So funktioniert Identity Threat Detection & Response

geschätzter Leseaufwand: 3 Minuten

Schon eine ganze Weile reicht es beileibe nicht mehr aus, seine IT-Heligtümer vor allerlei Gefahren mithilfe eines simplen Antivirus-Programms zu schützen. Aus diesem und weiteren Gründen stellen Sicherheitsanbieter wie SentinelOne sogenannte XDR-Tools zur Verfügung, die viel mehr können als das reine Erkennen und Abwehren von Ransomware & Co. Hinzu kommt, dass mehr und mehr Zugangskonten ebenfalls ausgespäht und kompromittiert werden. Wie das funktioniert und wie man sich davor schützen kann, beschreibt dieser Beitrag.

Die Identity-Bedrohungen sind mittlerweile so mannigfaltig, dass eine vollständige Aufzählung den Rahmen dieses Beitrags sprengen würde. Es lohnt allerdings ein Blick auf zwei prominente Beispiele: Conti und Xinglocker. Conti erreicht die auszuspionierende Plattform meist mithilfe einer simplen E-Mail, in der sich ein makrogesteuertes Word-Dokument befindet. Der Identity-Diebstahl wird immer dann ermöglicht, wenn ein:e Anwender:in den Anhang öffnet.

Microsoft Windows-Schwachstellen gefährden Unternehmensserver

Xinglocker hingegen lanciert einen Domain-Controller-Angriff, an dessen Ende die Installation eines Druckerspoolers resultiert, was in der Vergangenheit zu zahlreichen Angriff führte, die auch unter dem Begriff PrintNightmares bekannt wurden. Hierbei handelt es sich um eine bekannte Schwachstelle des Windows Druckerspoolers, die Hacker nutzen können, um von außen ohne größeren Aufwand auf Rechnersystememe zuzugreifen.

Eines ist an der Stelle völlig klar: Der Diebstahl von Zugangsdaten hat bereits im letzten Jahr eine Vielzahl von Unternehmen heimgesucht, was im Mittel einen Schaden von rund 4,5 Millionen US-Dollar verursacht hat – und zwar pro Angriff. Daher kommt dem Schutz der eigenen Credentials eine immer wichtigere Bedeutung zu. Und doch wird diese Cybersecurity-Disziplin in vielen Fällen sträflich vernachlässigt. Dabei nimmt die Anzahl der angreifbaren Konten kontinuierlich zu, was unter anderem mit dem Verbreiten von Cloud-Anwendungen und -Services zu tun hat.

Status Quo des üblichen Zugangsschutzes

Sieht man sich den Status Quo der Werkzeuge an, die Zugangskonten vor Cyberattacken schützen sollen, fällt vor allem eins auf: Diese genügen in vielen Fällen kaum oder gar nicht den geforderten Ansprüchen. So kommen Tools vorwiegend zum Einsatz, die das klassische Endgerät wie PC und Server vor Cyberangriffen schützen, und das hauptsächlich als EDR-Schutzmaßnahme implementiert. Damit kann im besten Fall der Missbrauch von Zugangsdaten und Angriffe vom Typ Lateral Movement erkannt und vereitelt werden. Auf der anderen Seite werden mehr und mehr Tools eingesetzt, die sich nur um das Access Management kümmern.

Allerdings, und das ist die eher weniger gute Nachricht: Cyberakteure wie Conti, Xinglocker und Co. lassen sich weder mit dem einen noch mit dem anderen Werkzeug-Typ aufspüren resp. eliminieren, da sich damit die gesamte Identity-Infrastruktur kaum schützen lässt. Dazu gehört beispielsweise der Active Directory-Server eines Microsoft-basierten Netzwerks, wofür schlauere Tools erforderlich sind, die für eine permanente Überwachung und Angriffserkennung sorgen.

Daher sind verstärkt zwei neue Werkzeug-Klassen erforderlich, die sich Identity Attack Surface Management (IASM) und Identity Threat Detection & Response (ITDR) nennen. Damit sollen sich Schwachstellen erkennen lassen, die beispielsweise auf der Fehlkonfiguration eines Active Directory-Servers beruhen. Aber auch bestehende Angriffspfade können damit gefunden und im besten Fall beseitigt werden. Dazu gehören zum Beispiel IT-Kontodaten, die sich mannigfaltig im Cache eines Active Directory–Server befinden und dort ganz einfach ausgelesen werden können.

SentinelOne Identity: Wirksamer Schutz der Active Directory-Infrastruktur

Für die aufgezeigten und weitere Angriffsszenarien ist also ein Tool erforderlich, dass sich um den Schutz der Endpunkte inner- und außerhalb des eigenen Netzwerks kümmert, aber auch die vorhandenen Domain Controller wie den Active Directory-Server überwacht. Ein solches Werkzeuge trägt den Namen SentinelOne Identity, das einerseits die mögliche Angriffsfläche deutlich verringert und andererseits Informationen über geplante Cyberattacken liefert.

Disclaimer: Diesen Blogpost habe ich im Auftrag von SentinelOne verfasst und veröffentlicht. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand. Der Beitrag basiert auf einem Webinar der Informationsseite Security Insider, in dem Thomas Drews ausführlich über das Thema Identity Threat Detection & Response gesprochen hat.