Hybride Identitäten richtig schützen

Die Identität ist der neue Sicherheitsperimeter. Jede Lücke in diesem Bereich ermöglicht es böswilligen Nutzern, Zugriff auf Anwendungen, Daten und Geschäftsabläufe zu erhalten. Für Unternehmen, die mit Azure Active Directory (AD) oder einer Hybrid-Identity-Umgebung aus Azure AD und lokalem Active Directory arbeiten, um Identitätsdienste bereitzustellen, kann die Absicherung von hybriden Identitäten eine komplexe und zeitaufwändige Aufgabe sein. Und doch ist diese Aufgabe absolut notwendig.

Hybrid-Umgebungen sind besonders anfällig für Fehlkonfigurationen, die Cyberangriffen Tür und Tor öffnen. Ist das lokale Active Directory erst kompromittiert, können Angreifer ihre Attacke auf Azure AD ausweiten oder umgekehrt. Der SolarWinds-Angriff ist ein Paradebeispiel für diese Art von Strategie. Der Schutz von hybriden Identitäten stellt Unternehmen allerdings vor ganz andere Herausforderungen als rein lokale Umgebungen. Wenn die Infrastruktur Azure AD umfasst – dies ist der Fall, wenn das Unternehmen Microsoft Office 365 verwendet – gilt es, folgende Sicherheitslücken zu vermeiden:

Horizontale Angriffe aus dem lokalen AD

Cyberkriminelle verwenden häufig Phishing- und Social-Engineering-Angriffe, um unbedarfte Benutzer zu erreichen und sie zur Preisgabe sensibler Informationen, darunter auch Identitätsdaten, zu verleiten. Die Angriffe auf SolarWinds und Colonial Pipeline veranschaulichen dieses Risiko. Bei diesen Cyberangriffen gelang es den Cyberkriminellen, die Kontrolle über das lokale AD zu erlangen, Active Directory-Verbunddienste (ADFS) zu kompromittieren und damit SAML-Token zu fälschen und sich Zugang zu Azure AD zu verschaffen.

Was Unternehmen zum Schutz von hybriden Identitäten beitragen können, um Angriffe zu vereiteln

Die Durchsetzung der Multi-Faktor-Authentifizierung (MFA) trägt maßgeblich zum Schutz von hybriden Identitäten bei. Gestohlene Identitätsdaten gehören zu den gefährlichsten Werkzeugen von Cyberkriminellen und die Verwendung dieser Zugangsdaten kann lange Zeit unentdeckt bleiben. Nicht alle Überwachungssysteme zeigen ungewöhnliche Account-Aktivitäten an, deshalb ist diese zusätzliche Sicherheitsebene besonders wichtig.

Darüber hinaus sollten sich Unternehmen darüber im Klaren sein, dass ein modernes, hybrides Identitätsmanagement zusätzliche Sicherheitskontrollen erfordert, die über eine herkömmliche ADFS-Implementierung hinausgehen. Der Aufbau der erforderlichen Infrastruktur für die Bereitstellung von ADFS birgt ebenfalls Risiken, darunter fehlende Patches oder veraltete Hardware. Stattdessen sollten IT-Administratoren die AD-Pass-Through-Authentifizierung in Betracht ziehen, die die Verwendung desselben Passworts für die Anmeldung bei lokalen und Cloud-Anwendungen ermöglicht. Dieser Ansatz nutzt ein Modell, das nur ausgehende Verbindungen zulässt, und eine zertifikatsbasierte Authentifizierung, um den Authentifizierungsprozess an das lokale Active Directory zu delegieren. Das stellt eine sichere Alternative zu ADFS dar. Sie können die AD-Pass-Through-Authentifizierung auch in andere Azure AD-Sicherheitsmaßnahmen integrieren, um sich gegen Infiltrationen und den Diebstahl von Zugangsdaten zu schützen. Außerdem können AD-Passwort-Hashes mit Azure AD synchronisiert werden.

Eine weitere Möglichkeit ist der Azure AD Anwendungsproxy, der mithilfe von Azure AD-Zugangsdaten einen sicheren Remotezugriff auf lokal gehostete Anwendungen bereitstellt. Die Benutzererfahrung ist dieselbe wie bei Anwendungen mit Azure AD-Integration.

Ausweitung der Konfiguration und Komplexität

Ob AD-Administrator, Identitätsprofi oder Sicherheitsexperte – der Schutz von hybriden Identitäten erschwert zweifelsohne die Arbeit. Die Bedrohungen entwickeln sich ständig weiter und das Sperren des Zugriffs auf Tier 0-Ressourcen – darunter AD und Azure AD – ist eine zeitraubende Aufgabe. Wenn IT-Administratoren diese jedoch vernachlässigen, kann es leicht passieren, dass sie ebenso viel Zeit damit verbringen, ihr AD nach einem Cyberangriff wiederherzustellen.

Die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Anwendungen von Drittanbietern erhöht die Komplexität des Sicherheitsmodells. In einigen Fällen können diese Anwendungen Daten aus Azure AD lesen und speichern, was den Risikobereich erweitert und die Datensicherheit von der Drittanbieteranwendung abhängig macht, in die Azure AD integriert ist.

Eine weitere mögliche Schwachstelle ist die Berechtigungsstufe, die den Anwendungen in Azure AD zugewiesen wird. Werden die Berechtigungseinstellungen nicht sorgfältig überprüft, bevor ein Zugriff gewährt wird, so haben diese Anwendungen möglicherweise mehr Berechtigungen in Azure AD, als sie benötigen. Dieses potenzielle Versehen erhöht das Risiko, dass Anwendungen Änderungen beim AD-Mandanten vornehmen. Sicherheitsmaßnahmen wie MFA funktionieren nicht in allen Apps, so dass sie von den Sicherheitskontrollen abhängig sind, die die jeweilige App anzubieten hat.

Was Unternehmen tun können, um den Zugang zu verbessern

Diese potenzielle Sicherheitslücke erfordert strenge Kontrollen und regelmäßige Überprüfungen der App-Berechtigungen, um zu erkennen, wo zusätzliche Einschränkungen implementiert werden müssen. Es gilt daher, alle Sicherheitslücken zu schließen und sicherzustellen, dass die richtigen Rollen in Azure AD aktiviert sind. Unternehmen sollten die Einstellungen für App-Berechtigungen überprüfen, strenge Sicherheitskonfigurationen für Apps einrichten und Sicherheitsstandards wie MFA hinzufügen. Dabei sollten auch die Nutzerrechte mit RBAC überprüft werden. Die Zuweisung von Rollen in Azure AD unterscheidet sich von der herkömmlichen AD-Zugriffsverwaltung, daher sollte sorgfältig kontrolliert werden, wie Rollen definiert und Berechtigungen erteilt werden.

Die Absicherung von hybriden Identitäten erfolgt am besten nach dem Prinzip der „geringsten Privilegien“. Konten, die vom lokalen AD auf Azure AD synchronisiert wurden, dürfen keine privilegierten RBAC-Rollen wie Global Administrators zugewiesen werden. Diese mit hochgradigen Berechtigungen versehenen Rollen müssen nativen Azure AD-Konten vorbehalten sein. IT-Administratoren können auch Administrative Units in im Azure AD-Mandanten erstellen. Mit dieser Funktion können die Objekte eingeschränkt werden, die IT-Teammitglieder über eine bestimmte RBAC-Rolle verwalten können. Das trägt dazu bei, die Zugriffsrechte der Benutzer auf ein Minimum zu beschränken.

Fehlkonfigurationen und andere Sicherheitslücken

Fehlkonfigurationen und Sicherheitslücken in Verbindung mit dem Identitätsmanagement bieten Angriffspunkte für Cyberattacken. Azure AD besteht aus verwalteten Diensten. Microsoft verwaltet die Sicherheit der zugrundeliegenden Infrastruktur in der Cloud. Doch für die Sicherheit der Daten und der Azure AD-Konfiguration sind die Unternehmen selbst verantwortlich.

Während einer Cyberattacke können Angreifer Benutzer, Gruppen, Rollen, bedingte Zugriffsrichtlinien ändern oder löschen. Wenn das Unternehmen keinen zuverlässigen Wiederherstellungsplan hat, muss es mit verheerenden, langfristigen Auswirkungen rechnen. Es gibt nur wenige systemeigene Kontrollen, um Daten oder Konfigurationen in Azure AD vor dem Überschreiben während eines Angriffs zu schützen.

Was Sie tun können, um die Absicherung von hybriden Identitäten zu vereinfachen

Der Azure AD-Papierkorb bietet eine Soft-Delete-Funktion, mit der sich gelöschte Benutzer wiederherstellen lassen. Diese Funktion verfügt jedoch nur über minimale Möglichkeiten zur Wiederherstellung von Daten nach mehr als 30 Tagen. Andere Formen der Kompromittierung sind möglicherweise schwer zu erkennen und zu mildern, vor allem, wenn Angreifer horizontal vom lokalen AD in die Cloud wechseln. Zusätzlich zur nativen Sicherheit sollten IT-Verantwortliche auf Tools mit fortschrittlichem Funktionsumfang zurückgreifen, um Angriffe zu verfolgen, die sich horizontal über hybride Umgebungen ausbreiten könnten. Funktionen wie Änderungsverfolgung und Autokorrektur können vor gestohlenen Zugangsdaten und böswilligen Angriffen von Insidern schützen. Am besten halten Unternehmen jederzeit einen proaktiven, getesteten Wiederherstellungsplan für Active Directory und Azure AD bereit.

https://www.purple-knight.com/de/

Von Guido Grillenmeier