Product Walkthrough: Die „Unified Identity Protection“-Plattform von Silverfort Schritt für Schritt erklärt
Der folgende Artikel gibt einen kurzen Überblick über die Silverfort-Plattform, die erste (und derzeit einzige) einheitliche Identitätsschutz-Plattform auf dem Markt. Die Technologie von Silverfort zielt darauf ab, Unternehmen vor identitätsbasierten Angriffen zu schützen.
Die Plattform integriert sich in bestehende Identitäts- und Zugriffsverwaltungslösungen wie das Active Directory (AD) und cloudbasierte Dienste und ermöglicht so sichere Zugriffskontrollen wie risikobasierte Authentifizierung und Multi-Faktor-Authentifizierung auf alle Unternehmensressourcen. Dazu gehören On-Premise- und Cloud-Ressourcen, Legacy-Systeme, Befehlszeilen-Tools und Dienstkonten.
Nach einer Studie von Silverfort und Osterman Research sind 83 Prozent der Unternehmen weltweit von Datenschutzverletzungen betroffen, die durch gehackte Zugangsdaten verursacht werden. Viele Unternehmen geben zu, dass sie nicht ausreichend gegen identitätsbasierte Angriffe wie Lateral Movement und Ransomware geschützt sind. Besonders schwierig ist es, Ressourcen wie Befehlszeilen-Tools und weit verbreitete Legacy-Systeme zu sichern.
Erste Schritte: Verwendung des Dashboards
Der obige Screenshot zeigt das Dashboard der Silverfort-Lösung. Auf der linken Seite befindet sich eine Liste der Benutzertypen: privilegierte Benutzer, Standardbenutzer und Dienstkonten. Dabei ist ersichtlich auf welche Art und Weise sie auf Ressourcen zugreifen: über On-Prem- und cloudbasierte Verzeichnisse (AD, Azure AD, Okta), Federation-Server (Ping, ADFS) und VPN-Verbindungen (RADIUS). Auf der rechten Seite des Bildschirms wird eine Liste der verschiedenen Ressourcentypen angezeigt, auf die Benutzer zuzugreifen versuchen. Die Zugriffsversuche werden durch leuchtende Punkte dargestellt.
Diese Anzeige ist das, was die Plattform hervorhebt, macht: Sie ist momentan die einzige Lösung, die sich nahtlos in die gesamte Identitätsinfrastruktur einer hybriden Umgebung integrieren kann. Durch diese Integration leiten sowohl lokale als auch Cloud-Verzeichnisse alle Versuche zur Authentifizierung und zum Zugriff an Silverfort weiter. Dort werden sie analysiert, um zu entscheiden, ob der Zugriff erlaubt oder abgelehnt werden soll. Auf diese Weise wird ein Echtzeitschutz für jeden Benutzer und jede Ressource gewährleistet.
Das Dashboard fasst auch wichtige Informationen über Identitäten zusammen: Die Anzahl der Authentifizierungsversuche nach Protokollen und Verzeichnissen, den Anteil der bestätigten Authentifizierungen, wie viele Benutzer und Dienstkonten erfolgreich geschützt wurden, sowie eine Aufschlüsselung der Benutzer nach Risikostufen (mittel, hoch, kritisch).
Die Plattform umfasst verschiedene Module, von denen sich jedes mit einem anderen Problem des Identitätsschutzes befasst. Zwei davon sollen nun untersucht werden: Advanced MFA und Service Account Protection.
Schutz von Ressourcen mit erweiterter MFA
MFA hat sich als eine der effektivsten Methoden zum Schutz vor identitätsbasierten Angriffen erwiesen. Allerdings ist es ziemlich schwierig, MFA-Schutz für alle Netzwerkressourcen bereitzustellen. Grund: MFA stützt sich traditionell auf Agenten und Proxys. Das bedeutet, dass einige Computer nie abgedeckt werden können – entweder weil das Netzwerk zu groß ist, um Proxys auf jedem einzelnen Computer zu installieren, oder weil nicht alle Computer (oder Geräte) in der Lage sind, Agenten zu installieren.
Außerdem unterstützen Befehlszeilen-Zugriffstools wie PsExec, PowerShell und WMI keine MFA, obwohl sie häufig von Netzwerkadministratoren verwendet werden. Diese und andere On-Premises-Authentifizierungen werden von AD verwaltet, aber die AD-Authentifizierungsprotokolle (Kerberos, NTLM) wurden einfach nicht für MFA entwickelt, und Angreifer wissen das. AD prüft nur, ob Benutzernamen und Kennwörter übereinstimmen, so dass Angreifer mit legitimen Anmeldeinformationen (die kompromittiert sein können oder auch nicht) auf das Netzwerk zugreifen und Lateral Movement- und Ransomware-Angriffe starten können, ohne dass AD davon etwas mitbekommt. Der Hauptvorteil von Silverfort besteht darin, dass es MFA für alle diese Daten erzwingen kann. Andere Lösungen können das nicht.
Auf dem Richtlinienbildschirm (Bild 2) lassen sich vorhandene Richtlinien anzeigen oder neue erstellen.
Das Erstellen einer neuen Richtlinie läuft ziemlich intuitiv (Bild 3). Es müssen der Authentifizierungstyp, die relevanten Protokolle, die Benutzer, Quellen und Ziele, welche die Richtlinie abdeckt, und die erforderliche Aktion festgelegt werden. Was hier geschieht, ist eigentlich recht einfach, aber überraschend clever. AD sendet alle Authentifizierungs- und Zugriffsanfragen an Silverfort. Für jede Anfrage analysiert Silverfort das Risiko und die zugehörigen Richtlinien, um festzustellen, ob MFA erforderlich ist oder nicht. Je nach Urteil wird dem Benutzer der Zugang gewährt, gesperrt oder er wird aufgefordert, MFA bereitzustellen. Mit anderen Worten: Die Richtlinie umgeht im Grunde die inhärenten Beschränkungen älterer Protokolle und erzwingt für sie MFA.
Erkennen und Sichern von Dienstkonten
Dienstkonten stellen aufgrund ihrer hohen Zugriffsrechte und ihrer geringen oder gar fehlenden Sichtbarkeit eine kritische Sicherheitsherausforderung dar. Darüber hinaus sind Dienstkonten keine Menschen, so dass MFA keine Option ist – ebenso wenig wie die Kennwortrotation mit PAM, die kritische Prozesse zum Absturz bringen kann, wenn ihre Anmeldungen fehlschlagen. Tatsächlich führen alle Unternehmen mehrere Dienstkonten – zum Teil macht ihre Zahl sogar bis zur Hälfte aller Nutzer aus. Das Tragische: Keines davon wird überwacht. Deshalb lieben Angreifer kompromittierte Dienstkonten – sie können sie für laterale Bewegungen unter dem Radar nutzen und sich unbemerkt Zugang zu einer großen Anzahl von Rechnern verschaffen.
Bild 4 zeigt den Bildschirm Dienstkonten. Da alle Authentifizierungs- und Zugriffsanfragen über Silverfort laufen, können dort Dienstkonten einfach identifiziert werden: Verhaltensweisen von Rechnern werden auf Wiederholungen analysiert.
Es sieht so aus, als gäbe es im Bereich „Maschine-zu-Maschine“ 162 Konten. Sie lassen sich anhand einer Reihe von Parametern filtern. „Vorhersagbarkeit“ (Predictability) misst zum Beispiel den wiederholten Zugriff auf dieselbe Quelle oder dasselbe Ziel. Abweichungen von diesem Muster können auf bösartige Aktivitäten hinweisen.
Bild 5 zeigt zusätzliche Informationen über Servicekonten, wie Quellen, Ziele, Risikoindikatoren, Berechtigungsstufen und Nutzung.
Für jedes Dienstkonto werden automatisch Richtlinien auf der Grundlage seines Verhaltens erstellt. Bleibt lediglich noch die Wahl zwischen „Alarm“, „Blockieren“ und „Alarm an SIEM“ zu wählen und die Richtlinie zu aktivieren (Bild 6).
Abschließende Überlegungen
Die Plattform von Silverfort erfüllt ihr Ziel eines umfassenden Identitätsschutzes. Mit ihr können Unternehmen und Behörden Multi-Faktor-Authentifizierungen für nahezu jede Ressource – sei es Befehlszeilen-Tools, ältere Anwendungen, Dateifreigaben und vieles mehr – durchzusetzen und Richtlinien schnell erstellen. Verantwortliche haben mithilfe der Plattform einen umfassenden Einblick in sämtliche Dienstkonten und die Möglichkeit, sie zu sichern. Insgesamt bietet die Plattform innovative Funktionen für den Identitätsschutz, die heutzutage immer wichtiger werden.
Weitere Informationen finden Sie auf der Webseite von Silverfort.