assets. Werden sie kompromittiert, ist alles nachgelagerte System gefährdet. Gleichzeitig kann jede Identität ein Einstiegspunkt für Angreifer sein. Verwenden Sie schlanke und einfach zu implementierende Lösungen, damit Sie alle Identitäten systemübergreifend einsehen und untersuchen können.

Ejemplo:
Der Administratorzugriff auf den Identitätsanbieter ist mit FIDO2-basierter MFA eingeschränkt. Alle Änderungen werden protokolliert und in Echtzeit überwacht.

Lektion:
Ihre Identitätsinfrastruktur ist das Kronjuwel – behandeln Sie sie auch als solches, indem Sie alle Identitätsdaten in einer einzigen Ansicht zusammenfassen, die sich leicht korrelieren und analysieren lässt.

10. Richten Sie sich nach Standards und Frameworks (Sie sollen sich an Sicherheits-Frameworks und -Standards orientieren)

Verwenden Sie etablierte Frameworks, um Ihre Identitätsstrategie zu bewerten, zu steuern und weiterzuentwickeln.

Standards wie NIST 800-63, NIST 800-207 (Zero Trust), ISO/IEC 27001 und CIS Controls bieten eine Struktur zur Verbesserung der Identitätsreife und zum Nachweis der Konformität.

Ejemplo:
Ein multinationales Unternehmen ordnet seine Zugriffskontrollrichtlinien NIST 800-207 zu und verwendet CIS Controls v8 für Audits und Berichte.

Lektion:
Frameworks sind Ihr Kompass – keine Compliance-Checkliste.

Ein Aufruf, nach den neuen Regeln der Identität zu leben

Identität ist nicht mehr nur eine Komponente der Cybersicherheit –es ist Cybersicherheit.

Um in einer Zero-Trust-Welt erfolgreich zu sein, müssen Unternehmen sowohl den menschlichen als auch den nicht-menschlichen Zugriff mit der gleichen Sorgfalt sichern.

Diese 10 Gebote dienen als praktischer Plan für die Weiterentwicklung Ihrer Identitätssicherheitslage – von Transparenz und Governance bis hin zu Durchsetzung und Automatisierung.

At Silverfortermöglichen wir Organisationen, diese Prinzipien in großem Maßstab umzusetzen. Unsere Plattform erweitert die Identitätssicherheit auf Vermögenswerte und Umgebungen, in denen traditionelle IAM-Tools unzureichend sind – einschließlich Legacy-Systemen, Befehlszeilenschnittstellen und nicht föderierten Anwendungen.

Denn wenn Sie die Identität nicht schützen können, können Sie das Unternehmen nicht schützen. Erfahren Sie hier mehr über Silverfort Weg durch zu Besuch hier.

Wir haben Identity Security auf ein neues Level gehoben.

Entdecken Sie, was möglich ist.

Vereinbaren Sie eine Demo und erleben Sie die Silverfort Identity-Security-Plattform in Aktion.

Demo anfragen