Gefährdung durch Identitätsbedrohungen

Inhaltsverzeichnis

Teilen Sie dieses Glossar:

Identity Threat Exposures (ITEs) sind Sicherheitslücken, die eine Umgebung Identitätsbedrohungen aussetzen: Diebstahl von Anmeldeinformationen, Rechteausweitung oder laterale Bewegung. Eine ITE kann durch eine Fehlkonfiguration, Legacy- Identitätsinfrastrukturoder sogar integrierte Funktionen.

Angreifer nutzen diese ITEs als Mitverschwörer, um Anmeldedatendiebstahl, Privilegieneskalation usw. durchzuführen seitliche Bewegung. Darüber hinaus liegt es an der gängigen Praxis der AD-Synchronisierung Benutzerkonten zum Cloud-IdP, dies unterirdische Exposition könnte Angreifern auch direkten Zugriff auf Ihre SaaS-Umgebung verschaffen.

Warum sind Identitätsbedrohungen gefährlich?

Die überwiegende Mehrheit der Unternehmen nutzt heute eine hybride Identitätsinfrastruktur mit Active Directory (AD) für lokale Ressourcen und einem Cloud-IdP für SaaS.

Die gängige Praxis besteht darin, dass AD die Hashes der Benutzer mit dem Cloud-IdP synchronisiert, sodass Benutzer mit denselben Anmeldeinformationen wie auf lokale Ressourcen auf SaaS-Apps zugreifen können. Dadurch wird das Potenzial der SaaS-Umgebung deutlich erhöht Angriffsfläche, da jeder Angriff, der dazu führt, dass der Angreifer Klartext-Passwörter erhält, den Weg zu Cloud-Assets ebnet.

ITEs, die schwach entschlüsselte Passwort-Hashes offenlegen (NTLM, NTLMv1, Administratoren mit SPN) oder es Angreifern ermöglichen, Benutzerpasswörter zurückzusetzen (Schattenadministratoren) werden von Gegnern bereits in großem Umfang ausgenutzt.

Welche Arten von Identitätsbedrohungen gibt es?

Wir klassifizieren ITEs in vier Gruppen, basierend auf den böswilligen Aktionen, die sie Angreifern ermöglichen:

  • Password Exposers: ITEs, die es Angreifern ermöglichen, auf das Klartext-Passwort eines Benutzerkontos zuzugreifen.
  • Privilege Escalators: ITEs, die es Angreifern ermöglichen, bereits vorhandene Zugriffsrechte zu erweitern.
  • Lateral Movers : ITEs, die Gegnern die Nutzung ermöglichen kompromittierte Konten um eine unbemerkte seitliche Bewegung auszuführen.
  • Schutz-Dodger: ITEs, die Sicherheitskontrollen bei der Überwachung und dem Schutz von Benutzerkonten weniger effektiv machen.

Beispiele für Identitätsbedrohungsrisiken

KategorieVerbundene MITRE ATT & CKBeispiele
Password ExposersZugang zu AnmeldeinformationenNTLM AuthentifizierungNTLMv1-AuthentifizierungAdmins mit SPN
Privilege EscalatorsEskalation von BerechtigungenSchattenadministratorenUneingeschränkte Delegation
Lateral Movers Seitliche BewegungService Accounts Nutzer mit außerordentlich vielen Nutzerrechten
Schutz-DodgerEs gibt keine genaue MITRE ATT&CK-Technik, die dieser Kategorie zugeordnet werden kann. Dadurch können Angreifer über lange Zeiträume unentdeckt bleiben.Neue BenutzerkontenGemeinsame KontenVeraltete Benutzer

Wie kann man sich vor Identitätsbedrohungen schützen?

  1. Wissen Sie, wo Sie gefährdet sind
    Stellen Sie sicher, dass Sie Einblick in alle verschiedenen ITE-Typen in Ihrer Umgebung haben. Wenn Sie AD-Benutzer mit Ihrem Cloud-IdP synchronisieren, stellen Sie sicher, dass die Best Practices von Microsoft eingehalten werden und keine Masse inaktiver Benutzer entsteht.
  2. Eliminieren Sie Risiken, wo Sie können
    Stellen Sie sicher, dass Sie Einblick in alle verschiedenen ITE-Typen in Ihrer Umgebung haben. Wenn Sie AD-Benutzer mit Ihrem Cloud-IdP synchronisieren, stellen Sie sicher, dass die Best Practices von Microsoft eingehalten werden und keine Masse inaktiver Benutzer entsteht.
  3. Bestehende Risiken eindämmen und überwachen
    Für ITEs, die nicht beseitigt werden können, wie z Service Accounts oder die Verwendung von NTLM, stellen Sie sicher, dass das SecOps-Team über einen Prozess verfügt, um diese Konten genau auf Anzeichen einer Kompromittierung zu überwachen.
  4. Ergreifen Sie präventive Maßnahmen
    Bewerben Identitätssegmentierung Regeln oder wenden Sie MFA-Richtlinien an, um zu verhindern, dass Benutzerkonten Opfer von vorgestellten ITEs werden. Implementieren Sie Zugriffsrichtlinien auf Ihrem Service Accounts Dadurch wird ihnen der Zugriff auf alle Ziele außerhalb ihrer vorher festgelegten Ressourcen verwehrt.
  5. Vernetzen Sie die Identity- und Security-Teams
    Die Verantwortung für Identitätsschutz wird zwischen den Identitäts- und den Sicherheitsteams verteilt, wobei das Wissen der letzteren es ihnen ermöglicht, Prioritäten zu setzen, welche ITEs behoben werden müssen, während erstere diese Korrekturen in die Tat umsetzen und so im Endeffekt ein integriertes System erstellen kann Identitätssicherheit Haltung.