Das Problem: Verlust von Sicherheitsvertrauen
Der Verlust von Sicherheitsvertrauen ist ein Sicherheitsrisiko, das im Laufe einer aktiven Benutzer-Session zunimmt – selbst nach einer erfolgreichen, sicheren Anmeldung. Herkömmliche Sicherheitsmodelle bieten wirksamen Schutz an der digitalen Eingangstür. Über das, was dahinter passiert, bieten sie jedoch keine Transparenz. Ausgestellte gültige Session-Token werden so zu einem wertvollen Ziel für Angreifende.
Hochentwickelte Bedrohungen wie Session Hijacking-Angriffe können die Authentifizierung vollständig umgehen, wodurch schädliche Aktivitäten, die Minuten oder Stunden nach einer legitimen Anmeldung auftreten, nicht erkannt werden. Über 80 % aller Data Breaches werden durch Identity-bezogene Angriffe verursacht. Wir wussten, dass wir diese zunehmende Flut von Bedrohungen nach der Authentifizierung keinesfalls ignorieren konnten.
Diese Erkenntnis war der Auslöser für die Weiterentwicklung der Okta-Sicherheit. Wir hatten erkannt, dass wir unsere Verpflichtung für sicheres Identity-Management – eine Grundsäule unserer Sicherheitsstrategie – auch auf Bereiche nach der Anmeldung ausweiten müssen. Daher haben wir nach einer Lösung gesucht, die nicht nur zum Zeitpunkt des Zugriffs Richtlinien durchsetzen, sondern im gesamten Verlauf jeder Benutzer-Session kontinuierliches Vertrauen gewährleisten kann. Okta Identity Threat Protection mit Okta AI, einem wichtigen Bestandteil von Okta Secure Identity Commitment, erfüllt nun diese Anforderung.
Die Lösung: Okta Identity Threat Protection
Okta Identity Threat Protection ist die perfekte Ergänzung für unsere Sicherheitsstrategie. Die Lösung bietet einen zentralen Überblick über Risiken und ermöglicht eine kontinuierliche Analyse und Abwehr von Bedrohungen in Echtzeit – während und nach der Anmeldung. Durch die native Integration in die Okta Identity Cloud bietet sie die einzigartige Möglichkeit, Benutzerverhalten am wichtigsten Kontrollpunkt zu überwachen: der Identität.
Dank der Kernfunktionen des Produkts konnten wir das Problem des Verlusts von Sicherheitsvertrauen erfolgreich lösen. Drei Funktionen haben bei unserer Entscheidung eine besonders wichtige Rolle gespielt:
- Kontinuierliche Kontextbewertung: Diese Funktion basiert auf dem Grundsatz, dass Vertrauen kein statischer Zustand ist. Sie bewertet daher während einer aktiven Sitzung fortlaufend Risiken und Benutzerkontext. Die Funktion geht somit weit über eine einfache Überprüfung bei der Anmeldung hinaus. Sie überwacht Änderungen in Netzwerkzonen, im Gerätekontext und im Benutzerverhalten in Echtzeit – selbst wenn Benutzende nicht aktiv mit Okta interagieren. Um dies zu ermöglichen, ist eine korrekte Konfiguration von Netzwerkzonen sowie Session- und Authentifizierungsrichtlinien entscheidend.
- Überwachung von Entity-Risiken: Das Entity-Risiko ist die Risikostufe eines Benutzenden über alle Geräte, Sitzungen und Anwendungen hinweg. Die Entity-Risiko-Richtlinie überwacht Änderungen des Benutzerrisikos im Zusammenhang mit Identity-basierten Bedrohungen wie Session Hijacking, Brute-Force-Angriffen und Anmeldungen von IP-Adressen mit hohem Risiko. In der Entity-Risiko-Richtlinie können bestimmte Aktionen festgelegt werden, die ausgeführt werden sollen, wenn das Benutzerrisiko auf eine mittlere oder hohe Stufe steigt.
- Gezielte Risikoabwehr: Hierbei handelt es sich um eine Universal Logout-Einstellung, mit der eine aktive Benutzer-Session für alle unterstützten Anwendungen zur Abwehr von Identity-basierten Bedrohungen beendet werden kann. Diese Funktion stellt sicher, dass der Benutzer-Account bei auftretenden Bedrohungen deaktiviert wird, z. B. wenn Angreifer Benutzer-Sessions kapern, Mitarbeitende gekündigt werden, sich die Risikostufe von Benutzenden ändert, Geräte verloren gehen, Insider-Bedrohungen auftreten oder Anmeldedaten kompromittiert werden.
Zusammen gewährleisten diese Funktionen stets aktiven Schutz, der Benutzer-Sessions vor hochentwickelten Angriffen nach der Authentifizierung schützt, sodass wir unser Versprechen für sicheres Identity-Management einhalten können.
Die Einführung von Okta Identity Threat Protection war ein strategischer Prozess in mehreren Schritten, bei dem wir systematisch von einer reinen Überwachungs- und Beobachtungsphase zu einer proaktiven Durchsetzungsphase übergegangen sind. Durch das schrittweise Vorgehen konnten wir Vertrauen in die Fähigkeiten des Produkts aufbauen und dessen Reaktionen an unsere spezifische Umgebung anpassen.
Phase 1: Erste Schritte und grundlegende Konfiguration
Zu Beginn der Sicherheitsoptimierungen haben wir unsere Umgebung auf den dynamischen Schutz vorbereitet, den Identity Threat Protection bereitstellt. Dies umfasste eine gründliche Überprüfung unserer grundlegenden Sicherheitskonfiguration, darunter Netzwerkzonen, globale Sessions und Authentifizierungsrichtlinien. Damit wollten wir sicherstellen, dass diese Kontrollen robust genug sind, um die für Identity Threat Protection erforderliche Echtzeit-Datenerfassung und Richtlinienbewertung unterstützen zu können.
Zu den grundlegenden Sicherheitsmaßnahmen gehörten unter anderem die Implementierung eines verpflichtenden VPNs für alle Mitarbeitenden sowie die Bereitstellung verwalteter Gerätekonfigurationen für macOS-, Windows-, iOS- und Android-Geräte. Zudem erfolgte ein Rollout von Okta FastPass als primärer, Phishing-resistenter Authentifizierungsfaktor. Dank der Integration von Trust-Signalen aus unserer EDR-Lösung (Endpoint Detection and Response) sind unsere Anmeldeprozesse jetzt deutlich sicherer und werden kontinuierlich auf Risiken hin überprüft.
Phase 2: Beobachtung und Planung
Nachdem wir die grundlegenden Sicherheitskontrollen eingerichtet hatten, wollten wir zunächst beobachten und lernen, bevor wir mit der Durchsetzung begannen. Dazu wurde Identity Threat Protection in einem reinen Überwachungsmodus bereitgestellt und so konfiguriert, dass die Lösung Signale von Benutzer-Sessions erfasst und analysiert, ohne automatisierte Maßnahmen zu ergreifen. Dadurch konnten wir Ereignisse von Risikoerkennungen in unserem Unternehmen identifizieren und verstehen, welchen Arten von Bedrohungen unsere Benutzenden nach der Authentifizierung ausgesetzt waren. Im Systemprotokoll und im Admin-Dashboard konnten wir sehen, wenn sich eine IP-Adresse während einer Session änderte oder wenn sich der Gerätestatus eines Benutzenden verschlechterte.
Phase 3: Durchsetzung
Nachdem wir uns ein klares Bild von den Bedrohungen gemacht hatten und überzeugt waren, dass das System diese erkennen kann, gingen wir zur Durchsetzungsphase und der Einrichtung von Maßnahmen über. Für Bedrohungen mit hohem Risiko richteten wir die wirksamste automatisierte Reaktionsmaßnahme ein: Universal Logout. Wir identifizierten mehrere wichtige Anwendungen mit hohem Risiko, die Universal Logout unterstützen, und implementierten die Richtlinie für diese Anwendungen.
Wenn Identity Threat Protection eine bestätigte Bedrohung erkennt (z. B. einen Session-Replay-Angriff), beendet das System automatisch alle Sitzungen des Benutzenden auf allen verbundenen Geräten und unterstützten Anwendungen. Dies war ein großer Durchbruch, da somit die manuelle und zeitaufwändige Reaktion auf eine potenzielle Sicherheitsverletzung entfiel.
Das schrittweise, datenbasierte Vorgehen von der Überwachung zur Durchsetzung gewährleistet einen reibungslosen Wechsel und steigert den Mehrwert von Identity Threat Protection.
Unsere Erkenntnisse
Aus unseren Erfahrungen haben wir wichtige technische und kommunikative Erkenntnisse für den Einsatz von Okta Identity Threat Protection gewonnen.
Technische Empfehlungen
- Benutzerdefinierte Rollen zur Verwaltung von Identity Threat Protection: Erstellen Sie eine dedizierte, benutzerdefinierte Rolle zur Verwaltung von Identity Threat Protection für Ihr Security-Team. Dadurch verfügt das Team über die spezifischen Berechtigungen, die zur Verwaltung von Identity Threat Protection erforderlich sind, ohne dass unnötiger Zugriff auf andere administrative Okta-Funktionen gewährt wird.
- Automatisierte Reaktion auf Ereignisse mit hohem Risiko: Erstellen Sie eine Richtlinie, die die sofortige Abmeldung von Benutzenden erzwingt, sobald der Entity-Risiko-Score die Stufe „Hoch“ erreicht. Dies ist wichtig, um potenzielle Bedrohungen einzudämmen. Protokollierung und Untersuchung von Ereignissen mit mittlerem Risiko: Wenn der Entity-Risiko-Score die Stufe „Mittel“ erreicht, sollten die entsprechenden Ereignisse sorgfältig protokolliert werden, damit Ihr Security-Team sie untersuchen kann. Auch wenn die Ereignisse kein sofortiges Lockout erfordern, können sie dennoch Vorboten für gravierendere Angriffe sein.
- Entity-Risiko-Berichte nutzen: Der Entity-Risiko-Bericht ist ein unverzichtbares Tool für Okta- und Identity Threat Protection-Administratoren. Nur durch das regelmäßige Lesen dieses Berichts können sie den Überblick über die allgemeine Sicherheitslage des Unternehmens behalten und neue Bedrohungen identifizieren.
Kommunikation mit Verantwortlichen
Proaktive Kommunikation: Die effektive Kommunikation mit internen Verantwortlichen ist vor und während des Einsatzes von Identity Threat Protection entscheidend. Wer aktiv kommuniziert, beugt Unklarheiten vor und stellt sicher, dass die verschiedenen Abteilungen verstehen, warum bestimmte Maßnahmen wie automatisierte Logouts ergriffen werden.
Das Ergebnis: Realisierung von geschäftlichem Mehrwert
Durch die Implementierung von Okta Identity Threat Protection konnten wir die Sicherheitslücke schließen, die durch den Verlust von Sicherheitsvertrauen entsteht, und einen deutlichen, messbaren geschäftlichen Mehrwert erzielen. Unsere Sicherheitslage ist nun proaktiv und umfassend ausgerichtet, sodass sie auch über die erste Authentifizierung hinaus Schutz bietet.
Die perfekte Ergänzung: Identity Security Posture Management und Okta Identity Threat Protection
Wir arbeiten kontinuierlich daran, unsere Sicherheitsinfrastruktur zu verbessern, um unser Unternehmen und Benutzende noch umfassender zu schützen. Ein wichtiger Bestandteil ist dabei eine solide IAM-Strategie (Identity and Access Management). Sicherheit bedeutet für uns nicht nur, auf Bedrohungen zu reagieren, sondern vor allem, proaktive, starke Abwehrmaßnahmen zu ergreifen.
Aus diesem Grund arbeiten wir an der Einführung von Okta Identity Security Posture Management. Dieser Schritt ist ein bedeutender Meilenstein auf unserem Weg zu umfassender Sicherheit. Okta Identity Security Posture Management arbeitet Hand in Hand mit der Lösung Okta Identity Threat Protection, die wir bereits einsetzen.
Identity Threat Protection wurde entwickelt, um Identity-basierte Bedrohungen in Echtzeit zu erkennen und abzuwehren. Identity Security Posture Management ist hingegen darauf ausgelegt, den Bedingungen entgegenzuwirken, die solche Angriffe überhaupt erst ermöglichen.
Erweiterte Compliance-Prüfungen: Phishing-Erkennung mit FastPass
Um die proaktive Abwehr von Phishing-Angriffen zu verbessern, planen wir die Einführung einer neuen Erkennungsfunktion für Identity Threat Protection. Diese erkennt verdächtige Anmeldeversuche von IP-Adressen, die in früheren Phishing-Kampagnen erfasst wurden. Das Security-Team wird die Funktion demnächst evaluieren und einführen, um unsere Identity-Sicherheitslage zu stärken.
Möchten Sie Oktas Erfolgsrezept für Ihr Unternehmen nutzen? Lesen Sie den Einrichtungsleitfaden für Okta Identity Threat Protection.
