Der blinde Fleck von MFA bei Legacy-Anwendungen

Trotz der in den letzten Jahren zunehmenden Tendenz, alle Ressourcen in die Cloud zu verlagern, verschwindet die Nutzung älterer lokaler Anwendungen nicht. In einem typischen Unternehmen unterstützen diese Anwendungen die täglichen Betriebsprozesse in fast allen Branchen, von der Finanz- und Fertigungsabteilung bis hin zu Gesundheitswesen und Gastfreundschaft.

Obwohl Legacy-Anwendungen für das Funktionieren von Unternehmen von entscheidender Bedeutung sind, bringen sie Sicherheitsrisiken mit sich. Einer der prominentesten ist die Identität Angriffsfläche, da ältere Anwendungen normalerweise keinen MFA-Schutz unterstützen. Dies macht Legacy-Anwendungen zu einem klaffenden blinden Fleck in der Sicherheitsarchitektur des Unternehmens und setzt seine sensiblen Daten jedem Bedrohungsakteur aus, der kompromittierte Benutzeranmeldeinformationen erhält.

Dieser Beitrag untersucht die Auswirkungen von Legacy-Anwendungen auf die Identitätssicherheit und wie der MFA-Blindspot mit diesen Anwendungen behoben werden kann.

Was sind Legacy-Anwendungen?

Die typische Organisation verwendet viele verschiedene Arten von Anwendungen, um ihre täglichen Abläufe auszuführen. Ein beträchtlicher Teil dieser Anwendungen ist als „Legacy“ bekannt, die – obwohl sie auf älteren Technologien basieren – immer noch Teil des Unternehmensbetriebs sind. In vielen Fällen sind der Betriebsaufwand und die Kosten für die Migration dieser Anwendungen in die Cloud zu hoch, was sie zu einer dauerhaften Ressource vor Ort macht. Außerdem führen sie zu verschiedenen Sicherheitsproblemen, da sie nicht für die heutigen Sicherheitskontrollen und Best Practices entwickelt wurden.

Von dem Identitätsschutz Darüber hinaus unterstützen ältere Anwendungen keinen MFA-Schutz, wodurch sie Bedrohungsakteuren ausgesetzt sind, die bei ihren Angriffen kompromittierte Anmeldeinformationen verwenden. Diese MFA-Lücke schafft einen blinden Fleck in der Sicherheitsarchitektur von Unternehmen und hindert sie daran, die sensiblen Daten in diesen Apps und die von ihnen abhängige Betriebskontinuität wirksam vor eingehenden Angriffen zu schützen. Dieses Risiko lenkt nun zunehmend die Aufmerksamkeit von Sicherheitsakteuren auf die Notwendigkeit eines umfassenden MFA-Schutzes für Legacy-Anwendungen.  

Warum können ältere Anwendungen nicht mit MFA geschützt werden?

Legacy-Anwendungen wurden lange vorher entwickelt MFA-Technologie war weithin verfügbar, daher unterstützen sie seine Implementierung nicht nativ in ihrem Standardauthentifizierungsprozess. Um MFA in eine Legacy-Anwendung zu integrieren, müssten Organisationen Änderungen am Code der Anwendung vornehmen, die ihre Betriebskontinuität beeinträchtigen könnten. Es wird daher von den meisten Organisationen nicht als praktikable Option angesehen.

Darüber hinaus authentifizieren sich Legacy-Anwendungen typischerweise bei Active Directory über NTLM und Kerberos Protokolle, die – im Gegensatz zu modernen Authentifizierungsprotokollen, die SaaS und Webanwendungen verwenden – MFA ebenfalls nicht unterstützen. Dies führt dazu, dass ältere Anwendungen keine praktische MFA-Schutzoption haben.

Das Fehlen von MFA für Legacy-Apps setzt Unternehmen Datenverlusten und Betriebsunterbrechungen aus

MFA ist die effektivste Sicherheitsmaßnahme, um Bedrohungsakteure daran zu hindern, kompromittierte Anmeldeinformationen für böswilligen Zugriff zu verwenden. Laut Microsoft, MFA kann über 99.9 Prozent der Angriffe zur Kontokompromittierung blockieren. Der steile Anstieg dieser Art von Angriffen – der sich in 82 Prozent der Datenschutzverletzungen widerspiegelt – ist zu verzeichnen Ransomware Angriffe – macht den fehlenden MFA-Schutz für ältere Apps zu einer kritisch exponierten Angriffsfläche.

Wie lässt sich diese Exposition in ein tatsächliches Szenario übertragen? Sobald ein Angreifer eine Zielumgebung infiltriert und einen Satz gültiger Anmeldeinformationen kompromittiert hat, erhält er ununterbrochenen Zugriff auf die Legacy-Apps und alles, was sie enthalten. Auf diesen Zugriff würde entweder die Exfiltration von sensiblem IP oder die Erpressung unter Androhung der Schließung des Betriebs folgen.

Darüber hinaus kann der Verzicht auf MFA-Schutz für Legacy-Anwendungen zu Compliance-Problemen für Organisationen führen, die versuchen, die regulatorischen Rahmenbedingungen ihrer Branche einzuhalten und Anforderungen an eine Cyberversicherung. 

Aktuelle Identitätsschutzalternativen reichen nicht aus

Einige Organisationen versuchen, das Defizit bei der MFA-Abdeckung auszugleichen, indem sie den Zugriff und die Aktivität der Benutzer auf ihren Legacy-Apps genau überwachen, um Anomalien zu erfassen, die auf eine Kompromittierung hindeuten könnten. Dieser Ansatz hat jedoch zwei Hauptfehler. Erstens ist es von Natur aus reaktiv und reagiert immer auf erkannte Bedrohungen, anstatt sie zu verhindern. Zweitens ist es extrem ressourcenintensiv und erfordert eine manuelle Integration der Legacy-App in ein SIEM oder einen anderen zentralisierten Protokollsammler sowie ein voll besetztes Sicherheitsteam, um die eigentliche Überwachung durchzuführen. Dies macht es zu einer unpraktischen Wahl für die meisten Organisationen.

Wie wir bereits erklärt haben, ist es auch keine Option, den Code der Apps neu zu schreiben oder sie in die Cloud zu migrieren. Wir scheinen also in eine Sackgasse geraten zu sein: Einerseits ist MFA erforderlich, andererseits scheint es unmöglich. Wie kann das gelöst werden?

Die Lösung: Silverfort's Unified Identity Protection MFA

Silverfort hat die weltweit erste Pionierarbeit geleistet Einheitlicher Identitätsschutz Plattform, die erweitert MFA und moderne Identitätssicherheit auf alle Benutzer und Ressourcen, einschließlich der Legacy-Anwendungen das konnte vorher nicht geschützt werden.

Diese Architektur vermeidet die Frage, ob die Anwendung MFA nativ unterstützt oder nicht, da es nur darauf ankommt, ob sie sich bei AD authentifiziert. Wenn dies der Fall ist – was bei den meisten Altanwendungen der Fall ist – dann Silverfort kann es analysieren, bei Bedarf MFA auslösen und das Urteil an AD weitergeben, wie wir oben erklärt haben.

Sobald die Silverfort Plattform ist in der Umgebung installiert, Active Directory leitet jede eingehende Zugriffsanfrage zur Risikoanalyse weiter, bevor der Zugriff gewährt oder verweigert wird. SilverfortDie Risiko-Engine von prüft den Zugriffsversuch und bestimmt, ob ihm vertraut werden kann oder ob eine MFA-Überprüfung erforderlich ist. Wenn eine weitere Überprüfung erforderlich ist, Silverfort verbindet sich mit dem MFA-Dienst – entweder dem eigenen oder einem Drittanbieter – und fordert den Benutzer auf, seine Identität nachzuweisen. Basierend auf der Antwort, Silverfort teilt AD mit, ob der Zugriffsanforderung vertraut werden kann oder nicht.

Auf diese Weise, Silverfort überwindet alle Herausforderungen, die wir in den vorherigen Abschnitten beschrieben haben:

• Es sind keine Codeänderungen an der App selbst erforderlich.
• Es müssen keine Agenten auf den Servern der App installiert werden.
• Es deckt alle Zugriffsversuche ab, die genutzt werden Active Directory.
• Es verhindert proaktiv und in Echtzeit jeden Versuch, kompromittierte Anmeldeinformationen für den Zugriff auf die Legacy-App zu verwenden.

Erfahren Sie mehr über blinde Flecken von MFA und wie Sie diese schützen können SilverforteBook: Bewerten Sie Ihren MFA-Schutz neu.