XDR mit Identitätsschutz

CrowdStrike XDR: Wie Unternehmen identitätsbasierte Angriffe stoppen können

CrowdStrike XDR: Wie Unternehmen identitätsbasierte Angriffe stoppen können

Von Kapil Raina, Identity Protection Evangelist bei CrowdStrike

Da Unternehmen ihre Netzwerke und Endgeräte immer besser schützen, rückt die Kompromittierung von Identitäten immer mehr in den Fokus von Angreifern. Die Zahl der identitätsbasierten Angriffe ist stark angestiegen: Fast 80 % der identitätsbasierten Angriffe wurden genutzt, um legitime Anmeldedaten zu kompromittieren und mite Techniken wie Lateral Movement einer schnellen Entdeckung zu entgehen. Damit Unternehmen diese Bedrohungen aufspüren und entsprechend darauf reagieren können, müssen sie ihre Gegner und deren Beweggründe verstehen.

Kapil Raina, Identity Protection Evangelist bei CrowdStrike

Während es in der Cybersicherheitsbranche unterschiedliche Definitionen von XDR gibt, empfiehlt Gartner , ein XDR-Tool zu wählen, das mindestens die folgenden Komponenten umfasst: Endpoint, Data Lake, Orchestrierung, Identitätsdatenquelle für die Korrelation sowie Threat Intelligence.

Problematisch ist jedoch, dass viele XDR-Anbieter den Identitätsschutz nicht sinnvoll integrieren. Auch wenn ein Identitäts- und Zugriffsmanagement (IAM) wichtig ist, schützt es nicht vollständig vor identitätsbasierten Angriffen. Denn die XDR-Anbieter sind nicht von Grund auf mit der notwendigen Telemetrie ausgestattet, um moderne identitätsbasierte Angriffe in Echtzeit über hybride Umgebungen, Remote-Mitarbeiter und mehrere Identitätsspeicher hinweg zu erkennen, ohne die Benutzer zu beeinträchtigen.

Die Grenzen von IAM

Letztendlich geht es bei den Angriffen immer darum, die "Keys to the Kingdom" zu erhalten und sich als privilegierter Benutzer Zugang zu wichtigen Daten zu verschaffen und sich unbemerkt zu bewegen. IAM-Anbieter können digitale Identitäten über ihren gesamten Lebenszyklus hinweg äußerst effektiv verwalten, angefangen von der Einrichtung bis hin zur Löschung, und ermöglichen Unternehmen damit, dass alle Benutzer Zugang zu den Ressourcen haben, die sie für die Ausübung ihrer Aufgaben benötigen. Für viele Unternehmen sind diese Anbieter ein wichtiger Bestandteil ihrer Zero-Trust-Aktivitäten .

Das eigentliche Problem besteht jedoch darin, dass viele dieser IAM-Lösungen potenzielle blinde Flecken aufweisen, da sie oft eine Art Inselleben führen. Weiterhin hat der IAM-Anbieter in einigen Fällen Mühe, seine eigene Infrastruktur zu sichern. Ein Angreifer, der kompromittierte Zugangsdaten verwendet, kann in ein Netzwerk eindringen und somit die bestehenden Sicherheitslösungen eines Unternehmens umgehen. Bis vor kurzem wurde dieser blinde Fleck nicht vollständig berücksichtigt und untersucht. Um derartige Aktivitäten zu verhindern, müssen Unternehmen Erkennung und Abwehr nahtlos miteinander verbinden.

Identitätsschutz: Die zentralen Fragen Identitätsbasierte Angriffe ermöglichen es einem Angreifer, sich immer schneller Zugang zu einem Unternehmen zu verschaffen und sich innerhalb der Strukturen fortzubewegen. Durchschnittlich benötigen Angreifer nur 79 Minuten , um sich lateral innerhalb eines Unternehmens bewegen zu können – meist dank der Nutzung identitätsbasierter Angriffe. Nutzt ein Angreifer gültige Anmeldeinformationen, lässt sich nur schwer feststellen, dass es sich um eine bösartige Person handelt. Daher ist ein umfassender Echtzeit-Überblick über den Security Stack für Unternehmen unerlässlich, um potenziell bösartiges Verhalten zu erkennen und schnell darauf reagieren zu können.

Kann Ihr Unternehmen identitätsbasierte Angriffe erkennen und abwehren? Stellen Sie sich die nachstehenden Fragen:

  • Verfügen Sie über genügend Informationen aus eigenen und fremden Quellen, einschließlich Verhaltensanalysen?
  • Können Sie die Ereignisse in Echtzeit verarbeiten und stoppen?
  • Nutzen Sie risikobasierte Zugangskontrollen, um Fehlalarme zu minimieren?
  • Können Sie sämtliche Daten in Ihrer Umgebung einsehen und schützen, einschließlich nicht verwalteter oder veralteter Systeme?
  • Können Sie proaktive Maßnahmen ergreifen, um eine Sicherheitsverletzung einzudämmen? Dazu kann die Verwendung von Risikobewertungen gehören, um zu verhindern, dass eine kompromittierte Identität an anderen Endpunkten verwendet wird, oder die Gewährleistung einer Segmentierung, um laterale Bewegungen zu verhindern.

Den meisten der heutigen XDR-Lösungen können Unternehmen nicht bei der Beantwortung der oben genannten Fragen helfen, da ihnen die Fähigkeiten dazu fehlen. CrowdStrike hat festgestellt, dass die meisten XDR-Anbieter ein bestimmtes Fachgebiet haben, sei es, dass sie beim Netzwerk ansetzen oder eine SIEM- oder SOAR-Lösung attraktiver erscheinen lassen. Nach der Definition von Gartner müssen sie jedoch alles können, wenn sie sich als XDR-Lösung bezeichnen wollen.

Während XDR die Erkennung und Reaktion vom Endpunkt aus auf alle Umgebungen ausdehnt, darf bei alledem das Individuum bzw. die Identität nicht vergessen werden – und schon gar nicht der Threat Intelligence-Aspekt. Neuere XDR-Lösungen haben Schwierigkeiten, Angriffsmuster zu korrelieren, um festzustellen, ob eine Identität kompromittiert ist (d. h. einen nicht verwalteten Endpunkt, aber eine bekannte Identität in Echtzeit zu identifizieren). Um zu verstehen, wann und ob ein Angriff vorliegt, benötigen Sie die Endpunkt- und Identitätstelemetrie, aber Sie müssen auch über ein umfangreiches Wissen über den Gegner verfügen, mit dem Sie den Bedrohungsvektor vergleichen können.

XDR mit Identitätsschutz: Gemeinsam besser

Die Identifizierung von und die Reaktion auf Angriffe in Echtzeit sind sehr komplex, wenn Sie nur einen Teil eines fragmentierten Puzzles betrachten oder Ihre Sicherheitstools nicht richtig eingesetzt werden. IAM ist nur ein Puzzleteil des Identitätsschutzes. Nur mit einer ganzheitlichen XDR-Lösung, die Endpunkt-, Identitäts- und Bedrohungsdaten miteinander verbindet und alle Bereiche abdeckt (Cloud, On-Premise, mobile, nicht verwaltete Geräte usw.), lässt sich dieses Problem wirksam lösen.

Wenn es richtig gemacht wird, verfügen Unternehmen über einheitliche, Domain-übergreifende Erkennungen und Untersuchungen. So können sie die Zusammenhänge effektiv verstehen und die Risikoreaktion automatisieren, um Angriffe zu stoppen oder einzudämmen. XDR mit Identitätsschutz stoppt nicht nur Bedrohungen, sondern verbessert auch das Geschäftsergebnis. Einer der CISOs eines Autoglasunternehmens, erzählte vor kurzem von seinen Einsparungen bei den Betriebskosten: 75 % weniger Rücksetzungen von Support-Passwörtern, 8 % weniger Phishing-Anfälligkeit und 32 % weniger unnötige Benutzerzugriffsrechte. Eine ganzheitliche XDR-Lösung, die eigene und fremde domainübergreifende Telemetriedaten korrelieren kann – über Netzwerk, E-Mail, Endpunkt, Identität, Webanwendungen, Cloud- und SaaS-Anwendungen, Workloads, Systeme und Sicherheitstools von Drittanbietern und vieles mehr – gewinnt.

Was auch immer Sie tun, vernachlässigen Sie nicht die Bedeutung des Identitätsschutzes innerhalb Ihrer XDR-Lösung.