Woman smiling

7 Erkenntnisse über Identitätssicherheit von der Proofpoint Protect 2024

Share with your network!

Wir haben soeben vier Proofpoint Protect-Konferenzen erfolgreich abgeschlossen. Die Proofpoint Protect ist eine jährliche Sicherheitskonferenz, die Proofpoint-Kunden, Interessenten, unsere Partner und viele Dutzend unserer Mitarbeiter in Städten in den USA und London zusammenbringt. Ich hatte auf allen vier Konferenzen die Gelegenheit, mit meinen Kollegen Vorträge darüber zu halten, wie wichtig bessere Identitätssicherheit ist und wie Proofpoint Identity Protection dabei helfen kann.

Dabei habe ich nicht nur mein eigenes Wissen weitergegeben, sondern auch selbst von den rund 500 Teilnehmern sowie von meinen elf Mitrednern in unseren sieben Breakout Sessions einiges über Identity Threat Detection and Response (ITDR, Erkennung und Abwehr identitätsbezogener Bedrohungen) gelernt. Dabei durfte ich mit Sicherheitsexperten von CyberArk, Toromont Cat, Turkcell, Tetra Pak und Darling Ingredients sowie mit Mitgliedern unseres Proofpoint-Sicherheitsteams zusammen Vorträge halten.

7 Erkenntnisse von der Proofpoint Protect 2024

Ich habe in diesem Jahr viele wertvolle Erkenntnisse gewonnen, von denen ich hier einige vorstellen möchte.

1. Es gibt großes Interesse an ITDR-Lösungen

Es besteht ein deutliches und wachsendes Interesse an der Verbesserung der Identitätssicherheit im Allgemeinen sowie an Lösungen zur Erkennung und Abwehr von Identitätsbedrohungen im Speziellen. Die meisten Teilnehmer hatten keine direkte Erfahrung mit ITDR-Lösungen, wollten jedoch mehr darüber erfahren und zeigten ein großes Interesse an unseren ITDR-bezogenen Breakout Sessions. Deshalb haben wir auf den vier Protect-Konferenzen insgesamt sieben Sessions zu diesem Thema angeboten.

2. Die Mitte der Angriffskette ist häufig Neuland

Das Thema Identitätssicherheit hängt mit der Mitte der Angriffskette zusammen, in der sich Persistenz, Erfassung von Informationen, Rechteerweiterung und laterale Bewegung abspielen. Leider zeigt sich in der Praxis, dass es in vielen Unternehmen genau an dieser Stelle an umfassenden Sicherheitsmaßnahmen mangelt. Zu Beginn unserer Sessions erschien dieser Bereich der Sicherheit vielen Teilnehmern unklar. Ich denke jedoch, dass wir in den Sessions einige wichtige Einblicke geben konnten, warum er so wichtig ist.

Meiner Meinung nach erklärt das Konzept der Angriffskette sehr gut, wozu ITDR-Lösungen wie Proofpoint Identity Threat Defense eigentlich da sind. Mit diesem Konzept können sich Verteidiger besser vorstellen, welche Schritte Angreifer genau ausführen müssen und wie sich ein Unternehmen am besten davor schützen kann.

Cyberattack chain

Reconnaissance
Initial-Kompromittierung
Persistenz
Informations-erfassung
Rechte-erweiterung
Laterale Bewegungen
Staging
Auswirkung

Schritte in der Angriffskette.

3. Täuschungen sind ein entscheidender Faktor

Die Diskussion über den Einsatz von Täuschungen zur Erkennung und Reaktion stieß beim Publikum sichtlich auf großes Interesse. Das Konzept der Täuschung regte die Teilnehmer dazu an, anders über die Erkennung und Abwehr aktiver Bedrohungen nachzudenken. Seit vielen Jahren versuchen Unternehmen, aktive Bedrohungen mithilfe von Signaturen und verhaltensbasierten Ansätzen zu erkennen. Diese Methoden haben sich als mehr oder weniger erfolgreich erwiesen und sind mit einem erheblichen Zeit- und Kostenaufwand verbunden. Zudem ist die Minimierung von False Positives und False Negatives für viele Unternehmen immer noch eine große Herausforderung.

Mit Täuschungen drehen wir den Spieß bei der Erkennungsanalyse um. Anstatt aktiv nach Bedrohungsakteuren zu suchen und dabei riesige Datenmengen und hochentwickelte Erkennungsanalysen zu verwenden, können Unternehmen mithilfe von Täuschungen erkennen, wann sich ein Bedrohungsakteur in ihrer Umgebung (in der Mitte der Angriffskette) aufhält und bewegt. Täuschungen sind noch nicht im Mainstream angekommen. Unsere Breakout Sessions haben jedoch dazu beigetragen, dass die Teilnehmer neue Denkweisen in Bezug auf Erkennung und Reaktion entwickeln konnten.

4. AD-Hygiene wird immer wichtiger

Es ist weithin bekannt, dass das Active Directory (AD) für jedes Unternehmen, das damit arbeitet, ein großes Sicherheitsrisiko darstellt. Die Gründe dafür sind in den meisten Fällen ähnlich. Zunächst ist es häufig so, dass das AD im Laufe der Jahre von vielen verschiedenen Personen verwaltet wird und es in vielen Unternehmen an umfassender AD-Governance mangelt. Eine zusätzliche Herausforderung stellen kurzfristige Behelfslösungen, einmalige Projekte sowie Fusionen und Übernahmen dar. Daneben gibt es durchaus noch weitere Ursachen. Ironischerweise haben diese Umstände dazu geführt, dass das AD nun zu Recht als wichtiges Tool für Angreifer bezeichnet werden kann.

Angesichts der Vielzahl an Tools, die es Angreifern ermöglichen, automatisch Konfigurationsfehler und Schwachstellen im AD auszunutzen, erscheint das wachsende Interesse an ITDR nicht überraschend. Ein Teil dieses Interesses lässt sich auf den Bedarf an besserer AD-Hygiene zurückführen. Weitere Informationen über die Herausforderungen im Bereich AD-Hygiene finden Sie in diesem kürzlich veröffentlichten Bericht.

5. MFA reicht nicht aus

Bei SaaS-basierten Identitätsanbietern wie Microsoft Entra ID, Okta und Google werden Kontoübernahmen zunehmend als kritisches Sicherheitsrisiko und primärer Vektor zur Initial-Kompromittierung betrachtet. Um in die Mitte der Angriffskette vordringen zu können, müssen Angreifer zunächst etwas kompromittieren. Viele im Publikum zeigten sich überrascht, als sie erfuhren, dass die Multifaktor-Authentifizierung (MFA) bei den meisten von Proofpoint erkannten Kontoübernahmen aktiviert war. Die Erkenntnis ist: MFA ist eine wirksame Maßnahme, doch angesichts der aktuellen Angreifer-Tools und -Techniken ist sie nicht ausreichend. Unternehmen müssen daher auf einen identitätsbasierten, mehrschichtigen Schutzansatz setzen.

6. Zusätzliche Sicherheitsmaßnahmen scheitern häufig an Hürden

Es ist ebenfalls bekannt, dass viele Unternehmen Mühe haben, neue Sicherheitskontrollen jeder Art anzuschaffen und bereitzustellen. Dies gilt auch für ITDR-Lösungen. Wie wir alle wissen, steht jedes Unternehmen vor der Herausforderung, seine begrenzten Ressourcen (z. B. Personal und Budget) möglichst effizient einzusetzen. Ein Thema, das jedoch mehrfach angesprochen wurde, ist die Frage, wie der Einsatz von ITDR-Technologie die Struktur von Sicherheitsunternehmen selbst und die Verwaltung von Identitätssicherheit infrage stellt.

Häufig wurde darüber diskutiert, welches Team für das jeweilige Identitätssicherheitsproblem und damit für dessen Lösung zuständig sein sollte. Ist es das SOC-Team, das IT-Team, das Identitätsverwaltungs-Team oder das Schwachstellenverwaltungs-Team? Die erschütternde Realität ist, dass einer der Hauptgründe für schwerwiegende Sicherheitsverletzungen in solchen Zuständigkeitslücken für unternehmensinterne Probleme liegt. In eben diesen Lücken fehlen Identitätskontrollen, wodurch es Angreifern immer wieder gelingt, in Systeme einzudringen. Unternehmen mit erfolgreichen Sicherheitsabläufen haben erkannt, wie sie ITDR-Lösungen nutzen können, um dieses Problem zu beheben. Nun gilt es, auch die übrigen Unternehmen davon zu überzeugen.

7. Es gibt mehrere Gründe für eine ITDR-Lösung

Aus welchen Gründen investieren Unternehmen in ITDR-Lösungen? Bei den meisten Unternehmen scheinen externe Gründe ausschlaggebend zu sein. Ein möglicher Grund könnten die Ergebnisse von Red-Team-Übungen oder Penetrationstests sein. Ebenso können bei einem Audit dokumentierte Schwachstellen, ein Sicherheitszwischenfall oder eine Kompromittierung des Unternehmens oder eines Branchenvertreters Auslöser sein. Auch ein CISO, der eine Vision hat und Innovationen vorantreiben will, kann ein Grund sein. All dies führt dazu, dass Unternehmen sich aus ihrer Komfortzone herausbewegen und um bessere Identitätssicherheit und ITDR-Lösungen bemühen müssen.

Fazit

Es ist offensichtlich, dass immer mehr Sicherheitsexperten den Bedarf an verbesserter Identitätssicherheit als ein zunehmendes Problem ansehen. Meine Erfahrungen auf der Proofpoint Protect 2024 sind nur ein kleiner Ausschnitt. Doch wie bereits in anderen Diskussionen angemerkt wurde, ist die erste Maßnahme zur Bewältigung eines Problems die Erkenntnis, dass es tatsächlich eines gibt. Daher bin ich zuversichtlich, dass die Sicherheitsbranche bei der Lösung dieses Problems auf einem guten Weg ist.

Wenn Sie sich an dieser Diskussion beteiligen möchten, lade ich Sie herzlich dazu ein, am demnächst anstehenden Webinar „Securing Identities: The Critical Role of Identity Threat Detection & Response“ (Identitätssicherheit: Die zentrale Rolle der Erkennung und Abwehr identitätsbezogener Bedrohungen) mit Carlos Rivera von der Info-Tech Research Group und mir teilzunehmen.