Im Zuge der digitalen Transformation und des verteilten Arbeitens werden Unternehmen weiterhin SaaS-Apps einsetzen, aber auch weiterhin Tools vor Ort verwenden. Hybride Ökosysteme werden daher immer häufiger eingesetzt. Leider sind die derzeitigen Verfahren für das Identitäts- und Zugriffsmanagement (IAM) der Aufgabe, diese zu verwalten, einfach nicht gewachsen.
Ein durchschnittliches Unternehmen hat mindestens 20 Produkte im Einsatz, die die Identität verwalten und pflegen. Die Zugriffskontrolle für diese Produkte kann sehr unübersichtlich sein, da die Anmeldedaten in der Regel über das gesamte Unternehmen verteilt sind. Das ist eine wahre Fundgrube für böswillige Hacker.
Was kann also getan werden? Auf der kürzlich stattgefundenen Hybrid Identity Protection Conference habe ich eine Podiumsdiskussion der Branche moderiert, die mit genau dieser Frage begann. Wir erörterten die Probleme mit den derzeitigen Praktiken des Identitätsmanagements und wie Unternehmen ihre Praktiken aktualisieren können, um effizienter, effektiver und sicherer zu werden.
In diesem Beitrag finden Sie die wichtigsten Erkenntnisse aus der Diskussion, an der Ricky Allen, CISO von Critical Start, Brian Desmond, Principal bei der Ravenswood Technology Group, Brandon Nolan, Global Digital Identity & Recovery Lead bei Avanade, und ich, Gründer und CEO von TAG Cyber, teilnahmen.
1. Identitäten und Endpunkte können nicht mehr getrennt verwaltet werden
Der erste Schritt, den Unternehmen unternehmen müssen, ist eine Neukonzeptionierung ihres IAM-Ansatzes.
"Sie müssen die Endpunkt- und die Identitätssicherheit gleichzeitig betrachten", so Desmond. "Es gibt keinen Unterschied mehr zwischen diesen beiden Bereichen. Die Zeiten, in denen Geräte und Identitätsmanagement von verschiedenen Abteilungen verwaltet wurden, sind vorbei - das funktioniert einfach nicht mehr, vor allem, wenn man die etablierten Richtlinien für ein Null-Vertrauensmodell berücksichtigt."
IAM ist nicht etwas, das ein Produkt einfach bereitstellen kann. Stattdessen müssen Unternehmen entweder mit dem Identitäts- oder dem Endpunktmanagement beginnen und dieses Element dann mit dem entsprechenden Gegenstück kombinieren. Im Rahmen dieses Prozesses ist es wichtig, die Eigentumsrechte an Assets wie Geheimnissen und Schlüsseltresoren festzulegen, privilegierte und nicht-privilegierte Identitäten zu definieren und konkrete Zugriffsebenen zu bestimmen.
In einer Microsoft-Umgebung können Unternehmen dieses Gleichgewicht am besten erreichen, indem sie zu Azure Active Directory (Azure AD) wechseln, da es wichtige Funktionen wie die Multifaktor-Authentifizierung (MFA) ermöglicht.
2. Konsolidierung ist der erste Schritt zur Lösung des Problems der hybriden Sicherheit
Die Komplexität ist das größte Hindernis für eine effektive hybride Sicherheit. Wie viele Unternehmen festgestellt haben, ist ein integrierter Ansatz der Schlüssel zur Überwindung dieses Hindernisses. Unternehmen können mit einem Anbieter von Identitätsdiensten zusammenarbeiten, um bestehende Endpunktlösungen schrittweise außer Betrieb zu nehmen und ihre Funktionalität in einer einzigen Plattform zu konsolidieren. Der besagte Identitätsanbieter kann dann eine Verbindung zu Azure herstellen und so die Effizienz steigern und gleichzeitig die Ausbreitung reduzieren.
"Bedrohungsakteure lieben Ihre Komplexität", sagte Nolan. "Wir sehen daher, dass viele Unternehmen nach Wegen suchen, diese Komplexität zu überwinden. Wir sehen eine zunehmende Bewegung in Richtung einer Plattform anstelle von Endpunktlösungen."
3. Sichtbarkeit in Echtzeit ist notwendig
Ein Unternehmen ohne einen klaren Überblick über seine Vermögenswerte ist ein bevorzugtes Ziel für Angriffe. Leider bewegen sich Cloud-fokussierte Geschäftsumgebungen zu schnell für herkömmliche Auditing-Techniken. Snapshots sind ebenfalls ungeeignet, da sie ein statisches Bild einer dynamischen Umgebung bieten.
"Die Bestandsaufnahme ist ein bewegliches Ziel", sagte Desmond. "Wenn Sie eine Prüfung abschließen, sind die Informationen, die Sie haben, bereits veraltet."
Unternehmen können dieses Problem durch den Einsatz automatischer Erkennungstools angehen. Tools, die auf künstlicher Intelligenz und maschinellem Lernen basieren, können die Infrastruktur aktiv überwachen und Warnungen kategorisieren, die dann von Sicherheitsteams bearbeitet werden können. Auf diese Weise kann ein Unternehmen die Verwaltung, Erkennung und Beseitigung von Bedrohungen in Echtzeit durchführen.
"Sichtbarkeit ist in der Regel sehr komplex", sagt Nolan. "In unserem Fall unterteilen wir ein Ökosystem in eine Identitäts-, Endpunkt-, Netzwerk- und Automatisierungsebene. Die Idee ist, dass es bei der Sichtbarkeit um mehr geht als um Assets oder Inventar: Es geht auch um Authentifizierungs-Telemetrie und Föderationsdienste."
4. Die Kultur des Erbes ist ein wichtiger Haltepunkt
Damit Unternehmen hybrides IAM einsetzen können, müssen sie zunächst ihre alten Gewohnheiten, Vorstellungen und Überzeugungen über Authentifizierung und Zugriffskontrolle ablegen. Legacy-Systeme sind ein Symptom für diese alte Denkweise. Sie sind gleichzeitig die größte Sicherheitsbedrohung für viele Unternehmen und der Anker, der diese Unternehmen während der digitalen Transformation festhält.
"Ich glaube, das ganze Thema dieser Diskussion hier ist die Ermittlung des größten Risikos", sagte Allen. "Und ich finde, dass es die Altgeräte sind. Wir haben immer einen umgekehrten, rückwärtskompatiblen Ansatz verfolgt, auch wenn wir uns immer schneller vorwärts bewegen. Wir bringen nicht den kleinsten gemeinsamen Nenner mit. Deshalb müssen wir im Grunde unsere gesamte Authentifizierung zurückstufen."
Die Abkehr von diesem Paradigma und die Abschaffung von Gewohnheiten, die sich in mehr als 20 Jahren entwickelt haben, ist keine einfache Aufgabe. Sie erfordert eine enge Zusammenarbeit zwischen der IT-Abteilung und anderen Geschäftsbereichen. Außerdem müssen die Unternehmen den Grundsatz "weniger ist mehr" akzeptieren - je weniger verschiedene Systeme ein Unternehmen benötigt, desto besser.
Was die Zukunft bringt
Microsoft spielt seit langem eine herausragende Rolle in der Unternehmenssicherheit. Wenn es um hybrides IAM geht, hat Azure AD jedoch das Potenzial, eine noch zentralere Rolle zu spielen. Für jedes Unternehmen, das mit dem Microsoft-Stack arbeitet, sind E5-Lizenzen besonders wichtig, da sie eine bessere Zugriffskontrolle, Transparenz und Bedrohungserkennung bieten.
"Ich denke, dass man sich letztlich darauf konzentrieren sollte, was Microsoft im Sicherheitsbereich tut", so Allen abschließend. "Der Ansatz des Unternehmens für seine Produkte hat sich geändert und ist zu einer einzigen Produkt-SKU konvergiert, die nun E-Mail, Endpunkte und Identitäten übergreifend verwaltet. Es ist definitiv eine Überlegung wert und es lohnt sich, die E5-Lizenzierung zu prüfen."
In der Zwischenzeit könnten neue Technologien wie Blockchain die Art und Weise, wie wir Verschlüsselung handhaben, neu definieren. Indem man einen Schlüsseltresor in einem verteilten Ledger speichert, kann man diesen Tresor nicht nur sichern, sondern auch sicherstellen, dass er seine Integrität bewahrt. Allerdings ist diese Technologie noch sehr theoretisch und es ist unwahrscheinlich, dass wir vor 2023 viel sehen werden.
Für hybride Sicherheit sind Partnerschaften der Weg nach vorn
Die Sicherung einer hybriden Umgebung ist eine komplexe, ressourcenintensive Aufgabe, bei der ein Unternehmen nicht nur seine Infrastruktur, sondern seine gesamte Kultur überdenken muss. Der anhaltende Talentmangel ist vielleicht das größte Hindernis für die Transformation. Letztendlich bedeutet die hybride Identität, dass es nicht nur ratsam ist, mit anderen Unternehmen zusammenzuarbeiten, sondern dass dies sogar notwendig sein wird.
"Meiner Erfahrung nach kann ein Unternehmen dies einfach nicht allein tun", fügt Nolan hinzu. "Es gibt einfach nicht genug qualifizierte Ressourcen für hybride Sicherheit, um die Arbeit zu erledigen. Es braucht ein Dorf - die richtige Partnerschaft zwischen Anbieter, Service Provider und Unternehmen."