Datensicherheitsplattformen (DSP) ermöglichen es Unternehmen, Daten vor Diebstahl, unsachgemäßer Verteilung und dem Zugriff falscher Parteien zu schützen. Viele DSPs steuern die Datensicherheit, indem sie Berechtigungen und Labeling kontrollieren und einschränken, wer Zugriff auf Daten erhält, sie ändern oder verteilen kann.
Diese Plattformen identifizieren Daten ohne Label und heben Benutzer mit übermäßigen Berechtigungen hervor. So helfen sie zwar bei der Umsetzung des Least-Privilege-Prinzips, in der Regel fehlt ihnen jedoch ein wesentlicher Aspekt: die Identität.
Daten und Zugriffsereignisse sind untrennbar mit der Identität verbunden. Sicherheitsteams überwachen Datenzugriff und Administration, indem sie sich auf das „Wer?“ einer Aktion konzentrieren, einschließlich nicht menschlicher Identitäten wie Maschinen- und Servicekonten. Aus diesem Grund muss eine effektive DSP-Lösung den Identitätskontext grundsätzlich einbeziehen.
Das „Wer?“ verstehen
Im neuesten Bericht von Varonis zur Identitätsbedrohung – „The Identity Crisis“ – behandelt unser Team die wichtigsten Themen und Angriffsprofile aus 2024. Mehr als die Hälfte (57 %) der untersuchten Cyberangriffe begannen mit der Ausnutzung einer Identität und die meisten dieser Angriffe endeten mit Datenexfiltration.
Einige IT- und Sicherheitsverantwortliche könnten sich fragen, warum sie trotz der Einführung der Multifaktor-Authentifizierung weiterhin kompromittierte Konten erleben. Es gibt mehrere sich überschneidende Gründe, warum dies geschehen kann:
- Anwenderfehler oder mangelnde Schulung: Einige Anwender könnten Authentifizierungsanfragen genehmigen, ohne den Ursprung der Anfrage zu erkennen, insbesondere wenn sie von der Anzahl der MFA- und OTP-Anfragen, die sie erhalten, überwältigt sind.
- Phishing-Angriffe: Angreifer verwenden Phishing-E-Mails, um Anwender dazu zu verleiten, ihre Zugangsdaten und andere Faktoren auf gefälschten Anmeldeseiten anzugeben, so dass der Angreifer die MFA umgehen kann.
- Token-Diebstahl: Angreifer stehlen Authentifizierungstoken und können so die MFA vollständig umgehen. Sie verwenden dann Verlängerungstoken, um das gestohlene Token immer wieder zu erneuern.
- MITM-Angriffe: Man-in-the-Middle-Angriffe erfassen Zugangsdaten und MFA-Token, was es Angreifern ermöglicht, Richtlinien für bedingten Zugriff zu umgehen.
Mit Phishing-resistenter Authentifizierung und Richtlinien für bedingten Zugriff können Unternehmen die Sicherheit erhöhen. Dennoch werden Identitäten weiterhin jedes Jahr kompromittiert. Weder Identitätssicherheit noch Datensicherheit können kritische Ressourcen allein schützen.
Datensicherheit und Identitätsschutz gehören zusammen
Identitätslage
Unternehmen, die Auswirkungen von Sicherheitsverstößen verhindern und begrenzen wollen, benötigen die Sichtbarkeit ihrer Identitätslage. Es ist unerlässlich, den Status von Gast- und internen Anwenderidentitäten, die Verteilung privilegierter Rollen und Gruppenmitgliedschaften und deren Entwicklung im Laufe der Zeit zu verstehen.
Einige DSPs können identifizieren, ob eine Website oder Datei ein Label hat und welche Gruppe(n) Zugriff auf diese Dateien mit Label haben, aber sie haben keine Sichtbarkeit von Änderungen der Mitgliedschaft dieser Gruppe – oder schlimmer noch – der Eigentümerschaft. So sind beispielsweise viele Label in Microsoft 365 an eine Gruppe von Einzelpersonen gebunden, die von Microsoft Entra ID verwaltet wird.
Böswillige Akteure, die sich erfolgreich unbemerkt einer bestimmten Gruppe anschließen oder dieser hinzufügen, erhalten dann Zugriff auf sensible Dateien, die unter diese Labeling-Richtlinie fallen. Sie können auch sofort Zugriff auf eine Finance-Website erhalten, beispielsweise mit Berechtigungen zur „Vollständigen Kontrolle“, nachdem sie der Gruppe „Finance Eigentümer“ beigetreten sind.
Es ist von entscheidender Bedeutung zu verstehen, wie sich Identitäten, Berechtigungen und Gruppen in Ihrer Umgebung verändern, da KI-Lösungen wie Microsoft 365 Copilot sich stark auf diese Faktoren stützen, um Informationen bereitzustellen.
Microsoft 365 Copilot generiert Antworten basierend auf Unternehmensdaten, auf die jeder Anwender und jede Gruppe Zugriff hat, einschließlich ihrer Dokumente, E-Mails, Kalender, Chats, Besprechungen und Kontakte. Ein böswilliger Akteur, der die richtige Rolle erhält oder der richtigen Gruppe beitritt, hat mithilfe von KI schnell Zugriff auf die gewünschten E-Mails oder Dokumente, ohne bestimmte DLP Richtlinien auszulösen.
Das wäre ein Fall von „richtiger Benutzer, richtiger Zugriff, richtige Eingabeaufforderung und falscher Mensch“.
Ohne die Integration mit Entra ID könnten Sie veraltete Gruppenmitgliedschaften und Administrator-Rollen von Anwendern oder Anwender ohne moderne MFA-Methoden übersehen. Diese entscheidenden Informationen müssen den Datensicherheitsteams zur Verfügung stehen, ohne mehrere Produkte und Benutzeroberflächen navigieren zu müssen. Das Sammeln dieser Erkenntnisse sollte kein komplexes Prompt-Engineering oder mehrere Prompts in einem KI-Sicherheitsassistenten erfordern.
Erkennung von Identitätsbedrohungen und Reaktion darauf
Identitätsereignissen und Alerts mit Datenereignissen zu korrelieren ist wichtig, um zu erkennen, wann und wo ein Verstoß auftritt. Das National Institute of Standards and Technology hebt diese Anforderung in NIST CSF 2.0 und der Detect-Funktion hervor: „DE.AE-03: Informationen werden aus mehreren Quellen korreliert.“
Sicherheitsteams sollten in der Lage sein, Bedrohungen innerhalb einer DSP leicht zu erkennen, beispielsweise wenn ein Anwender die Berechtigungen einer Datenressource anpasst und sich gleichzeitig zu ungewöhnlichen Zeiten anmeldet oder sein Passwort zurücksetzt.
Für sich genommen mögen diese Ereignisse unbedeutend erscheinen, aber in Kombination heben sie potenzielle Probleme hervor. Aus diesem Grund erfordert moderne Datensicherheit, dass Plattformen die Trennung zwischen Daten- und Identitätssicherheit beseitigen.
Identitätsauflösung
Die Verknüpfung von Datenereignissen und Alerts mit Identitäten ist eine Herausforderung und die Zuordnung mehrerer Identitäten und Systeme zu einem Anwender kann unmöglich erscheinen. Dies liegt daran, dass Anwender in On-Premise-Systemen oder Cloud-Apps häufig mehrere lokale Identitäten haben. Innovative DSPs helfen dabei, diese Identitäten zu korrelieren, um Angriffe zu einem früheren Zeitpunkt in der Angriffskette zu erkennen.
Angreifer haben durchweg lange Verweilzeiten und bewegen sich oft lateral innerhalb von Systemen, um sensitive Daten zu finden. Jede Bewegung hat eine Signatur. Unternehmen müssen in der Lage sein, diese Signaturen zeitnah zu erkennen, ohne sich ausschließlich auf SIEM-Lösungen und SOCs bei der Analyse großer Datenmengen zu verlassen, bevor es zu spät ist.
Außerdem beginnen immer mehr Unternehmen ihre Multi-KI-Reise, was den Bedarf hervorhebt, dass DSPst, Identitäten, Prompts und Datenzugriff in vielen unterschiedlichen KI-Lösungen verwalten.
Der Zweck und die Zukunft von DSP
Moderne DSPs müssen mit Identitätsmanagement-Lösungen integriert werden, um eine effektive Verwaltung der Sicherheitslage und eine wirkungsvolle Bedrohungserkennung und -bekämpfung zu ermöglichen.
Durch die Verknüpfung von Identitätsereignissen mit Datenaktionen können Sicherheitsteams Bedrohungen besser identifizieren und schnell auf Verstöße reagieren. Diese Integration vereinfacht Konfigurationen und bietet kontinuierliche Einblicke, während sie gleichzeitig an Branchenstandards ausgerichtet ist und die wachsende Komplexität von KI-Bereitstellungen behandelt.
Letztendlich müssen Unternehmen diesen Innovationen Priorität einräumen, um ihre sensitive Daten vor komplexen Cyber-Bedrohungen zu schützen.
Entdecken Sie Varonis Identity Protection oder vereinbaren Sie eine Demo, um unsere Datensicherheitsplattform in Aktion zu sehen. Wir personalisieren die Sitzung entsprechend den Anforderungen Ihres Unternehmens an Identität und Datensicherheit und geben Ihnen eine klare, risikobasierte Ansicht der wichtigsten Daten.
