:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Access Governance und Risikomodellierung Risiken intelligenter erkennen und bewerten
Risiko ist ein Begriff, der zwar intuitiv verständlich erscheint, gleichzeitig aber ziemlich nebulös und für viele Zwecke zu allgemein ist. Um effektive Instrumente zur Risikobewältigung oder zur Minderung negativer Auswirkungen entwickeln zu können, bedarf es zumeist nicht-trivialer und sehr spezifischer Details.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Es liegt auf der Hand, dass eine drohende Epidemie ein Risiko darstellt. Sollen Epidemiologen jedoch genaue Prognosemodelle erstellen, um die richtigen Gegenmaßnahmen empfehlen zu können, macht es einen gewaltigen Unterschied, ob sie bestimmte spezifische Details über den Erreger kennen oder nicht. Hierzu zählen Fragen wie etwa: Wird der Virus über die Luft übertragen, ist er resistent gegen Medikamente, sind Impfstoffe verfügbar, welche Bevölkerungsgruppen sind am anfälligsten, wie lang ist die Inkubationszeit, etc.
Dieses Beispiel lässt sich auch auf die IT-Sicherheit von Unternehmen übertragen. Besonders im Bereich Access Governance und Zugriffsmanagement gilt es, Risiken abzuwägen und zu minimieren. Doch auch im betrieblichen Kontext hat das Wort verschiedene Ausprägungen und Bedeutungen. Die Auffassung vom Begriff Risiko kann sich für einen Finanzdienstleister erheblich von dem eines Gesundheitsdienstleisters oder eines Versicherungsunternehmens unterscheiden.
Darüber hinaus hängt die genaue Modellierung von Risiken stark davon ab, was im Einzelnen auf dem Spiel steht. Hierbei stehen besonders Richtlinien, Vorschriften, Zugriffsmuster, Zugangspunkte und diverse andere potenzielle Probleme im Fokus. Es ist somit nicht einfach, umfassende Risikomodelle zu erstellen, mit denen Access-Governance-Bedrohungen verschiedener Art und in verschiedenen Branchen genau vorhergesagt und priorisiert werden können.
Für die meisten Kunden geht es in diesem Zusammenhang vor allem um die Frage, wie Access Governance sicherer gestaltet und gleichzeitig ein hohes Maß an Transparenz zur Unterstützung von Auditprozessen gewährleistet werden kann. Die Risikomodellierung ist ein Weg zu diesem Ziel, doch es gibt weitaus einfachere und direktere Ansätze, die nicht nur helfen, Risiken bei der Zugriffsregelung zu identifizieren und zu minimieren, sondern auch das notwendige Wissen liefern können, um universelle Risikomodelle zu entwickeln.
Identity Governance: Gleich und gleich gesellt sich gern
Identity Governance basiert auf dem Grundsatz, dass Identitäten, die einander stark ähneln, auch die gleichen Zugriffsrechte erhalten sollten. Mit anderen Worten: Das Zugriffsprofil eines Mitarbeiters sollte nicht allzu sehr von den Profilen seiner Peers abweichen. Identitäten, deren Zugriffsmuster sich stark und ohne triftigen Grund von denen ihrer Peers unterscheiden, sollten deshalb als Risikoquelle angesehen werden.
Ein Beispiel veranschaulicht dies: Erika M. ist seit mehr als zehn Jahren als Senior Analyst in ihrem Unternehmen tätig. Während dieser Zeit hat sie mit unzähligen Teams an gemeinsamen Projekten gearbeitet und dabei Hunderte von Zugriffsberechtigungen angesammelt. Infolgedessen ist sie, was Berechtigungen angeht, jetzt Führungskraft auf der Vice-President-Ebene. Was ist das Problem an diesem Szenario? Die Problematik liegt darin, dass Frau M. zwar eine sehr aktive und verlässliche Mitarbeiterin ist, doch sie erhält keine Sicherheitsschulungen, wie sie bei Mitarbeitern auf der VP-Ebene üblich sind und unterliegt auch nicht der gleichen Sicherheitsaufsicht.
Sollte eines ihrer Benutzerkonten kompromittiert werden, könnte der Schaden schwer einzudämmen sein. Diese Situation ist ein Beispiel für eine „Zugriffsanomalie“. Wenn diese Anomalien ermittelt und geeignete Abhilfemaßnahmen empfohlen werden – zum Beispiel die Auslösung eines speziellen Zertifizierungsereignisses, Widerruf ungenutzter Zugänge, Rollenbewertung usw. – werden die Risiken durch diese anomalen Identitäten verringert. Dies erhöht die Sicherheit.
Was für den einen ein Signal ist, ist für den anderen ein Störgeräusch. Wenn es Unternehmen an einer breiten Perspektive und umfassenden Übersicht fehlt, werden sie anfällig für Bedrohungen, die mit herkömmlichen Filter- und Join-Techniken nicht zu erkennen sind. Wie kann man diese anomalen Identitäten also aufspüren? Um Anomalien zu finden, muss zunächst definiert werden, was „normal“ bedeutet. Zugriffsanalysen von Rohdaten könnten dabei hilfreich sein, aber nur bis zu einem gewissen Grad. Eine genaue Darstellung des Zugriffs-Ökosystems mit einem Maß für die Ähnlichkeit von Berechtigungen oder „Peer-Beziehungen“ würde die erforderliche Datenstruktur für diesen Anwendungsfall liefern.
Interessanterweise unterscheiden sich diese Peer-Beziehungen gar nicht so sehr von den „Freundes“-Beziehungen in den heutigen sozialen Netzwerken. Identity Governance lässt sich durch eine soziale Datenstruktur abbilden, ähnlich wie bei einem Netzwerk von Freunden, die gemeinsame Interessen haben. Die Identitäten, deren Eigenschaften und die entsprechenden Zugriffsmuster können dann anhand einer leistungsstarken, wandlungsfähigen Datenstruktur analysiert und modelliert werden. So sind die dynamischen Beziehungen zwischen diesen Entitäten leicht zu verfolgen, abzubilden und zu verwalten.
Mit einem geeigneten Ähnlichkeitsmaß für Identitäten, etwa einem, das auf der Ähnlichkeit der Zugriffsrechte basiert, kann ein „Identitätsgraph“ konstruiert werden. Die Knoten dieses Graphen stehen für die Identitäten und die Verbindungen zwischen den Knoten wiederum für eine starke Ähnlichkeitsbeziehung. Der Identitätsgraph liefert die perfekte Datenstruktur für solche Anwendungsfälle. Zudem können Algorithmen zur Graph-Analyse die notwendigen Werkzeuge liefern, um anomale Identitäten als Ausreißer zu definieren und zu identifizieren. In diesem Set-up sind die Ausreißer-Identitäten diejenigen, die bei einer bestimmten Graph-Analyse Extremwerte aufweisen.
Ausreißer aller Art
Mit dem Netzwerkgraph-Datenmodell lassen sich verschiedene Arten von Ausreißer-Identitäten identifizieren. Dazu zählen beispielsweise Singleton-Identitäten, repräsentiert durch Knoten, die im Identitätsgraphen isoliert sind, weil sie so gut wie keine Ähnlichkeiten mit irgendeiner anderen Identität aufweisen: Sei es unternehmensweit oder innerhalb einer bestimmten Abteilung, an einem bestimmten Standort, unter Mitarbeitern mit einer bestimmten Stellenbeschreibung etc. Strukturelle Ausreißer wiederum wären Identitäten, die im Graphen aufgrund ihrer Berechtigungen und damit ihrer starken Ähnlichkeitsbeziehungen an besonderen Stellen platziert sind, an denen sie ungerechtfertigterweise zu wichtigen Einflussnehmern werden und beispielsweise zur Ausbreitung privilegierter Zugänge beitragen könnten.
Es wäre unklug, bei den Identitäten mit Anomalieuntersuchungen aufzuhören. Mit Berechtigungs- und Rollengraphen, die sich in ähnlicher Weise konstruieren lassen, können Ausreißer-Berechtigungen oder -Rollen ermittelt werden. Singleton-Berechtigungen beispielsweise wären Berechtigungen, die derzeit nicht als Teil einer Rolle oder eines Zugriffsmusters gemeinsam mit anderen Berechtigungen vergeben werden. Rollen wiederum, die dicht beieinander liegen, weisen auf extrem hohe Ähnlichkeiten hin, sodass sich möglicherweise eine Rollenkonsolidierung empfiehlt.
Dieser Netzwerkgraphen-Ansatz kann die Grundlage für eine Engine zur Erkennung und Verwaltung von Ausreißern bilden. Mit ihrer Hilfe können die Benutzer Schwachstellen in Zugangsmanagementsystemen proaktiv erkennen und priorisieren. Zugleich unterstützt der Ansatz ein autonomes, intelligentes Recommender-System, das geeignete Maßnahmen empfehlen kann. Diese Tools bieten Abfragemöglichkeiten, damit Benutzer ein hohes Maß an Transparenz genießen und etwaige Nachfragen bei künftigen Audits beantworten können.
Die Zukunft ist KI-gesteuert
Anomalie- und Ausreißer-Erkennung ist nur der Anfang. Sie ist nicht nur ein Schritt hin zur Compliance, sondern ein riesiger Sprung in Richtung einer universellen Risikomodellierung. Ein Netzwerkgraphen-Ansatz liefert die nötige Datenstruktur, um verschiedene Arten von zugriffsbezogenen Risiken im Unternehmen zu definieren, zu identifizieren und zu priorisieren. Er ebnet den Weg für intelligente Empfehlungsgeber, die jeweils die optimalen Maßnahmen vorschlagen und automatisieren können – und das auf völlig transparente Weise. Der Ansatz ist für Unternehmen der erste Schritt zu einer vorausschauenderen, kognitiven Zukunft der Identity Governance.
Über das Autoren-Duo: Mo Badawy ist Principal Data Scientist und Jostine Ho ist Senior Data Scientist, beide bei SailPoint.
(ID:46111677)
:quality(80)/p7i.vogel.de/wcms/37/d5/37d522ba8e6f71a8dff239cd222c8adb/0108684027.jpeg "Die Anwendungsszenarien für einen graphenbasierten digitalen Zwilling, der das IT-Netzwerk realitätsnah abbildet, sind auch ind er IT-Security nahezu unbegrenzt. (Bild: Michael Traitov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9b/5c9bd1cbfd41b5a8c9856d38422c02e0/0105545437.jpeg "Microsoft widmet sich mit der Entra-Produktreihe unter anderem dem Thema Identitäts- und Zugriffsmanagement. (Bild: Gerd Altmann)")