Phishing, svage adgangskoder og stjålne identiteter er blandt de mest populære angrebsvektorer i forbindelse med databrud i dag.
Derfor har beskyttelse af brugernes identiteter og legitimationsoplysninger heller aldrig været vigtigere.
Ifølge IBM’s Cost of a Data Breach Report 2022 er kompromitterede legitimationsoplysninger ansvarlige for næsten hver femte (19 pct.) databrud, som hver især koster de større virksomheder et sted mellem 30 og 643 millioner kroner. Verizons 2022 Data Breach Investigations Report viser også, at de vigtigste datatyper, der kompromitteres ved et phishingangreb, er legitimationsoplysninger og personoplysninger.
Historisk set har identitetssikkerhed blot været en eftertanke. Man har nemlig tidligere fokuseret på at beskytte netværksperimeteren med en slags “slot og voldgrav”-tilgang. Denne tilgang var en god idé, dengang virksomhedens ressourcer kun fandtes indenfor virksomhedens netværk. Men i en verden, der er drevet af transformerede, cloud-orienterede it-miljøer, er identitetssikkerhed blevet langt mere alvorlig.
Mange ressourcer er i dag i skyen, hvor virksomheder bruger webbaserede applikationer, cloudservere, digitale fillagringssystemer m.m. Så desværre er den gamle “slot og voldgravs”-tankegang ikke længere nok i den opkoblede verden.
Identitetssikkerhedsstrategier og ’identitetstrekanten’
Guido Grillenmeier, Principal Technologist EMEA, Semperis
Heldigvis er mange virksomheder opmærksomme på truslerne omkring identitetssikkerhed og erkender, at der er et behov for at tilpasse, udvikle og modernisere sikkerhedspraksis.
I 2025 anslår Gartner, at mere end 40 pct. af alle organisationer vil bruge analyser og indsigt i identitetsstyring og administration (IGA) til at reducere sikkerhedsrisici på tværs af deres identitets- og adgangsstyring (IAM). Desuden forudser de, at syv ud af ti nye løsninger til adgangsstyring, governance, administration og privilegeret adgang vil være på konvergerede IAM-platforme.
Det er faktisk særlig interessant, da identitetssikkerhedsstrategier typisk er bygget op som en trekant af:
1) En identitetsstyring og -administrationspolitik (IGA), som skal reducere identitetsrelaterede risici ved at automatisere oprettelse, forvaltning og certificering af netværksbrugere og -konti, samt deres specifikke roller og adgangsrettigheder. Hermed strømlines brugertildeling, adgangskodeadministration og adgangsstyring, hvilket øger brugervenlighed og sikkerhed.
2) En privilegeret adgangsstyring (PAM-løsning) overvåger, opdager og forhindrer uautoriseret privilegeret adgang til forretningskritiske ressourcer. Ved at kombinere individuel ekspertise med dedikerede processer og teknologi kan en virksomhed se præcis, hvad hver enkelt bruger laver, mens de er logget ind, og begrænse antallet af brugere, der har adgang til administrative funktioner.
3) En single sign-on- (SSO) eller multifaktor-autentificeringsløsning (MFA), der sikrer, at en specifik IAM-opsætning er sikker. SSO prioriterer typisk bekvemmelighed i forbindelse med brugerlogins, mens MFA fokuserer på brugersikkerhed.
Et lille hul kan sænke et helt skib
Mange tror, at hvis de har dækket disse tre vigtige områder, så har de en sund, sikker og robust strategi for identitetssikkerhed. Det er dog ikke altid tilfældet.
I virkeligheden er næsten al identitetssikkerhed knyttet til Microsoft Active Directory (AD), som er det primære identitetslager, der anvendes af de fleste virksomheder. AD, der sidder i midten af identitetstrekanten, danner grundlaget for identitetstillid. Hvis AD ikke er sikkert, er de tre sider af trekanten heller ikke.
AD er et gammelt værktøj, der blev bygget for 20 år siden med bekvemmelighed, effektivitet og operationel lethed for øje. Desværre er AD ikke bygget til at kunne modstå de sofistikerede cyberangreb, vi ser i dag. I sin tid blev det designet, så det var en enkel og nem måde at administrere og overvåge et stort antal brugere på, så de kunne få adgang til de forskellige ressourcer, når de ville. Men netop derfor er AD også et utroligt attraktivt mål for cyberkriminelle. AD bliver altså alt for ofte overset og er en sårbarhed, der kun venter på at blive udnyttet.
Det største problem er ganske enkelt mangel på bevidsthed. Selv organisationer, der flytter til skyen, er ikke fritaget for AD-sårbarheder. Ni ud af ti gange trækker Azure Active Directory (Azure AD) tilladelser fra on-prem AD, som de fleste organisationer fortsat bruger som deres centrale kilde. Det betyder, at cyberkriminelle kan bruge AD til at bryde ind i Azure AD – og omvendt.
Fire trin til bedre beskyttelse af AD
Mange organisationer forstår identitetstruslen, men ikke hvordan den er forbundet med AD. Derfor ender mange med fejlagtigt at tro, at de har styr på identitetssikkerhed. Implementering af løsninger til opretholdelse af centrale sikkerhedsstrategier, som f.eks. zero trust, bliver en næsten nyttesløs indsats, hvis en trusselsaktør, der har brudt AD, blot kan logge ind på en enhed, som de ønsker at kompromittere.
Da al identitet er forbundet med AD, er det absolut nødvendigt at forbedre cyberrobusthed og synlighed. Her er fire enkle trin:
Trin 1: Analyse af AD’s nuværende sikkerhedstilstand: Er der indikatorer for eksponering eller kompromittering? Brug gerne værktøjet Purple Knight. Her kan du se, hvor moden jeres AD-sikkerhed er, og om der f.eks. er fejlkonfigurationer, der kan udsætte AD for angreb eller tegn på, at trusselsaktører måske allerede har kompromitteret miljøet.
Trin 2: Etabler testbare AD-backup-processer – Ofte tages der daglige eller ugentlige backup af AD, men det fører bare til to store problemer; For det første sker der potentielt titusindvis af ændringer på et netværk hver dag, og de går ofte tabt ved en sikkerhedskompromittering. For det andet tester virksomhederne sjældent deres backup-processer og er ikke i stand til at aktivere dem, hvis krisen opstår. Genoprettelse fra systemstatus eller almindelige backups genindfører bare malware på ny. I stedet bør man etablere AD-specifikke sikkerhedskopier i realtid, der muliggør en ren gendannelse.
Trin 3: Overvågning af AD-konfigurationerne kan hjælpe dig til at forstå, hvordan eksponeringer og risikoniveauer ændrer sig over tid. Kontinuerlig overvågning hjælper en organisationen med at opretholde en stærk sikkerhedstilstand.
Trin 4: Test, men ikke på din live produktions-AD – Ligesom du ikke ville udføre tests på en live produktionsapplikation, skal du heller ikke udføre én på din live AD. Etablér i stedet separate spejlede AD-miljøer til test, så I kan undgå unødvendig nedetid.
AD-sikkerhed er kritisk for identitetsbeskyttelse. Skal I modernisere jeres it, så start altid med AD. Det er måske ikke nyt eller sejt, men AD er en grundlæggende kerneapplikation. Hvis AD ikke fungerer, er der intet, der kan fungere.
Af Guido Grillenmeier, Principal Technologist EMEA, Semperis
