Thought Leadership
Identity Threat Detection and Response (ITDR) ist ein Top-Trend im Bereich Cybersicherheit. Trotzdem ist ein Großteil der Unternehmen nicht ausreichend auf einen AD-Angriff vorbereitet. Wir haben die fünf wichtigsten ITDR-Anforderungen für den Schutz im Ernstfall zusammengefasst.
Im Zeitalter des sogenannten „New Normal“ setzen Unternehmen zunehmend auf flexiblere Arbeitsmodelle und sind deutlich offener für den Einsatz von Hybrid-Cloud-Umgebungen. Das erfordert allerdings auch komplexere Sicherheitsmaßnahmen: Bei der Nutzung der Cloud wird die herkömmliche Trennlinie zwischen Netzwerken aufgehoben. IT-Verantwortliche müssen jetzt hybride Identitätsumgebungen mit einer Vielzahl an möglichen Zugangspunkten verwalten, die es alle zu schützen gilt. Angreifer davon abzuhalten, sich ungehindert zwischen lokalen Umgebungen, die auf Active Directory (AD) basieren, und Cloud-Umgebungen, die auf Azure AD basieren, zu bewegen, ist inzwischen für viele Unternehmen von zentraler Bedeutung.
Denn bei der Einführung hybrider Umgebungen stand oftmals nicht die Sicherheit im Fokus, sondern die betriebliche Notwendigkeit als Reaktion auf die Pandemie. Infolgedessen versuchen die Unternehmen jetzt, die Sicherheitslücken nachträglich zu schließen. Leider erweist sich das als schwierig. Ob es um das Verhindern, Erkennen oder Beseitigen von AD-Bedrohungen geht oder darum, die Auswirkungen eines Angriffs zu beheben: Herausforderungen betreffen den gesamten Lebenszyklus von AD-Angriffen.
Identitätsbedrohungen erkennen und darauf reagieren
Eine Umfrage von Semperis, einem Anbieter für Identity-Sicherheit und -Resilienz für Active Directory, unter IT- und Sicherheitsverantwortlichen ergab, dass viele Unternehmen sich nicht in der Lage sehen, die Herausforderungen der aktuellen Bedrohungen zu meistern. Nur ein Drittel (33 Prozent) sind zuversichtlich, dass sie On-Prem-AD-Angriffe verhindern können, während nur etwas mehr als ein Viertel (27 Prozent) darauf vertrauen, dass sie Angriffe auf Azure AD eindämmen können.
Angesichts der Tatsache, dass Identitätssysteme zu einem Hauptziel für Cyberkriminelle geworden sind, sind diese Zahlen besorgniserregend. Es wird geschätzt, dass in 9 von 10 Cyberangriffen AD-Schwächen ausgenutzt werden. Das Marktforschungs- und Beratungsunternehmen Gartner weist darauf hin, dass missbräuchlich verwendete Anmeldeinformationen inzwischen die häufigste Methode bei Sicherheitsverletzungen sind.
ITDR als wichtiger Trend in der Cybersicherheit
AD ist nicht nur der primäre Identitätsspeicher für 90 Prozent aller Unternehmen weltweit, sondern Gartner prognostiziert auch, dass nur 3 Prozent der Unternehmen bis 2025 vollständig von lokalem AD zu einem Cloud-basierten Identitätsservice wechseln werden. Aus diesen Gründen hat Gartner die Verteidigung von Identitätssystemen nicht nur als einen der wichtigsten Trends im Bereich der Cybersicherheit für 2022 genannt, sondern auch eine völlig neue Kategorie geschaffen: ITDR (Identity Threat Detection and Response) – also die Erkennung von und die Reaktion auf Identitätsbedrohungen.
Alarmierend ist, dass mehr als drei Viertel (77 Prozent) der Umfrageteilnehmer angaben, dass ein Cyberangriff, bei dem AD ausgeschaltet wird, wahrscheinlich schwere oder katastrophale Folgen für sie hätte. Nur 32 Prozent gaben an, sie seien „sehr zuversichtlich“, dass sie ihre Daten nach einem Angriff wiederherstellen könnten. Aus diesem Grund haben ITDR-Lösungen, die speziell für den Schutz von Identitätssystemen entwickelt wurden, schnell an Bedeutung gewonnen und Unternehmen testen verschiedene Methoden, um ihre hybriden Umgebungen zu schützen und wiederherzustellen. Die wichtigsten ITDR-Anforderungen, die von den Umfrageteilnehmern in dem Zusammenhang genannt wurden, sind:
1. Automatisierte, schnelle AD-Wiederherstellung
Dass ein Cyberangriff auf AD für eine deutliche Mehrheit der Unternehmen schwerwiegende oder katastrophale Folgen hätte, liegt in vielen Fällen daran, dass sie zwar eine allgemeine Lösung für die Notfallwiederherstellung, aber keine spezielle Unterstützung für AD besitzen oder eine manuelle Wiederherstellung mit Backups durchführen müssten, was Tage oder Wochen dauern würde. Aus diesem Grund ist für Firmen die Fähigkeit, Daten schnell (innerhalb von Stunden statt Tagen oder Wochen) und automatisiert wiederherzustellen, eine der wichtigsten Prioritäten bei der Suche nach ITDR-Lösungen.
2. Erkennung von Angriffen, die herkömmliche Tools umgehen
Umfrageteilnehmer nannten als wichtiges allgemeines Problem beim Schutz von AD auch die Möglichkeit, dass Angriffe die herkömmlichen Überwachungstools umgehen und nicht erkannt werden. Unternehmen benötigen demnach Lösungen, die mehrere Datenquellen – einschließlich des AD-Replikations-Datenstroms – nutzen, um ausgeklügelte Angriffe zu erkennen und ihre Auswirkungen einzudämmen.
3. Bessere Transparenz in AD und Azure AD
Das Erkennen von Angriffen, die von lokalem AD auf Azure-AD übergreifen oder umgekehrt, ist für Unternehmen, die hybride Umgebungen verwalten, zu einem ihrer wichtigsten Anliegen geworden. Aber nur ein Drittel der Befragten ist zuversichtlich, dass sie einen lokalen AD-Angriff verhindern oder beheben können. Lediglich 27 Prozent gaben an, dass sie dasselbe Vertrauen in Bezug auf Azure AD haben. Unternehmen benötigen daher Lösungen, die mehr Transparenz bei Aktivitäten bieten, an denen sowohl AD- als auch Azure AD-Umgebungen beteiligt sind.
4. Erkennung von Fehlkonfigurationen und Schwachstellen in bestehenden Systemen
Angesichts der zahlreichen Angriffe, die AD-Schwachstellen ausnutzen, sind Unternehmen bestrebt, ihre Umgebungen auf Schwachstellen zu überprüfen, die sie für Angreifer anfällig machen. Zu wissen, wo diese Schwachstellen liegen, ist der erste Schritt hin zur Verbesserung der Sicherheit. Ein langfristiger Wartungsplan beinhaltet die kontinuierliche Überprüfung des Identitätssicherheitsstatus auf Schwachstellen – ein Aspekt, auf den Unternehmen bei ITDR-Lösungen Wert legen.
5. Automatisierte Abhilfe
Cyberangriffe verlaufen oft blitzschnell, sobald die Angreifer Malware erfolgreich eingeschleust haben. Daher ist eine automatische Behebung von entscheidender Bedeutung, um zu verhindern, dass Angreifer umfassende Berechtigungen erlangen und letztlich das Netzwerk kapern. Bei dem berüchtigten NotPetya-Angriff auf den Reedereiriesen Maersk im Jahr 2017 wurde das gesamte Netzwerk des Unternehmens innerhalb von Minuten infiziert. Umfrageteilnehmer gaben an, dass die automatisierte Behebung böswilliger Änderungen, die wichtigste Funktion ist, um sich schnell ausbreitende Angriffe zu stoppen, gefolgt von der Nachverfolgung von Änderungen zwischen lokalem AD und Azure AD sowie das Erkennen von deren Zusammenhang.
Bewältigung vielfältiger Anforderungen mit einer vielschichtigen Strategie
Die Befragung zeigt, dass Unternehmen sich Lösungen wünschen, die sie vor, während und nach einem identitätsbezogenen Angriff schützen und unterstützen. Daten nach einem Angriff schnell wiederherstellen zu können, ist eine Priorität. Doch die Fähigkeit, rechtzeitig auf Bedrohungen zu reagieren, ist ebenso wichtig. Daher versuchen viele Unternehmen, ihre Schwachstellen zu beseitigen, um böswilligen Akteuren keine Chance zu bieten. Dazu sind vielfältige Funktionen erforderlich, von der Bewertung des Sicherheitsstatus und der Überwachung in Echtzeit über die automatische Beseitigung erkannter Bedrohungen bis hin zur schnellen Sicherung und Wiederherstellung von AD-Forests. Aus diesem Grund sollten Unternehmen bei der Evaluierung von ITDR-Lösungen auf Lösungen setzen, die einen umfassenden, mehrschichtigen Schutz bieten, um eine optimale Sicherheit für ihre hybriden Umgebungen zu erzielen.
Weitere Informationen:
Laden Sie den Umfragebericht Evaluating Identity Threat Detection & Response (ITDR) Solutions von Semperis herunter, um mehr über die zunehmend an Bedeutung gewinnende ITDR-Kategorie und darüber zu erfahren, wie professionelle ITDR-Lösungen Ihnen dabei helfen können, Ihre Identitätsinfrastruktur zu schützen.
