Genauso wie die Auswirkungen von Cyberangriffen nicht auf die IT-Abteilung beschränkt sind, hat sich die Rolle des CISO über das Sicherheitsteam hinaus erweitert. Da Unternehmen und Analysten inzwischen anerkennen, dass Identität die neue Sicherheitsgrenze ist, ist die Überwachung einer umfassenden Sicherheitsstrategie, die die Identität in den Mittelpunkt stellt, zu einer wesentlichen Aufgabe des CISO geworden. Was müssen CISOs über Identity Threat Detection and Response (ITDR) wissen? Hier stellen unsere Experten fünf wichtige Schritte für vorausschauende Sicherheitsverantwortliche vor.
1. Fokus auf identitätsbasierte Sicherheit für mehr betriebliche Widerstandsfähigkeit
Simon Hodgkinson, ehemaliger CISO bei bp und strategischer Berater bei Semperis, sagt, dass die betriebliche Ausfallsicherheit sowohl für Sicherheits- als auch für Unternehmensleiter an erster Stelle stehen sollte. Und zu einer umfassenden Ausfallsicherheit gehört viel mehr als nur ein allgemeiner Notfallplan.
„Disaster Recovery ist ziemlich eng definiert und wird typischerweise in einem kleinen Zeitrahmen betrachtet“, sagt Hodgkinson. „Operative Resilienz ist viel breiter gefasst und umfasst Aspekte wie die Art der Unternehmensführung, die Art und Weise, wie Sie das operative Risikomanagement handhaben, Ihre Pläne für die Geschäftskontinuität und das Management von Cyber-, Informations- und Drittanbieterrisiken … Resilienz muss in alles eingebaut werden.“
Dieses Maß an Widerstandsfähigkeit hängt von einer starken Sicherheit Ihrer Identitätsinfrastruktur ab. Für mehr als 90 Prozent der Unternehmen bedeutet das Active Directory (AD) und Azure AD. Denn wenn AD nicht funktioniert, funktioniert gar nichts. Wie Hodgkinson sagt: "Active Directory ist das Herzstück Ihrer Fähigkeit, zu arbeiten und Geschäftsergebnisse zu erzielen, und es muss Teil Ihrer Strategie für die betriebliche Ausfallsicherheit sein, anstatt als Insel behandelt zu werden."
- Zu tun: Machen Sie die hybride AD-Sicherheit zu einer Kernkomponente Ihres Plans für die betriebliche Ausfallsicherheit.
- Zum Lesen: Operative Widerstandsfähigkeit: Mehr als Katastrophenschutz
2. Erstellen Sie eine umfassende ITDR-Strategie
"Gartner hat Ende letzten Jahres viel Aufmerksamkeit auf Lösungen zur Erkennung und Abwehr von Identitätsbedrohungen (ITDR) gelenkt", sagt Sean Deuby, Principal Technologist bei Semperis. "Es gibt viele Möglichkeiten, Ihre Verteidigung zu stärken, aber der produktivste Schritt, den Unternehmen in diesem Jahr unternehmen können, ist die Priorisierung von identitätsorientierter Sicherheit."
Eine solche Strategie sollte spezifische Verfahren, Prozesse und Verantwortlichkeiten für den Schutz Ihrer hybriden Identitätsinfrastruktur während des gesamten Lebenszyklus eines AD-Angriffs umfassen: vor, während und nach einem Angriff. Sie sollte einen Plan für AD-spezifische Backups und Wiederherstellungen sowie eine regelmäßige Überwachung zur Identifizierung identitätsbezogener Schwachstellen enthalten. Und es sollte Abhängigkeiten zwischen Ihren Identitätssystemen und der operativen Technologie (OT) aufzeigen.
- Zu tun: Entwickeln Sie eine ITDR-Strategie, die alle Phasen des Lebenszyklus eines AD-Angriffs abdeckt.
- Zum Lesen: Wie man eine starke ITDR-Strategie aufbaut
3. Verschaffen Sie sich einen realistischen Überblick über die Angriffsfläche Ihrer Identität
"Die meisten Angriffe haben mit Identität zu tun, und unabhängig von ihrem ursprünglichen Zugangspunkt gehen Bedrohungsakteure in der Regel über AD, um in Ihrer Umgebung Fuß zu fassen", erklärt Deuby. "Ein guter Ansatzpunkt ist also die Bewertung und Reduzierung Ihrer AD-Angriffsfläche."
Dieser notwendige Schritt muss weder schwierig noch teuer sein. Leistungsstarke Tools sind kostenlos erhältlich, zum Beispiel Purple Knight zur Erkennung von Lücken und Schwachstellen, die oft schon seit Jahren vorhanden sind, und Forest Druid zur Identifizierung Ihrer wichtigsten Identitäts-Assets samt ihrer Zugangspfade. Installationen oder besondere Berechtigungen sind hierbei nicht erforderlich. Die Tools liefern eine klare Momentaufnahme potenzieller Schwachstellen sowie Hinweise darauf, dass Angreifer Ihre Identitätsgrenzen bereits gesprengt haben könnten. Außerdem erhalten Sie eine Anleitung, wie Sie bestehende Lücken schließen können.
- So gehen Sie vor: Laden Sie Purple Knight und Forest Druid herunter und führen Sie sie aus, um einen Snapshot Ihrer AD-Angriffsfläche zu erhalten.
- Video: Schützen Sie Ihre Identitäts-Assets mit Purple Knight und Forest Druid
4. Automatisieren Sie den Identitätsschutz für eine schnellere Reaktion
Forbes empfiehlt CISOs, sich auf Lösungen zur Automatisierung der Bedrohungsabwehr zu konzentrieren. "Automatisierung und ein API-first-Ansatz können helfen, Prozesse zu rationalisieren, das Risiko menschlicher Fehler zu verringern und die Effizienz von Cybersecurity-Teams zu verbessern", so Forbes. "Dazu gehört auch der Einsatz von Automatisierung bei Aufgaben wie Schwachstellenmanagement, Reaktion auf Vorfälle und Compliance-Prüfungen."
Automatisierung kann die Arbeitsbelastung der Ressourcen verringern, menschliche Fehler reduzieren und die Reaktion auf Vorfälle beschleunigen. Und wenn es um den Schutz Ihrer Tier 0-Identitätswerte geht, ist Schnelligkeit von entscheidender Bedeutung.
Während des berüchtigten NotPetya-Angriffs von Maersk beispielsweise verbreitete sich die Ransomware in Rekordgeschwindigkeit über das gesamte Netzwerk. „In Sekundenschnelle war das Rechenzentrum zunichte gemacht“, äußerte Craig William, Director of Outreach der Talos-Abteilung von Cisco, im Gespräch mitWired.
Deshalb ermöglichen erfahrene ITDR-Lösungen ein automatisches Rollback von Änderungen an AD. Semperis Directory Services Protector (DSP) automatisiert die Abhilfe und ermöglicht individuelle Auslöser und Warnungen, damit Unternehmen so schnell wie möglich auf Cyberbedrohungen reagieren können.
Die Automatisierung der AD-Wiederherstellung ist eine weitere wichtige Funktion. Eine manuelle Wiederherstellung kann Tage oder sogar Wochen dauern, während sie mit Semperis Active Directory Forest Recovery ( ADFR) weniger als eine Stunde in Anspruch nimmt.
- Zu tun: Fordern Sie eine Demo von DSP oder ADFR.
- Zum Lesen: Erkennung und Reaktion automatisieren
5. Bereiten Sie sich auf das Schlimmste vor
"Ich vermute, dass die Cyberkriminalität nicht nur im Jahr 2023, sondern auch in den kommenden Jahren an allen Fronten weiter zunehmen wird", warnt Deuby. "Dem Statista Cybersecurity Outlook zufolge werden die weltweiten Kosten der Cyberkriminalität in den nächsten fünf Jahren sprunghaft ansteigen, von 8,44 Billionen Dollar im Jahr 2022 auf 23,84 Billionen Dollar im Jahr 2027, was einem durchschnittlichen jährlichen Wachstum von 21% bis 36% entspricht. Dieser Trend enthält eine klare Botschaft: Arbeiten Sie weiter an den Sicherheitsgrundlagen und schließen Sie die häufigsten Angriffswege."
Sicherheitsexperten sagen gerne, dass Cyberangriffe eine Frage des "Wann" und nicht des "Ob" sind. CISOs sollten sich auf dieses "wenn" vorbereiten, indem sie über ein AD-spezifisches Backup und einen detaillierten AD-Wiederherstellungsplan verfügen - und beides regelmäßig testen. Herkömmliche Backups umfassen sowohl AD als auch das Betriebssystem, das Malware enthalten kann. Malware kann sich wochen- oder monatelang in Ihrer Umgebung verstecken und die Backups beschädigen, so dass die Wiederherstellung Ihre Systeme erneut infiziert. Und das Letzte, was Sie brauchen, ist die Entdeckung von Schwachstellen in Ihrem Backup- oder Wiederherstellungsplan während eines aktiven Cyberangriffs.
- Zu tun: Entwickeln Sie einen AD-spezifischen Backup- und Wiederherstellungsplan und testen Sie beides regelmäßig.
- Zum Lesen: Warum die Wiederherstellung von Active Directory nach einem Cyberangriff ein wesentlicher Bestandteil von ITDR ist
Mehr erfahren
Viele der weltweit größten Unternehmen vertrauen auf die Identitätssicherheitsexperten von Semperis, wenn es um den Schutz und die Wiederherstellung ihrer Active Directory- und Azure AD-Infrastrukturen geht. Semperis ist als Experte für ITDR-Lösungen anerkannt. Die Lösungen und Dienstleistungen von Semperis konzentrieren sich auf den Schutz hybrider Identitäten während des gesamten Lebenszyklus von AD-Angriffen - vor, während und nach einem Angriff.