Begriff der Woche
Credential Stuffing ist eine Art Cyber-Angriff, bei dem Hacker gestohlene Benutzernamen und Passwörter verwenden, um unbefugten Zugriff auf Online-Konten zu erlangen. Hacker erhalten Zugangsdaten durch Datenschutzverletzungen oder durch den Kauf im Dark Web. Anschließend verwenden sie automatisierte Tools, um diese gestohlenen Anmeldeinformationen auf verschiedenen Websites auszuprobieren, in der Hoffnung, dass Benutzer dieselbe Kombination aus Benutzername und Passwort auf mehreren Websites wiederverwendet haben. Das Ziel von Credential-Stuffing-Angriffen ist es, Zugang zu vertraulichen Informationen wie Finanzdaten, persönlichen Informationen und geistigem Eigentum zu erhalten. Diese Angriffe können Unternehmen und Einzelpersonen erheblichen Schaden zufügen und ihren Ruf schädigen. Identitätssicherheitslösungen mit MFA (Multi-Faktor-Authentifizierung) können dazu beitragen, die Bedrohung durch Credential-Stuffing-Angriffe zu mindern. MFA ist eine Authentifizierungsmethode, bei der Benutzer vor dem Zugriff auf ein Konto zwei oder mehr Arten der Identifizierung angeben müssen. Dazu kann etwas gehören, das der Benutzer weiß (z. B. ein Kennwort), etwas, das der Benutzer hat (z. B. ein Token oder eine Smartcard), oder etwas, das der Benutzer ist (z. B. ein biometrischer Scan). Durch die Implementierung von MFA können Unternehmen sicherstellen, dass Hacker, selbst wenn sie Anmeldeinformationen gestohlen haben, keinen Zugriff auf ein Konto erhalten, ohne auch Zugriff auf die zweite Form der Identifizierung zu haben. Dadurch wird das Risiko erfolgreicher Credential-Stuffing-Angriffe erheblich reduziert.
Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst zur Verwaltung der Authentifizierung und Autorisierung in lokalen Domänennetzwerken. Der Server, auf dem der AD-Dienst ausgeführt wird, wird als Domänencontroller bezeichnet. Zu den wichtigsten Verwendungszwecken von AD gehören die Erstellung von Benutzerkontennamen und Passwörtern, deren Organisation in Gruppen und die Zuweisung ihrer Zugriffsrechte an verschiedene Organisationsressourcen. Die wichtigste Funktionalität besteht jedoch in der Verwaltung des Authentifizierungsprozesses von Benutzern, die versuchen, auf Server, Workstations, lokale Anwendungen oder andere Ressourcen innerhalb des Domänennetzwerks zuzugreifen. Immer wenn ein Benutzer seinen Benutzernamen und seine Anmeldeinformationen angibt, Active Directory würde die Eingabe überprüfen und bestätigen, dass der Benutzername und die Anmeldeinformationen tatsächlich übereinstimmen. AD arbeitet hauptsächlich mit zwei Authentifizierungsprotokollen: NTLM und Kerberos. Active Directory fungiert heutzutage als Authentifizierungsinfrastruktur in praktisch fast jedem Unternehmensnetzwerk. In der Zeit vor der Cloud befanden sich alle Unternehmensressourcen ausschließlich vor Ort, sodass AD praktisch der einzige Identitätsanbieter war. Doch selbst in einer Zeit, in der Unternehmen versuchen, Arbeitslasten und Anwendungen in die Cloud zu verlagern, ist AD immer noch in mehr als 95 % der Unternehmensnetzwerke präsent. Dies ist hauptsächlich darauf zurückzuführen, dass Kernressourcen nur schwer oder gar nicht in die Cloud migriert werden können. Identitätsbedrohungen sind Cyberangriffe oder einzelne Komponenten innerhalb eines größeren Cybervorgangs, die kompromittierte Anmeldeinformationen für den böswilligen Zugriff auf Ressourcen nutzen. Diese Angriffe treten typischerweise in der Phase der lateralen Bewegung nach der Kompromittierung auf, in der Angreifer versuchen, von einem anfänglichen Stützpunkt auf andere Maschinen in der Zielumgebung vorzudringen. Verwenden Sie entweder Klartext-Passwörter oder Passwort-Hashes, um eine durchzuführen Active Directory Authentifizierung. Erhalten Sie die Anmeldeinformationen, indem Sie sie entweder im Dark Web kaufen oder während des Angriffs von kompromittierten Maschinen erhalten (es gibt verschiedene offene Tools, um dies zu erreichen). Verwandeln Sie ein lokales Ereignis einer einzelnen kompromittierten Maschine in einen Vorfall auf Organisationsebene, der das Geschäft beeinträchtigen kann Betriebe gefährdet. Wenn es also einem Angreifer gelingt, an diese zu gelangen und sie AD zur Verfügung zu stellen, betrachtet AD sie als legitime Authentifizierung und gewährt Zugriff. Auf diese Weise können Bedrohungsakteure die AD-Authentifizierungsinfrastruktur für böswilligen Zugriff nutzen, ohne dass sie Malware einsetzen müssen, wodurch dieser Zugriff schwer zu erkennen ist. Wenn Angreifer nicht an das Klartext-Passwort gelangen, können sie mithilfe des Passwort-Hashs dennoch eine vollständige AD-Authentifizierung durchführen. Die tatsächliche Implementierung hängt vom verwendeten Protokoll ab: NTLM: NTLM verwendet Hashes als Passwortäquivalent und ermöglicht es Angreifern, einen „Pass the Hash“-Angriff mit einem kompromittierten Hash zu starten. Kerberos: Kerberos generiert Authentifizierungstickets mithilfe des Hashs. Angreifer können den kompromittierten Hash verwenden, um ein Kerberos-Ticket zu fälschen und eine Kerberos-Authentifizierung durchzuführen. Da AD als das Nervenzentrum der Domänenumgebung betrachtet werden kann, ermöglicht es einem angemeldeten Admin-Benutzer, jede gewünschte Aktion auszuführen – Benutzer zu erstellen, Berechtigungen zu erhöhen und auf jede Ressource zuzugreifen. Dieser Status wird als „Domänendominanz“ bezeichnet und ist das Hauptziel, das der Angreifer mit seiner seitlichen Bewegung erreichen möchte. Sobald beispielsweise die Domänendominanz erlangt ist, kann ein Angreifer Ransomware-Nutzlast auf mehreren Workstations und Servern einschleusen oder den Zweck des Angriffs ändern. AD kann keinen Schutz vor diesen Angriffen bieten, da seine Schutzfunktionen auf die Überprüfung der Übereinstimmung zwischen Benutzername und Anmeldeinformationen beschränkt sind. Da Identitätsbedrohungen per Definition auf der Kompromittierung gültiger Benutzernamen und Anmeldeinformationen basieren, können sie AD leicht umgehen und ihre böswillige Authentifizierung als legitim ausgeben. Dadurch entsteht ein schwerwiegender blinder Fleck in der Sicherheitsarchitektur von Unternehmen, der zu zahlreichen Variationen von Lateral-Movement-Angriffen führt. AD selbst hat keine Möglichkeit, zwischen legitimer und böswilliger Authentifizierung zu unterscheiden (sofern gültige Benutzernamen und Anmeldeinformationen angegeben wurden). Diese Sicherheitslücke könnte theoretisch durch die Hinzufügung der Multi-Faktor-Authentifizierung (MFA) zum Authentifizierungsprozess geschlossen werden. Leider unterstützen die von AD verwendeten Authentifizierungsprotokolle – NTLM und Kerberos – MFA Step-up nicht nativ. Das Ergebnis ist, dass die überwiegende Mehrheit der Zugriffsmethoden in einer AD-Umgebung keinen Echtzeitschutz gegen einen Angriff bietet, der kompromittierte Anmeldeinformationen verwendet. Beispielsweise können häufig verwendete CMD- und PowerShell-Remotezugriffstools wie PsExec oder Enter-PSSession nicht mit MFA geschützt werden, sodass Angreifer sie für böswilligen Zugriff missbrauchen können.
Adaptive Authentifizierung ist ein Begriff, der die Fähigkeit beschreibt, eine Risikoanalyse für einen Authentifizierungsversuch durchzuführen und basierend auf dem Analyseergebnis zu bestimmen, ob der Zugriff zugelassen oder eine zusätzliche Überprüfung vom anfordernden Benutzer verlangt wird. Beispielsweise ermöglicht die adaptive Authentifizierung den Ersatz ständiger MFA-Push-Benachrichtigungen, die die Benutzererfahrung stören können und MFA nur erfordern, wenn ein vermutetes Risiko besteht. Die Parameter, die die adaptive Authentifizierung berücksichtigt, variieren je nach Art der Authentifizierung und der Umgebung, in der sie stattfindet, suchen jedoch normalerweise nach Anomalien – Standort, Gerät, Benutzerverhalten und andere. Die Risiko-Engine für die adaptive Authentifizierung ist entweder ein nativer Bestandteil des Authentifizierungsmechanismus des Identitätsanbieters oder wird von einem externen Anbieter in diesen Mechanismus integriert. Auf diese oder andere Weise wird der standardmäßige Authentifizierungsfluss auf folgende Weise geändert: Der Benutzer fordert Zugriff auf eine bestimmte Ressource an. Der Identitätsanbieter prüft, ob Benutzername und Passwort gültig sind. Der Identitätsanbieter übergibt die Authentifizierungsdaten an die Risiko-Engine für die adaptive Authentifizierung. Die Risiko-Engine für die adaptive Authentifizierung analysiert die Authentifizierung und bestimmt ihre Risikostufe. Basierend auf dem Analyseergebnis wird dem Nutzer entweder der Zugang gewährt, gesperrt oder er wird aufgefordert, seine Identität mit einem zusätzlichen Authentifizierungsfaktor nachzuweisen. Adaptive Authentifizierung ist theoretisch die ultimative Verteidigungslinie gegen Identitätsbedrohungen, die kompromittierte Anmeldeinformationen verwenden, um auf Zielressourcen zuzugreifen, und sollte die verschiedenen Anomalien erkennen, die solche böswilligen Authentifizierungen mit sich bringen. Innerhalb einer SaaS-Umgebung kann die adaptive Authentifizierung erkennen, wenn ein Authentifizierungsversuch von unmöglichen Orten aus stattfindet oder wenn gleichzeitige Anmeldungen erfolgen – klare Anzeichen dafür, dass der authentifizierende Benutzer nicht der legitime ist und dass die Anmeldeinformationen des Benutzers kompromittiert wurden. Die AD-Umgebung unterstützt jedoch keine adaptive Authentifizierung. Es gibt keine Möglichkeit, NTLM- und Kerberos-Authentifizierungsabläufen einen Risikoanalyseteil hinzuzufügen. Dies schafft sowohl eine Erkennungs- als auch eine Präventionslücke, da sich jeder Angreifer, der die gültigen Anmeldeinformationen legitimer Benutzer kompromittiert hat, bei ihnen authentifizieren kann, um nach Belieben auf Workstations, Server und On-Prem-Anwendungen zuzugreifen. Diese Lücke ermöglicht, dass laterale Bewegungen und Ransomware-Verbreitungsangriffe ohne Unterbrechung gedeihen. Lernen wie Silverfort löst dieses Problem.
Ein Air-Gap-Netzwerk ist ein internes Computernetzwerk, das vollständig vom äußeren Internet isoliert ist und keinerlei eingehenden oder ausgehenden Datenverkehr aufweist. Typischerweise sind die Gründe entweder physische Sicherheit oder hohe Anforderungen an die Vertraulichkeit von Daten. Einige prominente Beispiele für Air-Gap-Netzwerke sind verschiedene nationale Sicherheitsakteure wie Verteidigung, Regierungen und militärische Einrichtungen sowie kritische Infrastruktureinrichtungen, die Energie, Wasserversorgung und andere unterstützende Dienste bereitstellen. Organisationen dieser Art bemühen sich, ihre sensibelsten Netzwerksegmente vollständig zu trennen, sodass sie von allen Internetverbindungen abgeschnitten sind. Der Gedanke hinter dem Air-Gapping eines Netzwerks besteht darin, seine Angriffsfläche auf das absolute Minimum zu reduzieren und sicherzustellen, dass kein böswilliger Datenverkehr in das Netzwerk eindringt. Es sollte jedoch beachtet werden, dass es aufgrund der zunehmenden Konnektivität heute nur sehr wenige Netzwerke gibt, die wirklich zu 100 % ohne Interaktion sind. Die häufigere Realität ist ein „größtenteils Air-Gap“-Netzwerk, das streng kontrollierte externe Verbindungen für Software-Updates, den Zugriff von Drittanbietern usw. aufrechterhält. Während die Angriffe des Air-Gap-Netzwerks tatsächlich reduziert werden, macht es das nicht immun gegen Cyberangriffe. Während das Air Gapping den anfänglichen Zugriff eines Angreifers erheblich erschwert, hat es darüber hinaus keine Auswirkungen auf die Widerstandsfähigkeit des Netzwerks gegenüber Aktionen nach der Kompromittierung, wie z. B. seitliche Bewegungen und die Ausführung von Malware. Tatsächlich macht seine Trennung von externen Quellen wie Bedrohungsaufklärungsservern oder zentralisierten Bedrohungsanalyse-Clouds ein Air-Gap-Netzwerk anfälliger für solche Angriffe als ein normales. Das dringendste Sicherheitsproblem in einem Air-Gap-Netzwerk ist der böswillige Zugriff auf seine Computer und Server. Ein solcher Zugriff kann direkt durch einen böswilligen Insider oder durch seitliche Bewegungen erfolgen. Um sich gegen ein solches Szenario zu wehren, müssen die Authentifizierungsanforderungen auf mehr als nur Benutzername und Passwort beschränkt werden. Aber wie können Sie eine MFA-Lösung einsetzen, wenn keine ausgehende Konnektivität vorhanden ist? Die gängige Praxis für Air-Gap-Netzwerke zur Überwindung dieser Barriere besteht darin, physische Hardware-Sicherheitstoken anstelle der standardmäßigen mobilen Geräte zu verwenden, die eine Internetverbindung erfordern. Diese Überlegung fügt eine weitere Anforderung hinzu, wobei FIDO3 der bevorzugte Standard für Hardtoken ist und sowohl gegen fortgeschrittene als auch traditionelle Phishing-Angriffe widerstandsfähig ist. FIDO2 passt jedoch nicht von Haus aus in viele Netzwerke, die nicht für die Arbeit mit den spezifischen unterstützten Protokollen konzipiert wurden, sodass sie nicht in den Geltungsbereich dieses Schutzes fallen. Lernen wie Silverfort löst dieses Problem.
Credential Stuffing ist eine Art Cyber-Angriff, bei dem Hacker gestohlene Benutzernamen und Passwörter verwenden, um unbefugten Zugriff auf Online-Konten zu erlangen. Hacker erhalten Zugangsdaten durch Datenschutzverletzungen oder durch den Kauf im Dark Web. Anschließend verwenden sie automatisierte Tools, um diese gestohlenen Anmeldeinformationen auf verschiedenen Websites auszuprobieren, in der Hoffnung, dass Benutzer dieselbe Kombination aus Benutzername und Passwort auf mehreren Websites wiederverwendet haben. Das Ziel von Credential-Stuffing-Angriffen ist es, Zugang zu vertraulichen Informationen wie Finanzdaten, persönlichen Informationen und geistigem Eigentum zu erhalten. Diese Angriffe können Unternehmen und Einzelpersonen erheblichen Schaden zufügen und ihren Ruf schädigen. Identitätssicherheitslösungen mit MFA (Multi-Faktor-Authentifizierung) können dazu beitragen, die Bedrohung durch Credential-Stuffing-Angriffe zu mindern. MFA ist eine Authentifizierungsmethode, bei der Benutzer vor dem Zugriff auf ein Konto zwei oder mehr Arten der Identifizierung angeben müssen. Dazu kann etwas gehören, das der Benutzer weiß (z. B. ein Kennwort), etwas, das der Benutzer hat (z. B. ein Token oder eine Smartcard), oder etwas, das der Benutzer ist (z. B. ein biometrischer Scan). Durch die Implementierung von MFA können Unternehmen sicherstellen, dass Hacker, selbst wenn sie Anmeldeinformationen gestohlen haben, keinen Zugriff auf ein Konto erhalten, ohne auch Zugriff auf die zweite Form der Identifizierung zu haben. Dadurch wird das Risiko erfolgreicher Credential-Stuffing-Angriffe erheblich reduziert.
Die Cyber-Haftpflichtversicherung, auch bekannt als Cyber-Versicherung, ist eine Art von Versicherung, die Verluste und Schäden abdeckt, die durch Cyber-Angriffe, Datenschutzverletzungen und andere Arten von Cyber-Vorfällen entstehen. Da die Rate von Ransomware-Angriffen in die Höhe schnellt – im vergangenen Jahr um 71 % gestiegen und angeheizt durch Milliarden gestohlener Zugangsdaten, die im Dark Web verfügbar sind – nutzen Bedrohungsakteure zunehmend laterale Bewegungen, um Nutzlasten erfolgreich über eine gesamte Umgebung auf einmal zu verteilen. Große Unternehmen, darunter Apple, Accenture, Nvidia, Uber, Toyota und Colonial Pipeline, wurden alle Opfer der jüngsten hochkarätigen Angriffe, die auf blinde Flecken beim Identitätsschutz zurückzuführen sind. Aus diesem Grund haben Versicherer strenge Maßnahmen eingeführt, die Unternehmen erfüllen müssen, bevor sie Anspruch auf eine Police haben. Die explodierenden Schadensfälle im Jahr 2020 veranlassten Versicherungsunternehmen, die Kriterien für den Abschluss oder die Verlängerung von Cyberversicherungen drastisch zu überarbeiten. Heutzutage sehen sich Unternehmen einer völlig veränderten Landschaft gegenüber, in der Unternehmen nachweisen müssen, dass sie Ransomware-Angriffe über eine Vielzahl von Sicherheitskontrollen abwehren können. Beispielsweise verlangen Underwriter jetzt spezifische Maßnahmen zur Identitätssicherheit, einschließlich der Möglichkeit, Multifaktor-Authentifizierung (MFA) für den internen und externen Administratorzugriff innerhalb der Umgebung durchzusetzen sowie alle privilegierten Konten zu überwachen und zu schützen, um die Querbewegung von Bedrohungsakteuren zu verhindern ausführen, um die Ransomware in der Zielumgebung zu verbreiten. Eine Herausforderung besteht hier darin, dass es keine MFA-Lösung gibt, die die Befehlszeilen-Zugriffstools schützen kann, die Angreifer verwenden, um diese laterale Bewegung zu starten. Darüber hinaus gibt es kein integriertes Dienstprogramm zum Schutz hochprivilegierter Verbindungen von Maschine zu Maschine (sogenannte Dienstkonten), die Angreifer normalerweise kompromittieren.
Das Produkt Identity and Access Management (IAM) ist eine Plattform zur Verwaltung der Authentifizierung und Autorisierung von Benutzerkonten in einer Organisationsumgebung. Es wird zum Erstellen neuer Benutzerkonten und Organisationsgruppen, zur Zuweisung von Berechtigungen und zur Konfiguration von Zugriffsrichtlinien verwendet. Ein IAM stellt außerdem die erforderliche Backend-Infrastruktur für Single Sign On (SSO) bereit und ermöglicht es den Benutzern der Organisationen, sich mit einem einzigen Benutzernamen und Passwort bei jeder Ressource anzumelden. Während Unternehmen in der Vergangenheit nur über eine On-Prem-Umgebung verfügten, die von einem einzigen IAM verwaltet wurde, hat die schrittweise Verlagerung in die Cloud und die zunehmende SaaS-Nutzung eine komplexere Umgebung geschaffen, in der mehrere IAM gleichzeitig zur Verwaltung verschiedener Arten von Ressourcen verwendet werden. Die meisten Unternehmen nutzen heute mindestens zwei separate IAM-Lösungen, um den Zugriff auf alle ihre Ressourcen in der Hybridumgebung zu verwalten: On-Prem – in den meisten Unternehmen wäre das IAM für die On-Prem-Umgebung das von Microsoft Active Directory, um den Zugriff auf Workstations, Server, lokale Anwendungen, IT- und Netzwerkinfrastruktur usw. zu verwalten. SaaS – heute werden hauptsächlich zwei Alternativen verwendet: Federation-Server – wie der Name schon sagt, föderiert dieser Server die Benutzerkonten vom lokalen Server Verzeichnis zu registrierten SaaS-Anwendungen, ermöglicht die Verwendung eines einzigen Kontos sowohl für lokale als auch für SaaS-Ressourcen. Cloud Identity Provider – Dies ist eine Cloud-native SaaS-App, die den gesamten Zugriff auf SaaS und Web-Apps unabhängig vom lokalen Server verwaltet. Es gibt verschiedene Methoden, um sie aufeinander abzustimmen. Die gängige Praxis besteht darin, für beide denselben Benutzernamen und dasselbe Passwort zu verwenden, um ein einheitliches SSO-Erlebnis zu gewährleisten. Die größte Sicherheitslücke, die IAM mit sich bringt, besteht darin, dass jeder von ihnen in seinem eigenen Silo arbeitet, ohne dass es zu einem gegenseitigen Datenaustausch kommt. In der Praxis bedeutet dies, dass keiner von ihnen den vollständigen Kontext jeder Authentifizierung erkennen kann, was letztendlich zu eingeschränkten Möglichkeiten zur Erkennung potenzieller Risiken darin führt. Darüber hinaus, Active Directory – eines der bekanntesten IAM – unterstützt keinerlei Risikoanalyse oder Echtzeit-MFA-Prävention, außer der bloßen Überprüfung, ob Benutzernamen und Anmeldeinformationen übereinstimmen. Zusammengenommen bedeutet dies, dass IAM allein nicht als Schutzschicht gegen Identitätsbedrohungen fungieren kann. Lernen wie Silverfort löst dieses Problem.
Identitätsschutz ist der Gesamtbegriff, der die Reihe von Funktionen beschreibt, die zum Schutz vor Angriffen erforderlich sind, die auf die Identitätsangriffsoberfläche abzielen, indem kompromittierte Anmeldeinformationen für den Zugriff auf Zielressourcen verwendet werden. Der Identitätsschutz gilt für alle Unternehmensressourcen: SaaS-Apps, Remote-VPN-Verbindungen, lokale Workstations und Server und andere. Die Zunahme von Identitätsbedrohungen und ihre Rolle als führender Angriffsvektor hat Sicherheitsakteure dazu veranlasst, den Identitätsschutz als unabhängige Kategorie und nicht als Teilmenge der Endpunkt-, Netzwerk- und Cloud-Sicherheit zu betrachten. Identitätsschutz gilt für die folgenden Angriffe: Kontoübernahme – Bedrohungsakteur versucht, mit kompromittierten Anmeldeinformationen auf eine SaaS-Anwendung oder einen Cloud-Workload zuzugreifen. Schädliche Remote-Verbindung – Angreifer greift remote über kompromittierte VPN- oder ZTNA-Anmeldeinformationen auf ein internes Unternehmensnetzwerk zu. Laterale Bewegung – Der Bedrohungsakteur verfolgt eine anfängliche Endpunktkompromittierung, indem er auf zusätzliche Workstations und Server mit kompromittierten Domänenanmeldeinformationen zugreift. Eine weitere seitliche Bewegung besteht darin, aus den kompromittierten Endpunkten Anmeldeinformationen für SaaS-Apps oder Cloud-Workloads zu extrahieren und von der anfänglichen On-Prem-Basis in die Cloud-Umgebung zu wechseln. Es gibt zwei Hauptwege für Angreifer, um an Benutzeranmeldeinformationen zu gelangen, um sich böswilligen Zugriff zu verschaffen: Vorher kaufen – in den Dark-Web-Foren sind mehr als 24 Milliarden Anmeldeinformationen zum Kauf im Umlauf. Tatsächlich gibt es Bedrohungsakteure, die Organisationen mit dem einzigen Zweck verletzen, Domain-Anmeldeinformationen zu extrahieren und sie schnell zu verkaufen. Gehen Sie Kompromisse ein – sobald ein Angreifer auf einem angegriffenen Computer Fuß gefasst hat, kann er Code ausführen und eine breite Palette von Open-Source-Tools einsetzen, um Anmeldeinformationen aus dem Speicher des Computers zu extrahieren. So oder so zeigt die aktuelle Bedrohungslandschaft, dass der Zugriff auf kompromittierte Anmeldeinformationen eher trivial als schwierig ist. Der Identitätsschutz basiert auf der Vorstellung, dass zwar wenig getan werden muss, um die Kompromittierung von Anmeldeinformationen zu verhindern, aber dennoch viel zu tun ist, um Angreifern die Möglichkeit zu nehmen, sie für böswilligen Zugriff zu verwenden. Der Identitätsschutz umfasst zwei Schlüsselaspekte in Bezug auf Identitätsbedrohungen: Erkennung – die Fähigkeit, mit hoher Präzision zwischen der legitimen Authentifizierung eines Benutzers und der böswilligen Authentifizierung eines Angreifers zu unterscheiden, der die Anmeldeinformationen dieses Benutzers kompromittiert hat. Echtzeit-Prävention – die Fähigkeit, eine erkannte böswillige Authentifizierung abzufangen und zu blockieren, während sie versucht wird, ohne dass sie vollständig in den tatsächlichen Ressourcenzugriff übergeht. Um effektiv zu sein, sollten diese Erkennungs- und Präventionsfunktionen außerdem gleichermaßen für alle Umgebungen gelten, sowohl vor Ort als auch in der Cloud. Lernen wie Silverfort löst dieses Problem.
Identitätsbasiertes Zero Trust ist die Idee, das Vertrauen von Benutzern zu bewerten und sichere Zugriffskontrollen durchzusetzen, wenn ein Benutzer versucht, auf eine Unternehmensressource zuzugreifen. Identity Zero Trust basiert auf dem Ansatz der kontinuierlichen Überwachung jeder Benutzerzugriffsanfrage, einschließlich aller Ressourcen vor Ort und in der Cloud. Die Implementierung von Identity Zero Trust kann Organisationen dabei helfen, den böswilligen Zugriff auf Unternehmensressourcen aus ihrer Umgebung heraus zu verhindern. Wenn ein Benutzer Zugriff anfordert, muss dieser bestimmte Benutzer authentifiziert werden, um Zugriff auf die erforderliche Ressource zu erhalten. In einer Umgebung, in der nicht die richtigen Sicherheitskontrollen implementiert sind, wenn ein Benutzerkonto kompromittiert wird und einfach die kompromittierten Anmeldeinformationen des Benutzers verwenden kann, um Zugriff auf beliebige Ressourcen zu erhalten und sich seitlich in der Umgebung einer Organisation zu bewegen. Wenn eine Organisation jedoch einen identitätsbasierten Zero-Trust-Ansatz mit granularen Sicherheitskontrollen implementiert hat, wird es für einen Angreifer schwieriger, die kompromittierten Anmeldedaten auszunutzen. Durch die Implementierung von Netzwerksegmentierungsregeln und risikobasierten Authentifizierungsrichtlinien innerhalb des Identitäts-Zero-Trust-Modells einer Organisation kann der Identitätsschutz einer Organisation eine höhere Granularität und Risikoerkennungsfunktionen für ihre Benutzerauthentifizierungsanfragen bereitstellen. Hybridumgebungen verwenden verschiedene Arten von Ressourcen wie Server, SaaS-Apps, Cloud-Workloads, Dateifreigaben, lokale Anwendungen und viele andere, und sie alle müssen geschützt werden. Um den Prozess des Schutzes von Ressourcen zu starten, sollten Unternehmen die Einführung eines stärker identitätsbasierten Zero-Trust-Sicherheitsmodells prüfen. Identitätsbasiertes Zero Trust bedeutet jedoch, dass die folgenden Kriterien erfüllt sein müssen, um Identity Zero Trust zu erreichen: Alle Benutzerkonten sollten als kompromittiert angesehen werden und nicht vertrauenswürdig sein, bis sie authentifiziert und nachgewiesen wurden. Ein Benutzerkonto gilt erst dann als vertrauenswürdig, wenn es authentifiziert und validiert wurde, um Zugriff auf den Zugriff auf einzelne Ressourcen zu erhalten. Nachdem die Zugriffsanforderungen eines Benutzers authentifiziert wurden und derselbe Benutzer eine andere Ressource versucht, müssen sie erneut validiert werden. Um einen verbesserten Identitätsschutz zu gewährleisten, erfordert der Identity Zero-Trust-Evaluierungsprozess die Durchführung der folgenden Maßnahmen: Kontinuierliche Überwachung: Alle Zugriffsanfragen für alle Cloud- und On-Prem-Ressourcen müssen überwacht werden und einen erweiterten Audit-Test bieten. Risikoanalyse: Bei jeder Benutzerzugriffsanfrage muss festgestellt werden, ob diese spezifischen Benutzeranmeldeinformationen kompromittiert sind, was auf einer Risikoanalyse des Benutzerverhaltens und seiner Authentifizierungsaktivität basiert. Zugriffsrichtlinien erzwingen: Weisen Sie jedem Benutzer eine Identitätszugriffsrichtlinie zu, die auf einem berechneten Risiko basiert, das die Authentifizierung mit MFA entweder zulässt, blockiert oder auslöst. Die Annahme eines identitätsbasierten Zero-Trust-Identitätsansatzes zum Identitätsschutz bringt verschiedene Sicherheits- und Geschäftsvorteile mit sich: Schnelle Bereitstellung: Es sind keine Infrastrukturänderungen und ernsthafte Ausfallzeiten erforderlich, da die einzigen geringfügigen Änderungen die Benutzerzugriffsrichtlinien und Authentifizierungsmethoden betreffen. Erhöhte Granularität: Durch die Fokussierung auf den Benutzer können Unternehmen eine ordnungsgemäße Risikoanalyse für jeden Ressourcenzugriff sicherstellen. Erkennen Sie Anomalien und Bedrohungen: Überwachen und führen Sie tägliche Sicherheitsprüfungen für jeden Ressourcenzugriff durch, um böswillige Aktivitäten oder unregelmäßige Zugriffsanforderungen zu erkennen. Silverfort hilft Organisationen bei der Implementierung von Identity Zero Trust, klicken Sie hier.
Der Begriff „Lateral Movement“ bezeichnet die Post-Compromise-Phase bei Cyberangriffen, in der der Angreifer seinen Einfluss in der Zielumgebung von den anfänglichen Patienten-Null-Maschinen auf andere Workstations und Server ausdehnt. Die seitliche Bewegung ist für das Erreichen des Angriffsziels von größter Bedeutung, sei es Datendiebstahl, Massenverschlüsselung von Maschinen oder etwas anderes. Die Art und Weise, wie laterale Bewegungen stattfinden, sind kompromittierte Benutzeranmeldeinformationen. Diese Anmeldeinformationen werden entweder im Voraus erworben oder während des Angriffs von kompromittierten Endpunkten abgerufen. Typischerweise findet eine seitliche Bewegung vor Ort statt Active Directory Umgebung, indem sie den Mangel an Echtzeiterkennung und die Verhinderung böswilliger Authentifizierungen ausnutzt. Die seitliche Bewegung wird durch kompromittierte Anmeldeinformationen ermöglicht. In einer Unternehmensumgebung besteht die einzige Möglichkeit, auf Workstations und Server zuzugreifen, darin, gültige Benutzeranmeldeinformationen bereitzustellen. Zwar gibt es dazu verschiedene Möglichkeiten – von der einfachen Eingabe eines Klartext-Benutzernamens und -Passworts bis hin zur Fälschung eines Kerberos-Tickets aus einem kompromittierten Hash – aber das Wesentliche ist immer noch dasselbe. Mit anderen Worten: Laterale Bewegung ist der Zweck, während böswillige Authentifizierung das Mittel ist. Die seitliche Bewegung wird über eine der standardmäßigen Fernzugriffsmethoden in einem Domänennetzwerk ausgeführt. Diese Tools wurden entwickelt, um Helpdesk-Mitarbeitern die Fehlerbehebung an Remote-Computern zu ermöglichen und bieten Bedrohungsakteuren, die das Gleiche aus böswilligen Gründen tun, einen nahtlosen Zugriff. Die bekanntesten davon sind: Remote Desktop Protocol (RDP) – Dieses Tool öffnet ein Fenster der Benutzeroberfläche des Zielcomputers und bietet einfachen Zugriff auf Dateien, Ordner und installierte Software. CMD – Es gibt verschiedene CMD-Tools für den Fernzugriff, wobei PsExec am weitesten verbreitet ist und ein Befehlszeilenfenster zum Zielcomputer öffnet. PowerShell – ähnlich wie CMD bietet PowerShell auch verschiedene Dienstprogramme für den Fernzugriff, wobei Enter-PSSession das am häufigsten verwendete ist. Bei dem Versuch, sich vor Lateral-Movement-Angriffen zu schützen, stehen Sicherheitsprodukte vor zwei Hauptherausforderungen: Erkennung: Da bei Lateral Movement gültige Anmeldeinformationen und legitime Fernzugriffstools zum Einsatz kommen, ist es für Sicherheitsprodukte äußerst schwierig, zwischen einer legitimen und einer böswilligen Authentifizierung zu unterscheiden, was zu … eine große Menge falsch positiver Ergebnisse. Verhütung: Active Directory (AD) kann der Standard-Identitätsanbieter in der lokalen Umgebung keine Risikoanalyse und -erkennung in seinen Authentifizierungsfluss integrieren, sodass es keine Möglichkeit gibt, die Durchführung einer böswilligen Authentifizierung zu blockieren. Während die Lateral Movement in der Vergangenheit nur bei High-End-APT-Kampagnen eingesetzt wurde, ist sie heute fester Bestandteil von mehr als 80 % der Ransomware-Angriffe. Bedrohungsakteure haben erkannt, dass sie durch laterale Bewegung eine große Anzahl von Maschinen auf einmal verschlüsseln können, indem sie die Domänendominanz erlangen und die Ransomware-Payload in einem freigegebenen Netzwerkordner ausführen. Dies ist weitaus kostengünstiger, als bewaffnete E-Mails separat an jeden Computer im Unternehmen zu senden und sie einzeln zu verschlüsseln. Dies macht praktisch jede Organisation zu einem potenziellen Ziel. Lernen wie Silverfort löst dieses Problem.
MFA Prompt Bombing ist das Konzept eines Cyberangriffs mit geringer Komplexität, bei dem das einzige Ziel darin besteht, Zugriff auf ein System oder eine Anwendung zu erhalten, die durch MFA geschützt ist. Die Angreifer verlassen sich auf menschliches Versagen, um einen Benutzer dazu zu bringen, eine Multi-Faktor-Authentifizierungsanforderung (MFA) zu akzeptieren. Der wichtigste Faktor des MFA-Prompt-Bombing für Angreifer ist die Push-basierte Authentifizierung, da ein Benutzer nur einen Klick von der Genehmigung einer Authentifizierungsanforderung entfernt ist. Bei einem typischen MFA-Prompt-Bombing-Angriff senden Cyberkriminelle über einen kurzen Zeitraum viele MFA-Genehmigungsanfragen an einen Benutzer, in der Hoffnung, dass der Benutzer sich über die zahlreichen MFA-Anfragen ärgert und der Authentifizierungsanfrage nachgibt, sie akzeptiert und dem Angreifer Zugriff gewährt . Ungeachtet des Ärgers, der durch MFA-Prompt-Bombing verursacht wird, verschafft ein erfolgreicher Angriff dem Angreifer Zugriff auf Konten oder die Möglichkeit, bösartigen Code auf einem Zielsystem auszuführen. Bei den meisten MFA-Prompt-Bombing-Angriffen erhält der Angreifer die Anmeldeinformationen des Zielbenutzers durch gängige Methoden wie Brute-Force-Angriffe, indem er sie online bringt oder andere gängige Methoden, um die Anmeldeinformationen zu kompromittieren. Sobald der Angreifer über die kompromittierten Anmeldeinformationen verfügt, verwendet er eine der folgenden Möglichkeiten, um einen MFA-Prompt-Bombing-Angriff zu initiieren. Senden Sie mehrere MFA-Aufforderungen, um das Ziel zu verärgern, damit es eine der MFA-Anforderungen akzeptiert. Senden Sie beiläufig täglich eine MFA-Anforderung, um zu vermeiden, dass böswillige Aktivitäten erstellt oder Verdacht beim Ziel erregt und von Überwachungstools erkannt werden. Wenn der Angreifer keine kompromittierten Anmeldeinformationen verwendet, kann er Social-Engineering-Angriffe ausführen. Beispielsweise das Senden einer SMS oder einer E-Mail, in der die Anmeldeinformationen des Benutzers angefordert werden, während vorgetäuscht wird, ein Kollege des Benutzers zu sein. Obwohl es MFA Prompt Bombing schon seit mehreren Jahren gibt, setzen Angreifer diese Angriffsmethoden erst jetzt häufiger ein. Ein aktuelles Beispiel für ein erfolgreiches MFA-Prompt-Bombardement war die Verletzung von Uber. Der prompte Bombenangriff auf Uber verwendete MFA-Push-Benachrichtigungen über eine Duo-Authentifizierungs-App und gab mehrere Push-Benachrichtigungen aus, bis die Anfrage akzeptiert wurde. Während Angreifer weiterhin MFA-Prompt-Bombing-Techniken einsetzen werden, werden Unternehmen Schwierigkeiten haben, MFA-Prompt-Angriffe abzuwehren, da sie den Standard-MFA-Schutz umgehen. Dies schafft für die meisten Unternehmen eine große Sicherheitslücke, da die Benutzeraktivitäten und Authentifizierungsanfragen, die sie mit Standard-MFA-Lösungen erhalten, nur eingeschränkt sichtbar sind. Um mehr darüber zu erfahren, wie Silverfort hilft Unternehmen bei der Abwehr von MFA-Prompt-Angriffen, klicken Sie hier
Multi Factor Authentication (MFA) ist eine Sicherheitstechnologie, die verwendet wird, um zu überprüfen, ob Benutzer, die sich mit Anmeldeinformationen authentifizieren, tatsächlich die sind, für die sie sich ausgeben. MFA erreicht dies, indem von Benutzern verlangt wird, zusätzlich zu ihren Anmeldeinformationen einen zusätzlichen echten Beweis ihrer Identität bereitzustellen – etwas, das sie wissen, etwas, das sie haben oder etwas, das sie sind. Die Notwendigkeit für MFA ergibt sich aus der Tatsache, dass Anmeldeinformationen allein als vertrauenswürdige Kennung legitimer Benutzer nicht mehr ausreichen. In den letzten Jahren haben wir einen starken Anstieg der Anzahl von Angriffen erlebt, die kompromittierte Benutzeranmeldeinformationen verwenden, um auf Zielressourcen zuzugreifen. Laut Microsoft verhindert MFA solche identitätsbasierten Angriffe zu 99.9 %. Denn selbst wenn die Anmeldeinformationen eines Benutzers kompromittiert werden, macht es MFA Angreifern unglaublich schwer, die Authentifizierungsanforderungen zu erfüllen. MFA fügt dem Authentifizierungsprozess zusätzliche Schritte hinzu. Die Anzahl dieser Schritte variiert je nach Konfiguration und Kontext. Dies sind die drei grundlegenden MFA-Kategorien: Das grundlegendste Beispiel dieser Kategorie ist natürlich ein Passwort oder eine beliebige Variation einprägsamer Datenelemente, die vom/für den Benutzer konfiguriert werden. In diese Kategorie fallen auch Fragen zum persönlichen Hintergrund, die vermutlich nur Sie beantworten können. Im Allgemeinen gilt diese Kategorie als die am wenigsten sichere, da sowohl Passwörter als auch private Informationen von Angreifern kompromittiert oder erraten werden können. Diese Kategorie ist viel schwieriger zu kompromittieren und umfasst verschiedene physische Einheiten, die nur Sie besitzen – wie Mobiltelefone, physische Wertmarken, Schlüsselanhänger und Smartcards. Die physische Entität kann entweder als Träger des Verifizierungsschritts dienen – beispielsweise ein Mobiltelefon, das ein Einmalpasswort anzeigt – oder als Verifizierer selbst, beispielsweise als physischer Token. Letzteres gilt als sicherer, da es weniger Datenaustausch im Authentifizierungsprozess mit sich bringt und es für einen Angreifer schwieriger macht, es abzufangen. Dies gilt als die sicherste Faktorkategorie und umfasst Ihre physischen Identifikatoren – am häufigsten einen Fingerabdruck auf Ihrem Mobiltelefon oder Hardware-Token, aber auch Stimme, Gesichtserkennung und alle anderen einzigartigen biometrischen Daten. Jede Kombination dieser drei Authentifizierungsfaktor-Kategorien erhöht die Kontosicherheit erheblich und verringert die Wahrscheinlichkeit einer Kompromittierung.
Privileged Access Management (PAM): Eine Kategorie von Sicherheitsprodukten, die darauf ausgelegt sind, das Risiko zu mindern, dass ein Angreifer die Anmeldeinformationen privilegierter Benutzerkonten kompromittiert. Ein solches Szenario ermöglicht es einem Angreifer, alle erhöhten Zugriffsrechte dieser Konten auf vertrauliche Informationen und Systeme zu missbrauchen, und stellt somit ein kritisches Risiko dar. Eine PAM-Lösung geht diesem Risiko entgegen, indem sie eine Reihe von Überwachungs- und Präventivkontrollen einsetzt, die es Angreifern erschweren, A) die Kompromittierung selbst durchzuführen, B) kompromittierte privilegierte Anmeldeinformationen für böswilligen Zugriff zu nutzen und C) privilegierte Zugriffssitzungen zu überwachen. Die gängigen PAM-Implementierungen erfolgen als lokale Appliance, es ist jedoch auch als SaaS-Angebot verfügbar. Im Kontext der Identitätssicherheit konzentriert sich PAM auf die Verwaltung und Kontrolle des Zugriffs auf Systeme und Anwendungen, die erhöhte Berechtigungen erfordern. Dazu gehört der Zugriff auf vertrauliche Informationen und Systeme, die erhöhte Berechtigungen erfordern, wie Datenbanken, Server und Netzwerkinfrastruktur. Das Ziel von PAM besteht darin, das Risiko von Sicherheitsvorfällen durch Missbrauch oder Missbrauch von privilegiertem Zugriff zu verringern, indem sichergestellt wird, dass nur autorisierte Benutzer Zugriff auf die Systeme und Informationen haben, die sie zur Erfüllung ihrer Aufgaben benötigen, und gleichzeitig Transparenz und Kontrolle über privilegierten Zugriff gewährleistet wird Aktivitäten. PAM-Lösungen basieren auf dem zusätzlichen Schutz Ihrer privilegierten Konten. Der Vorbehalt besteht darin, dass implizit davon ausgegangen wird, dass Sie bereits wissen, um welche Konten es sich handelt. Leider ist dies kaum der Fall und die Realität sieht oft genau umgekehrt aus. Während Active Directory Alle Konten filtern, die Teil einer privilegierten Gruppe sind, kann nicht anzeigen, welche davon Dienstkonten sind. Dadurch entsteht eine kritische Lücke, da diese Konten ohne eine genaue Zuordnung ihrer Abhängigkeiten, interagierten Systeme und unterstützten Apps nicht gesichert und einer Passwortrotation unterzogen werden können. Wenn Sie sie ohne dieses Wissen im Tresor ablegen und ihr Passwort ändern, würde dies wahrscheinlich dazu führen, dass die Systeme und Apps, die sie verwenden, beschädigt werden. Die einzige Möglichkeit für Dienstkonten, PAM-Schutz zu erlangen, besteht darin, sich dieses Wissen manuell anzueignen. Wie Ihnen jedes Mitglied des Identitätsteams sagen wird, reicht diese Aufgabe von äußerst komplex und ressourcenintensiv bis hin zu völlig unmöglich in den meisten Umgebungen. Das Ergebnis dieses Problems ist ein extrem langer Prozess – Monate oder Jahre – für das Onboarding aller privilegierten Konten des PAM oder sogar den vollständigen Stopp der Bereitstellung.
Das PsExec-Befehlszeilentool ist Teil des Windows-Verwaltungspakets SysInternal, das häufig von IT-Administratoren in Windows-Umgebungen verwendet wird. PsExec ermöglicht es Administratoren, Code auf Remote-Computern auszuführen. Der klassische Anwendungsfall wäre ein Mitarbeiter, der ein Problem mit seiner Workstation hat und Helpdesk-Unterstützung benötigt. Mit PsExec kann sich der Helpdesk-Mitarbeiter mit dem Computer des Mitarbeiters verbinden und eine Befehlszeilen-Eingabeaufforderung öffnen, als ob er auf dem Remote-Computer selbst arbeiten würde. Um die Verbindung herzustellen, sollte der Remote-Benutzer Zugriffsrechte auf den Zielcomputer haben und den Namen des Zielcomputers sowie seinen Benutzernamen und sein Passwort im folgenden Format angeben: PsExec -s \\MASCHINENNAME -u BENUTZERNAME -p PASSWORD COMMAND (der Prozess, der nach dem Herstellen der Verbindung ausgeführt werden soll). Der nahtlose Fernzugriff, den PsExec von einer Quellmaschine auf eine Zielmaschine ermöglicht, wird von Angreifern im Verlauf der Lateral Movement-Phase bei Cyberangriffen intensiv missbraucht. Dies würde typischerweise nach der anfänglichen Kompromittierung einer Patient-Null-Maschine auftreten. Von diesem Zeitpunkt an versuchen Angreifer, ihre Präsenz in der Umgebung auszuweiten und entweder Domänendominanz oder bestimmte Daten zu erreichen, hinter denen sie her sind. PsExec bietet ihnen aus den folgenden Gründen eine nahtlose und zuverlässige Möglichkeit, dies zu erreichen. PsExec wurde in den letzten 15 Jahren erfolgreich von Bedrohungsakteuren eingesetzt. Vor einigen Jahren war es jedoch hauptsächlich in High-End-Cybercrime-Gruppen oder Elite-APT-Einheiten zu finden und wurde bei Angriffen eingesetzt, die sich auf Datendiebstahl konzentrierten. In den letzten fünf Jahren ist die Qualifikationsbarriere jedoch erheblich gesunken, und die laterale Bewegung mit PsExec ist in mehr als 80 % der Ransomware-Angriffe integriert, was den Schutz vor böswilliger Authentifizierung über PsExec zu einer Notwendigkeit für jedes Unternehmen macht. PsExec ist im Wesentlichen ein legitimer Prozess, der nicht von der Umgebung auf die schwarze Liste gesetzt werden kann. Dies macht die Unterscheidung zwischen der legitimen Nutzung von PsExec durch Administratoren und der böswilligen Nutzung durch Angreifer zu einer äußerst schwierigen Aufgabe für Endpunktschutz- und SIEM-Produkte. Es gibt praktisch kein Tool im Security Stack, das eine effiziente Erkennung und Verhinderung böswilliger PsExec-Authentifizierung in Echtzeit bieten kann. Lernen wie Silverfort löst dieses Problem.
Dienstkonten sind dedizierte nicht menschliche Konten, die von Systemen, Anwendungen und Diensten verwendet werden, um mit anderen Systemen zu interagieren. Sie führen automatisch und wiederholt wichtige geplante Aktionen durch – wie das Aktualisieren von Computern, das Scannen einer Umgebung oder das Ausführen von Zustandsprüfungen – und arbeiten normalerweise im Hintergrund eines IT-Stacks. Heutzutage steigt die Anzahl der von Organisationen verwendeten nichtmenschlichen Konten (und die Anzahl der Anwendungen, die auf diese Konten angewiesen sind) exponentiell an, angetrieben durch den Einsatz von KI zur Konfiguration von Software-„Robotern“ für kritische Geschäftsaufgaben, bekannt als Robotic Process Automatisierung (RPA). Da Dienstkonten über eine Organisation verteilt sind und nicht von menschlichen Benutzern, sondern von Geschäftsanwendungen verwendet werden, werden sie oft vernachlässigt oder ganz vergessen. Dies bedeutet, dass ihre Aktivitäten völlig unüberwacht sind und keine Prozesse vorhanden sind, um Administratoren zu warnen, wenn sie jemals vom normalen Verhalten abweichen. Außerdem benötigen Dienstkonten auf Domänenebene in der Regel erhöhte Berechtigungen, um ihre Aufgaben zu erfüllen, was sie zu einem wertvollen Ziel für Cyberangreifer macht. Wenn Hunderte oder sogar Tausende dieser unbeaufsichtigten, hochprivilegierten Konten ausgeführt werden, können sie zu einem Werkzeug werden, das es Bedrohungen ermöglicht, sich unentdeckt über ein Netzwerk auszubreiten. Eine bewährte Methode für jedes Konto ist sicherzustellen, dass Kennwörter regelmäßig geändert werden. Bei Dienstkonten ist dies jedoch nicht einfach. Beispielsweise erfordern Domänendienstkonten, dass Kennwörter sowohl auf Domänen- als auch auf Anwendungsebene geändert werden. Außerdem sind Passwörter in manchen Fällen fest in Anwendungen oder Skripts codiert, wobei jede Änderung möglicherweise Abhängigkeiten unterbricht, die dann kritische Geschäftsprozesse unterbrechen würden. Die Verwendung von Kennworttresoren kann eine Option sein, aber dazu müssen Sie genau wissen, welche Dienstkonten auf diese Weise verwaltet werden müssen, und die Art und Weise ändern, wie Anwendungen bestimmte Dienstkonten verwenden. Entdecken: Es ist wichtig, alle Authentifizierungsaktivitäten – sowohl menschliche als auch nicht menschliche Konten – in einem gesamten Netzwerk sehen zu können, um das Verhalten zu verstehen. Da Dienstkonten vorhersagbaren Mustern folgen, gibt es Möglichkeiten, sie automatisch zu erkennen und zu kategorisieren. Überwachung: Sobald Konten identifiziert wurden, ist es wichtig, ihre Verwendung weiter zu überwachen und zu prüfen, indem jeder Authentifizierungsversuch bewertet wird, damit Sicherheitsteams sofort jedes anomale Verhalten erkennen können, das auf eine Kompromittierung des Kontos hindeuten könnte. Richtlinien durchsetzen: Um Dienstkonten sicher zu halten, müssen Zero-Trust-Richtlinien auf der Grundlage tatsächlicher Verhaltensmuster angewendet werden, einschließlich der Möglichkeit, automatisch zu bestimmen, ob der Zugriff gewährt oder verweigert werden soll. Schützen: Es ist entscheidend, Richtlinien über alle Dienstkonten hinweg aktiv durchsetzen zu können, ohne Änderungen an Anwendungen vorzunehmen, Kennwörter zu ändern oder Proxys zu benötigen. Um mehr darüber zu erfahren, wie Silverfort hilft Organisationen, Dienstkonten zu schützen, klicken Sie hier.