Seit der weltweiten Verbreitung von Remote Work in den letzten Jahren stehen IT-Sicherheitsteams vor immer größeren Herausforderungen, um einen effektiven und sicheren Zugang zu den kritischen Anlagen, Ressourcen und Daten von Unternehmen zu gewährleisten.
Ausgefeilte Phishing-Angriffe, bei denen Benutzerdaten preisgegeben werden, was Angriffe von der Seite oder die Installation von Ransomware auf unternehmenskritische Infrastrukturen ermöglicht. Zero-Day-Schwachstellen ermöglichen es böswilligen Akteuren, zugängliche Dienste zu stören.
Dies sind nur einige Beispiele für Bedrohungen, die dazu führen, dass Unternehmen Geld, wichtige Vermögenswerte, Glaubwürdigkeit und ihr Marktimage verlieren.
In dem von IBM veröffentlichten Bericht „Cost of a Data Breach 2023„, in dem Datenschutzverletzungen zwischen März 2022 und März 2023 analysiert wurden, beliefen sich die durchschnittlichen Gesamtkosten einer Datenschutzverletzung auf 4,45 Millionen US-Dollar. Im Vergleich zum Vorjahresbericht ist diese Summe um 2,3 % und seit 2020 um 15,3 % gestiegen.
Vor diesem Hintergrund müssen wir die Systeme unserer Unternehmen so gestalten, dass sie diesen und vielen anderen Herausforderungen standhalten können. Die Beschäftigung von IT-Sicherheitsspezialisten wird zu mehr Sicherheit bei der digitalen Transformation führen, aber wir können uns nicht nur auf die Technologie verlassen – jede Organisation sollte eine Strategie zur Verhinderung von Sicherheitsverletzungen festlegen und umsetzen, aber auch ihre Mitarbeiter darin schulen, sich sicher im digitalen Ökosystem zu bewegen.
Was ist das Zero-Trust-Modell?
Viele Jahre lang verließen sich Unternehmen auf einen Perimeter basierten Sicherheitsansatz, auch bekannt als „Burg und Wassergraben“ Sicherheitsmodell, bei dem davon ausgegangen wurde, dass jeder Akteur auf der Außenseite bösartig und jeder auf der Innenseite vertrauenswürdig war.
Dieser Ansatz war zwar äußerst mangelhaft, aber alles, was wir brauchten, war, dass wir unsere internen Ressourcen für externe Mitarbeiter öffnen mussten. Die Lösung war der Einsatz eines VPN, das eine sichere Verbindung zwischen dem Internet und dem Intranet herstellte.
Leider kam mit dem technologischen Fortschritt auch die sich ständig weiterentwickelnde Bedrohung in Form von Cyberangriffen. Heutzutage können die VPN-Technologie und physische Zugangsbeschränkungen nicht die einzigen Sicherheitsmaßnahmen sein, und wir müssen nach komplexeren Lösungen suchen.
Dem IBM-Bericht zufolge waren die beiden häufigsten Erstangriffsvektoren Phishing und gestohlene oder kompromittierte Anmeldedaten mit 16 % bzw. 15 %. Darüber hinaus waren die beiden kostspieligsten Arten von Erstangriffen böswillige Insider und wiederum Phishing mit durchschnittlich 4,90 Mio. USD bzw. 4,76 Mio. USD.
Viele dieser Angriffe könnten darauf zurückzuführen sein, dass zu viel Vertrauen in Akteure innerhalb der Organisationen gesetzt wird und es an geeigneten Sicherheitssystemen zur Verhinderung externer Angriffe fehlt.
Hier kommt das Zero-Trust-Sicherheitsmodell zur Hilfe. Im Kern geht Zero Trust von einem „never trust, always verify“-Ansatz aus, der die Idee hinter sich lässt, dass jedem Benutzer oder Gerät standardmäßig vertraut werden sollte.
Viele Unternehmen haben ihre Infrastruktur mit impliziten statt expliziten Vertrauensmodellen aufgebaut, um den Zugang und die Abläufe für Mitarbeiter und Workloads zu erleichtern. Angreifer missbrauchen dieses implizite Vertrauen in die Infrastruktur, um Malware einzuschleusen und sich dann seitlich zu bewegen, um ihre Ziele zu erreichen“,
sagt John Watts, VP Analyst bei Gartner.
Zero Trust ist ein Umdenken, um diesen Bedrohungen zu begegnen, indem es ein kontinuierlich bewertetes, explizit kalkuliertes und adaptives Vertrauen zwischen Benutzern, Geräten und Ressourcen erfordert.“
[Gartner PR Note: Quelle]
Ein weiterer von Okta vorgelegter Bericht zeigt, dass eine signifikante Anzahl von Unternehmen bereits mit der Definition und Einführung einer Zero-Trust-Initiative begonnen hat. Bemerkenswert ist auch, dass das Interesse der Unternehmen an Zero Trust stark zunimmt. Im Jahr 2021 arbeiteten 24 % der gemeldeten Unternehmen aktiv an der Definition einer Zero-Trust-Initiative, während diese Zahl nur zwei Jahre später 61 % erreichte – wobei 35 % planten, in den nächsten 18 Monaten mit der Initiative zu beginnen.
Quelle: Octa-Bericht
Okta berichtet auch, dass die Mehrheit der Unternehmen aktiv in ihre Zero-Trust-Strategien investiert. Offensichtlich haben 80 % der gemeldeten Organisationen ihre Budgets erhöht, 18 % haben sie nicht verändert und nur sehr wenige haben sie sogar verringert.
Quelle: Octa-Bericht
Zero Trust bei der Arbeit in Azure
Microsoft Entra
Die Grundlage der Zero-Trust-Architektur ist das Identitätsmanagement, das in Azure von Microsoft Entra ID (früher Azure Active Directory) und der in alle Azure-Dienste integrierten rollenbasierten Zugriffskontrolle (RBAC) übernommen wird.
Microsoft Entra ID ermöglicht die Kontrolle über den Zugriff auf die Ressourcen des Unternehmens – in allen öffentlichen, privaten und hybriden Cloud-Umgebungen, auf vielen Granularitätsebenen der Rechtevergabe:
- durch singuläre Berechtigungen – wie das Lesen von Dateien in Dateifreigaben,
- Rollendefinitionen – die Berechtigungssätze definieren, z. B. Cloud Developer
- und Gruppenzuweisungen – Zuweisung derselben Berechtigungsregeln an mehrere Personen, die z. B. im selben Team arbeiten.
Um das Prinzip der geringsten Privilegien von Zero Trust zu gewährleisten, ermöglicht die Access Review-Funktion eine effiziente Verwaltung von Gruppenmitgliedschaften, Zugriff auf Unternehmensanwendungen und Rollenzuweisungen. Der Prozess sammelt Feedback von Anwendern, Vorgesetzten und Vorschläge von Microsoft Entra ID, um die festgelegten Berechtigungen zu überprüfen und zu validieren.
Auf der Grundlage dieser Angaben können die IT-Sicherheitsspezialisten die Zugriffsregeln der Benutzer durch Hinzufügen oder Entfernen von Berechtigungen aktualisieren und so einen Just-in-Time- und Just-enough-Access (JIT und JEA) erreichen.
Die nächste grundlegende Funktion in Microsoft Entra ist das Conditional Access Modul – eine zentralisierte Engine, die Signale sammelt, Entscheidungen trifft und Richtlinien durchsetzt, die im gesamten Unternehmen definiert wurden.
Conditional Access ermöglicht zusammen mit Microsoft Entra ID das Prinzip „Always Verify“ von Zero Trust. Durch die Definition von Richtlinien in beiden Diensten kann das IT-Sicherheitsteam die Ressourcen des Unternehmens schützen, ohne die Produktivität der Benutzer zu behindern, egal wo und wann sie arbeiten.
Darüber hinaus kann Microsoft Entra ID Sicherheitsmaßnahmen für die Benutzeridentität und -authentifizierung durch Single Sign-On oder obligatorische Multi-Faktor-Authentifizierung durchsetzen.
Ermöglichung von ZTNA mit Azure-Technologien
Mit der Identitäts- und Verifizierungs-Engine in Microsoft Entra können Zero Trust-Prinzipien in die Ressourcen eines Unternehmens eingeführt werden – durch Zero Trust Network Access (ZTNA).
Dieses Konzept bringt die Kernprinzipien von Zero Trust in den Netzzugang ein. Mit Hilfe eines Identitätsbrokers, in unserem Fall Microsoft Entra, muss jeder Benutzer verifiziert werden, bevor er auf eine Ressource oder Anwendung im Netzwerk einer Organisation zugreifen kann. Darüber hinaus sollte die Kommunikation innerhalb des Netzwerks überwacht werden und immer noch dem Prinzip „never trust, always verify“ folgen.
Speicherung im Netz
Azure Storage bietet verschiedene Möglichkeiten, Ihre Daten zu speichern, aber sie haben alle eines gemeinsam – die Idee von „Secure by Default“. Alle Daten in den Azure Storage-Diensten sind standardmäßig nicht öffentlich über das Internet zugänglich.
Der Zugang kann über mehrere sichere Mechanismen vergeben werden:
- Gemeinsame Zugriffssignatur-Tokens – sie bieten die Möglichkeit, den Zugriff ohne die Anmeldedaten des Benutzers, nur mit einer bestimmten Gruppe von Berechtigungen und innerhalb eines bestimmten Zeitrahmens zu genehmigen.
- OAuth2 JWT Token – JWT Token können durch Microsoft Entra generiert werden, ein solches Token übermittelt die Berechtigungen des Benutzers und ermöglicht die Autorisierung für Speicherdienste.
- Privater Endpunktzugriff – Es ist möglich, den Zugriff vollständig über einen in ein privates virtuelles Netzwerk integrierten Endpunkt zu ermöglichen. Der Zugriff auf die Speicherdaten ist nur für Clients möglich, die mit dem entsprechenden virtuellen Netzwerk verbunden sind.
Insbesondere die letzten beiden Zugriffsmethoden ermöglichen das Zero Trust Model. Mit korrekt definierten Berechtigungen und Azure Storage Services, die innerhalb des Unternehmensnetzwerks zur Verfügung stehen, haben die Benutzer also einen umfassenden und sicheren Zugriff auf das, was sie benötigen.
Virtuelle Maschinen im Netzwerk
Um die Vorteile der Cloud voll ausschöpfen zu können, muss die Nutzung virtueller Maschinen innerhalb des Zero-Trust-Netzwerks geplant werden. Eine solche Strategie sollte die Richtlinien für die Erstellung der Ressourcen, die Integration der Überwachung und die Netzwerkgrundlagen für die Kommunikation über das Netzwerk umfassen.
Eine mögliche Lösung für einige Unternehmen könnte darin bestehen, entweder eine Reihe strikter Prozesse für die Bereitstellung der genannten Ressourcen zu definieren oder ein Tool zu entwickeln, das den Cloud-Anbieter abstrahiert und die Standards in Form einer unveränderlichen Baseline bereitstellt.
Das erste Element einer solchen Strategie sollte die Segmentierung der Ressourcen in der Cloud sein. Unter Ausnutzung des mehrschichtigen Ansatzes für Benutzerberechtigungen kann die logische Gruppierung von Ressourcen mit Ressourcengruppen, Abonnements und Verwaltungsgruppen in Azure erreicht werden
Um sicherzustellen, dass die innerhalb des Netzwerks initialisierten VMs sicher sind, müssen auch Richtlinien für das Betriebssystem und die darauf laufenden Anwendungen definiert werden. Diese können durch Funktionen wie Secure Boot, vTPM und Virtual Machine Extensions durchgesetzt werden.
Anschließend sollte die Sicherheitsstrategie für den Zugriff auf die VMs festgelegt werden. Die Aktivierung einer öffentlichen IP-Adresse auf jeder VM und der Schutz durch Benutzerkonto-Anmeldeinformationen mag verlockend sein, öffnet aber auch böswilligen Akteuren Tür und Tor, um den Zugriff durch Brute-Force zu erzwingen.
Alternative Ansätze sind die Verwendung des Azure Bastion-Dienstes, der den Zugriff auf VMs über den Webbrowser ermöglicht, oder die Verwendung von MFA und Conditional Access zur Anmeldung bei VMs, die mit Microsoft Entra ID verbunden sind.
Azure Firewall Premium
Nach der Definition der Identitätsmanagement-Richtlinie sowie der Speicher- und Rechensicherheit erfordert Zero Trust Network Access eine erweiterte Sicherheit des Netzwerkverkehrs. Um dies zu erreichen, bietet Azure Firewall Premium eine Vielzahl von Funktionen zur Überwachung, Erkennung und Vermeidung potenzieller Bedrohungen.
Azure Firewall kann den eingehenden, ausgehenden und internen Datenverkehr im Netzwerk des Unternehmens überwachen. Die Azure-Cloud integriert ihren Threat Intelligence-Feed, der ständig mit Daten über Quellen bösartiger Aktivitäten aktualisiert wird. Die Aktivierung dieser Funktion im Warn- und Ablehnungsmodus ist am besten geeignet, um das Zero-Trust-Prinzip „immer überprüfen“ zu verwirklichen.
Der nächste Schritt sollte die Aktivierung der TLS-Inspektionsfunktion sein, die den verschlüsselten Netzwerkverkehr auf potenziell illegale und bösartige Aktivitäten überwacht. Sie generiert on-the-fly ein SSL-Zertifikat unter Verwendung des vom Kunden bereitgestellten CA-Zertifikats und fungiert als Proxy für die Verbindung zwischen dem Client und dem privaten Netzwerk hinter der Firewall.
Eine weitere Funktion, die die TLS-Inspektion ergänzt, ist das Intrusion Detection and Prevention System (IDPS). Es konzentriert sich auf unverschlüsselten Datenverkehr, aber mit aktivierter TLS-Inspektion funktioniert es auch für verschlüsselte Netzwerkaktivitäten.
IDPS ermöglicht die automatische Alarmierung und Zugriffsverweigerung für jede verdächtig erscheinende Kommunikation. Der Schwerpunkt liegt auf der Erkennung von Malware, Command-and-Control-Servern für Botnets, Exploit-Kits und bösartigen Aktivitäten in freier Wildbahn, die von herkömmlichen Präventionsmethoden übersehen werden. Mit über 67.000 Regeln und mehr als 20-40 neuen Versionen täglich hat dieses Malware-Erkennungssystem eine geringe False-Positive-Rate.
Azure Firewall bietet außerdem Funktionen wie umfangreiche Routing-Regeln, URL-Filterung, Regelausnahmen, Microsoft Defender-Integration, Azure DDoS Protection und Forced Tunneling, um das gesamte Netzwerk weiter abzusichern.
Microsoft Defender für die Cloud
Microsoft Azure ist eine riesige Landschaft aus verschiedenen Technologien, die für eine effektive Nutzung eine Spezialisierung erfordern. Um dieses Problem zu beheben und die steile Lernkurve zu erleichtern, hat Microsoft Defender for Cloud eingeführt – einen Diagnosedienst, der Warnungen und Empfehlungen zur Verbesserung der Sicherheitslage Ihrer Cloud-Ressourcen liefert.
Microsoft Defender verfügt über zahlreiche fortschrittliche Funktionen, die die Arbeit von IT-Sicherheitsteams durch Dashboards unterstützen, die einen Einblick in die Abläufe bieten:
- Sicherheitsscore – basierend auf den Empfehlungen von Microsoft für bewährte Verfahren.
- Einhaltung gesetzlicher Vorschriften – zeigt die Einhaltung der Security Benchmarks durch automatische Bewertung.
- Inventarstatus – Zustandsbewertung und Warnmeldungen für alle Ressourcen
Eine weitere wichtige Funktion ist das Modul zur Verwaltung externer Angriffsflächen, das Ihre digitale Angriffsfläche kontinuierlich aufdeckt und kartiert. Es zeigt die externe Sicht auf Ihre Online-Infrastruktur und gibt Einblick in potenzielle Schwachstellen.
Microsoft Defender kann mit Microsoft Defender for Storage auch in Speicherdienste integriert werden. Es hilft, erhebliche Auswirkungen auf Ihre Daten und Arbeitslasten zu verhindern – böswillige Datei-Uploads, Exfiltration sensibler Daten und Datenbeschädigung. Es handelt sich um eine zusätzliche Schutzebene, die durch Microsoft Threat Intelligence, Microsoft Defender Antimalware-Technologien und Sensitive Data Discovery unterstützt wird.
Azure Sentinel
Microsoft Defender ist nicht der einzige Berichts- und Abhilfedienst, der im Azure-Ökosystem verfügbar ist. Azure Sentinel ist tief in die anderen Azure-Dienste integriert und liefert intelligente Sicherheitsanalysen und Bedrohungsdaten für das gesamte Unternehmen.
Mit Azure Log Analytics Workspace kann dieser Service Daten von jedem Azure Service und jeder Anwendung, die die Log Analytics API für die Protokollierung und Metriken integrieren kann, sammeln und analysieren.
Mit Azure Sentinel können Sie mehrere Datenkonnektoren für Microsoft-Dienste und Drittanbieteroptionen aktivieren. Die Verwendung eines gemeinsamen Ereignisformats, Syslog oder einer REST-API zur Verbindung Ihrer Datenquellen mit Microsoft Sentinel ist ebenfalls möglich. Die IT-Sicherheit wird durch eine einzige Lösung für die Angriffserkennung, die Sichtbarkeit von Bedrohungen, die proaktive Suche und die Reaktion auf Bedrohungen verbessert.
Künstliche Intelligenz und IT-Sicherheit
Wie die neuesten Trends zeigen, scheint KI ein perfekter Assistent zu sein. ChatGPT und ähnliche Tools beweisen, was KI leisten kann, um Fachleute bei alltäglichen Aufgaben zu unterstützen. Ähnliche technische Verbesserungen können wir auch bei der Cloud-Sicherheit beobachten.
Wie so oft müssen Sicherheitsexperten auch alltägliche Aufgaben wie die Überprüfung und Anpassung von Sicherheitsrichtlinien erledigen. In einer sich ständig verändernden Unternehmensumgebung müssen IT-Mitarbeiter auf neue Mitarbeiter, Abteilungswechsel und die Einführung neuer Anwendungen für den internen oder externen Gebrauch reagieren. Bei all diesen Ereignissen müssen Sicherheitsingenieure tätig werden, um alle Zugriffsberechtigungen auf dem neuesten Stand zu halten und sicherzustellen, dass alle Prozesse und Dienste sicher sind.
Dazu muss das Sicherheitsteam die Rolle jedes einzelnen Nutzers innerhalb des Unternehmens verstehen, was in größerem Maßstab nahezu unmöglich ist. Hier kann KI glänzen und mühsame Arbeit abnehmen, indem sie ständig überwacht, wie Benutzer mit den verschiedenen Systemen interagieren.
Nach der Erfassung kann die KI die Daten mit einem hohen Vertrauensniveau auswählen und eine Überprüfung der Berechtigungsvergabe einleiten. Die Sicherheitsingenieure können sich auf den spezifischen gemeldeten Satz von Berechtigungen konzentrieren und müssen nicht die Rolle jedes Benutzers im Unternehmen analysieren.
Azure hat bereits eine ähnliche Funktion in seinem Zugriffsüberprüfungssystem eingeführt, bei dem hochentwickelte Modelle für maschinelles Lernen (ML) die Empfehlungen verbessern. Indem sie die Zugehörigkeit zu Gruppen und Inaktivitätszeiträume vorschlagen, hilft ML bei der Entscheidung, ob der Benutzer über bestimmte Berechtigungen verfügen sollte.
KI kann nicht nur dabei helfen, das von Zero Trust geförderte Prinzip der geringsten Privilegien zu gewährleisten, sondern auch in anderen Bereichen der IT-Sicherheit hilfreich sein. Durch den Einsatz verschiedener KI-Modelle ist es möglich, Aufgaben zu erfüllen, die für Menschen unmöglich erscheinen.
KI-Modelle zur Mustererkennung können Muster erkennen, die für das menschliche Auge unsichtbar sind. Der Einsatz von KI-gestützten Überwachungswerkzeugen, die Erkennung von Anomalien und die Alarmierung können mögliche versteckte Schwachstellen im System aufdecken.
So nützlich die Erkennung auch ist, KI kann noch mehr tun. Es ist möglich, KI mit Werkzeugen auszustatten, um die von ihr gefundenen Probleme zu beheben, und zwar bevor oder unmittelbar nachdem diese in nahezu Echtzeit ausgenutzt werden. So lassen sich die meisten, wenn nicht sogar alle Bedrohungen von außerhalb und innerhalb der IT-Infrastruktur des Unternehmens wirksam abwehren.
Mit Azure Sentinel ist es möglich, automatisierte Reaktionen mit Automation Rules und Automation Playbooks zu definieren. Auf diese Weise kann eine definierte Reaktion automatisch ausgeführt werden, wenn Sentinel einen Alarm erkennt, der auf einer umfassenden Definition von Auslösern und Bedingungen basiert.
Welche Bedrohungen KI für die Cloud-Sicherheit mit sich bringt
Es gibt zwei Arten von Sicherheitsbedrohungen, die mit KI einhergehen. Die Angriffe können sich gegen KI-Modelle und -Dienste richten, oder KI könnte die Angriffe unterstützen. Beide Szenarien müssen geplant werden, und es müssen geeignete Sicherheitslösungen in Betracht gezogen werden, um die potenziellen Probleme zu vermeiden.
Aufgrund der komplexen Natur der künstlichen Intelligenz müssen wir viel darüber lernen, wie sie funktioniert, und manchmal können die von uns trainierten Modelle unerwartete Leistungen erbringen. Solche Probleme sind Berichten zufolge bei einigen beliebten KI-Tools aufgetreten. In den frühen Versionen von ChatGPT beispielsweise konnte der Chatbot diese Regeln mit einem Exploit namens Prompt Injection umgehen, obwohl er auf die Einhaltung bestimmter Regeln beschränkt war. Die Benutzer konnten sich mit dem Chatbot auf eine bestimmte Art und Weise unterhalten, wodurch zuvor eingeschränkte Verhaltensweisen ermöglicht wurden.
Darüber hinaus sind KI-Dienste nicht nur für bestimmte neue und unerwartete Arten von Cyberangriffen anfällig, sondern auch für solche, die noch nicht veröffentlicht wurden. Je nach Art des KI-Modells könnte es seine Lerndatensätze aus öffentlich verfügbaren Daten beziehen.
Diese Daten können mit Techniken, die als Data Poisoning bezeichnet werden, manipuliert werden. Auch wenn es schwierig ist, mit dieser Technik einen bestimmten KI-Dienst anzugreifen, kann sie den Lernprozess neuer KI-Modelle tatsächlich beeinträchtigen. Andererseits können dieselben Änderungen zum Schutz des geistigen Eigentums gegen die unrechtmäßige Verwendung von im Internet veröffentlichten digitalen Bildern verwendet werden.
Ein weiterer ähnlicher Cyberangriff, der auf KI abzielt, ist ein gegnerischer Angriff; er beruht auf Datenvergiftung durch Veränderung der Eingabedaten. Das Ziel besteht jedoch nicht darin, die KI daran zu hindern, ihr beabsichtigtes Ziel zu erreichen, sondern die Ergebnisse so zu manipulieren, dass es mehr Arbeit macht, sie zu entdecken. Ziel ist es, den Entscheidungsfindungsprozess des KI-Modells zu stören und Fehlklassifizierungen oder einfach fehlerhafte Ergebnisse zu verursachen.
Der Einsatz von KI zur Unterstützung von Standard-Cyberangriffstechniken ist ein völlig anderer Ansatz. Mit einigen fortgeschrittenen KI-Modellen könnte man die Ausgaben von Internetdiensten analysieren und möglicherweise technische Details der Dienstimplementierung ableiten. Anhand dieser Details könnte ein Chatbot gefragt werden, ob es bekannte Angriffe auf diese Technologien gibt.
Künstliche Intelligenz könnte auch als Betreiber von Kontroll- und Befehlsservern eingesetzt werden und unbeaufsichtigte Botnet-Operationen wie DDoS-Angriffe durchführen.
Schlusswort
Bei all den Bedrohungen, die im modernen Internet auf Unternehmen warten, mag es schwierig erscheinen, Ihre IT-Lösungen auf den Markt zu bringen. Wir müssen jedoch bedenken, dass nicht nur die Hacker hart daran arbeiten, neue Angriffsstrategien zu entwickeln, sondern auch die Sicherheitsspezialisten daran arbeiten, immer bessere Wege zu finden, um die Bedrohungen abzuwehren.
Oft kann es notwendig sein, das Sicherheitsteam des Unternehmens einzubinden, was auf lange Sicht immer von Vorteil ist. Es ist aber auch wichtig zu wissen, dass zahlreiche Sicherheitsdienstleister wie Azure ein breites Spektrum an Sicherheitsmaßnahmen anbieten, die ein Unternehmen umsetzen muss.