In einem früheren Blogbeitrag über Okta Identity Security Posture Management haben wir die Herausforderungen und potenziellen Lösungen erörtert, mit denen Unternehmen bei der lokalen Kontoverwaltung und -sicherheit konfrontiert sind. Heute werden wir uns ein Beispiel für eine Lösung für Sicherheitsteams ansehen, unabhängig von der Anwendung, die lokale Benutzer erstellt.
Wir erklären Ihnen einen Prozess, der auf zwei Schritten basiert:
- Okta Identity Security Posture Management erkennt lokale Konten, korreliert ihre Risiken und priorisiert die Behebung der wichtigsten.
- Okta Workflows ermöglicht die automatische Behebung von Problemen mit flexiblen, vorgefertigten Vorlagen und Konnektoren.
Priorisierung ist das A und O
Sicherheitsteams sind täglich mit Tausenden von Warnmeldungen aus verschiedenen Tools überlastet. IT-Teams laufen Gefahr, von Tickets überschwemmt zu werden, die durch sicherheitsbedingte Fehlkonfigurationen geöffnet werden, die sie beheben müssen.
Warnmeldungen unterscheiden sich in Bezug auf die Auswirkungen, die Umsetzbarkeit und das mit ihrer Behebung verbundene geschäftliche Reibungsrisiko. Allzu oft müssen Sicherheitsteams auf manuelle Prozesse zurückgreifen, was bedeutet, dass sie zu spät reagieren und Angreifer eindringen können, bevor das Risiko beseitigt ist.
Darüber hinaus reduziert ein Mangel an Fachwissen und Berechtigungen, die zur Untersuchung und Behebung von Problemen in nachgelagerten Apps erforderlich sind, die Produktivität noch weiter und führt zu Zeit- und Ressourcenverschwendung. Aus diesem Grund müssen Sicherheitsteams in die Lage versetzt werden, von allen erkannten Problemen effektiv zu priorisieren und zuerst die kritischsten und umsetzbarsten Schwachstellen anzugehen.
Praktisches Beispiel
Nehmen wir ein reales, häufiges Beispiel namens „Entra ID local unused, no multi-factor, old password admin“. Von allen lokalen Konten sind ungenutzte privilegierte Benutzerkonten ohne Multi-Faktor-Authentifizierung (MFA) und alte Passwörter die am besten umsetzbaren, bergen höhere Risiken und machen Ihr Unternehmen am wahrscheinlichsten anfällig.
Warum? Betrachten wir diese einmal genauer.
- Am wichtigsten: Nicht verwendete Konten können mit minimalen Auswirkungen auf den Geschäftsbetrieb deaktiviert werden.
- Höchstes Risiko: Privilegierte Konten mit Administratorberechtigungen können erheblichen Schaden anrichten und sind sehr anfällig für Ausnutzung.
- Am anfälligsten: Konten ohne MFA und mit alten Passwörtern stellen klare Angriffspfade für Bedrohungsakteure dar.
Wie man das Problem behebt, ist ziemlich einfach, mit zwei verfügbaren Alternativen.
- Konzentrieren Sie sich auf den riskanten Benutzer und reduzieren Sie das Risiko, indem Sie das lokale Konto sofort deaktivieren, die privilegierten Berechtigungen entfernen und das Kennwort zurücksetzen.
- Verwenden Sie einen systematischeren Ansatz, indem Sie eine Access-Review-Kampagne erstellen (um zu prüfen, ob der Zugriff wiederhergestellt werden soll), oder ersetzen Sie das lokale Konto durch ein Okta Federated User-Konto und erzwingen Sie MFA (Multi-Faktor-Authentifizierung).
Sehen wir uns nun an, wie ein solcher Ansatz mithilfe der Okta-Plattform in einer fiktiven Fallstudie implementiert werden kann.
Exemplarische Vorgehensweise: Erkennung und automatische Behebung mit Okta Identity Security Posture Management und Workflows
Fiktive Fallstudie: ACME Corp
Ali, ein Mitarbeiter von ACME Corp, hat ein lokales Konto in Microsoft Entra ID mit der Rolle des Anwendungsadministrators erstellt. Nach dem Übergang in eine neue Rolle vor drei Monaten blieb ihr Konto ungenutzt und anfällig:
- Single Sign-On nicht erzwungen: Alis Konto erlaubte die Anmeldung mit Benutzername und Passwort, anstatt passwortlose Methoden wie FastPass zu verwenden.
- Fehlende zentrale Sicherheitsrichtlinien: Für ihr Konto war keine MFA erforderlich.
- Veraltete Anmeldeinformationen: Das Passwort wurde seit Monaten nicht mehr aktualisiert.
- Privilegierter Zugriff: Alis Administratorberechtigungen ermöglichten es ihr, Anwendungen mit Zugriff auf sensible Benutzerdaten zu erstellen.
Dieser Kontext ist aus Sicht der Identity Security alles andere als ideal.
Die Perspektive des Angreifers
Ein potenzieller Angreifer könnte Alis lokales Konto ausnutzen, indem er dessen Administratorberechtigungen verwendet, um bösartige Anwendungen zu erstellen, auf sensible Daten zuzugreifen oder andere Benutzerkonten zu kompromittieren, was die Sicherheit des Unternehmens erheblich gefährden würde.
Stärkung der Identity-Security-Haltung von ACME
Das Sicherheitsteam von ACME implementiert Okta Identity Security Posture Management. Die Integration mit Microsoft Entra ID ermöglicht kontinuierliche Aktualisierungen des Identity Inventars, einschließlich Ali’s lokalem Benutzerkonto (ali.lesch@acme.onmicrosoft.com). Das Team hat außerdem Okta Identity Security Posture Management und die Okta Core-Plattform so konfiguriert, dass sie über Workflows mithilfe von Webhooks verbunden werden.
Die Lösung korreliert Alis Zugriff, Berechtigungen und Sicherheitsstatus und bestätigt:
- Dieses Konto ist lokal und gehört Ali.
- Das Konto wird nicht verwendet.
- MFA ist nicht eingerichtet.
- Das Passwort ist veraltet und erscheint in Listen mit durchgesickerten Passwörtern.
- Das Konto besitzt Administratorrechte.
Bei Erkennung wird eine Warnung mit dem Titel "Unused, No MFA, Old Password Admin" ausgelöst.
- Ein Ereignis-Hook mit der Bezeichnung "Local Users Remediation" aktiviert einen automatisierten Workflow: Der Workflow deaktiviert automatisch Alis lokales Konto in Entra ID.
- Das Problem wird anschließend behoben, wodurch potenzielle Risiken gemindert werden.
Dieses einfache Beispiel demonstriert die Fähigkeit von Okta Identity Security Posture Management, Benutzer mit hohem Risiko aufzudecken und die Behebung zu priorisieren. Es zeigt auch den handlungsrelevanten Aspekt der Lösung und ihre tiefe Integration in die Okta-Plattform. Beachten Sie, dass die automatisierte Behebung nicht auf Okta-Anwendungen beschränkt ist. Unsere Kunden können sich über Webhooks in ihre eigenen Lösungen integrieren.
Größeres Bild: Okta Secure Identity Commitment
Durch den Einsatz von Okta Identity Security Posture Management zur Erkennung und Korrelation von Risiken in Kombination mit Okta Workflows zur automatisierten Behebung können Sicherheitsteams Risiken effektiv und unmittelbar reduzieren.
Okta Identity Security Posture Management ist Teil des Okta Secure Identity Commitment – Oktas langfristiger Plan, den Kampf gegen Identitätsangriffe anzuführen. Wir rüsten Kunden mit den Produkten und Dienstleistungen aus, die sie benötigen, um Identitäten in der sich ständig verändernden Bedrohungslandschaft von heute zu sichern.
Wir sind hier, um Ihnen zu helfen. Wenden Sie sich bitte an Ihren Produktmanager, um zu erfahren, wie sich Okta Identity Security Posture Management auf Ihre F higkeit auswirken kann, Ihre Identity-Sicherheitslage zu verwalten und Ihr Risiko, verletzt zu werden, zu reduzieren.
