Identitätsbasierte Cyberbedrohungen sind auf dem Vormarsch. Bereits im vergangenen Jahr haben sich die Bedrohungen wie Phishing, Ransomware und andere um ein Vielfaches erhöht. Diese Bedrohungen werden immer ausgefeilter, überwältigender und glaubwürdiger. Mitarbeitende sehen sich einer Flut von Pings, Klicks, Wischbewegungen, Summen, Klingeltönen, Texten und Eingaben ausgesetzt, was ihre Aufmerksamkeit und Konzentration beeinträchtigt und zu Alarmmüdigkeit und einem erhöhten Risiko führt. Doch, wie sieht eine effektive Cyberabwehr aus? In diesem Beitrag betrachten wir einen Ransomware-Angriff, der mit einem bösartigen Link in einer E-Mail begann. Anschließend erläutern wir, wie Microsoft Incident Response und Microsoft Defender for Identity gemeinsam Bedrohungen erkennen kann und darauf reagiert, um Ihr Unternehmen widerstandsfähiger gegen zukünftige Bedrohungen zu machen.
Identitätsbasierte Bedrohungen
Die Zunahme der Bedrohungen ist alarmierend: Phishing, Ransomware und ähnliche Angriffe haben sich verzehnfacht. Es ist bekannt, dass die Hälfte der Cybersicherheits-Wiederherstellungsprojekte bei Microsoft im Zusammenhang mit Ransomware steht und dass 61 % aller Sicherheitsverletzungen Anmeldeinformationen betreffen. Eine zentrale Herausforderung für Unternehmen besteht darin, dass der Mensch nach wie vor ein zentraler Risikovektor bei Social-Engineering-Identitätsangriffen ist. Mitarbeitende klicken auf Links, öffnen Anhänge und sind oft nicht in der Lage, Credential-Harvesting-Versuche zu erkennen. Zudem sind Teams, die sich auf die Reaktion auf Vorfälle konzentrieren, oft von den Teams getrennt, die Unternehmensidentitäten verwalten. Dies führt zu einer unzureichenden Koordination und erschwert die effektive Reaktion auf Bedrohungen.
Effektive Cyberabwehr: Die Rolle von Microsoft Incident Response
Bei einem Sicherheitsvorfall ist Microsoft Incident Response der erste Ansprechpartner für viele Unternehmen. Ein Klick auf einen bösartigen Link führt beispielsweise dazu, dass sich ein Gerät mit Qakbot-Malware infizieren kann – einer modularen Malware, die sich seit mehr als einem Jahrzehnt weiterentwickelt hat. Microsoft Incident Response stellt schnell Microsoft Defender for Identity bereit, eine cloudbasierte Sicherheitslösung, die hilft, identitätsbezogene Bedrohungen zu erkennen und darauf zu reagieren.
Vorteile der frühzeitigen Einbeziehung: Die frühzeitige Integration der Identitätsüberwachung in die Reaktion auf Vorfälle hilft Sicherheitsteams, die Kontrolle zurückzugewinnen. Der erste Schritt besteht darin, den Umfang des Vorfalls und der betroffenen Konten zu identifizieren. Anschließend werden Maßnahmen zum Schutz kritischer Infrastrukturen ergriffen und daran gearbeitet, den Bedrohungsakteur aus der Umgebung zu entfernen. Sobald die taktische Eindämmung abgeschlossen und die vollständige administrative Kontrolle über die Umgebung wiederhergestellt ist, arbeitet Microsoft Incident Response mit Kunden zusammen, um eine bessere Ausfallsicherheit und eine effektive Cyberabwehr aufzubauen und somit zukünftige Cyberangriffe zu verhindern.
Zusammenarbeit zwischen Microsoft Incident Response und Microsoft Defender for Identity
Nahtlose Integration der Tools: Durch die Nutzung von Microsoft Defender for Endpoint zusammen mit Defender for Identity kann Microsoft Incident Response die Bewegungen des Bedrohungsakteurs nachverfolgen und seine Versuche unterbrechen, kompromittierte Konten zu verwenden, um wieder in die Umgebung einzudringen. Die effektive Kommunikation und Koordination zwischen dem Incident-Response-Team und den betroffenen Organisationen spielt eine entscheidende Rolle bei der effektiven Cyberabwehr, die Präsenz des Cyberangreifers zu beseitigen und die Abwehr des Unternehmens gegen zukünftige Cyberangriffe zu stärken.
Best Practices für den Schutz von Benutzeridentitäten
Defense in Depth Ansatz: Der Schutz von Benutzeridentitäten kann in vielen Formen erfolgen. Mehrere kollaborative Verteidigungsebenen – oder Defense in Depth – helfen, Schutz aufzubauen, sodass keine einzelne Kontrolle die gesamte Verteidigung schultern muss. Zu diesen Ebenen gehören mehrstufige Authentifizierung, Regeln für bedingten Zugriff, Schutzrichtlinien für mobile Geräte und Endpunkte und neue Tools wie Microsoft Copilot for Security. Defense in Depth kann dazu beitragen, viele Cyberangriffe zu verhindern oder zumindest ihre Ausführung zu erschweren.
Einsatz von Honeytokens: Eine weitere Schutzebene für Benutzeridentitäten sind Köderkonten, sogenannte Honeytokens. Diese Konten werden ausdrücklich eingerichtet, um Angreifer anzulocken und ihre Aufmerksamkeit von echten Zielen abzulenken. Sie bieten Sicherheitsteams eine einzigartige Gelegenheit, versuchte Identitätsangriffe zu erkennen, abzuwehren oder zu untersuchen. Die besten Honeytokens sind bestehende Konten mit Historien, die helfen, ihre wahre Natur zu verbergen. Sie können auch eine großartige Möglichkeit sein, laufende Angriffe zu überwachen und herauszufinden, woher Angreifer kommen und wo sie sich möglicherweise im Netzwerk befinden.
Gemeinsame Verteidigung für mehr Resilienz
Proaktive und reaktive Dienste: Microsoft Incident Response bietet sowohl proaktive als auch reaktive Incident-Response-Dienste. Diese umfassen Unterstützung vor, während und nach einem Cybersicherheitsvorfall. Die Zusammenarbeit mit Tools wie Defender for Identity, Defender for Endpoint und jetzt auch Copilot for Security hilft dabei, identitätsbasierte Angriffe abzuwehren, eine effektive Cyberabwehr zu gestalten und bessere Ergebnisse für die Kunden zu erzielen.
Darum brauchen auch Sie Security Operation Analysten und Cloud Security Experten
Security Operation Analysten:
Sie überwachen kontinuierlich Netzwerke und Systeme auf Anzeichen von Angriffen. Dabei werden Tools wie Microsoft Defender for Identity und Defender for Endpoint zur Erkennung verdächtiger Aktivitäten genutzt. Security Operation Analysten entwickeln und implementieren Reaktionsstrategien, um Bedrohungen schnell einzudämmen. Dabei wird eng mit Microsoft Incident Response zusammengearbeitet, um die Kontrolle über Vorfälle zu behalten und die Auswirkungen zu minimieren. Eine weitere wichtige Aufgabe ist die Risikominderung. Lassen Sie die Ursachen von Vorfällen analysieren und präventive Maßnahmen entwickeln.
Cloud Security Experten:
Entwickeln Sie Sicherheitsrichtlinien und -strategien für Cloud-Umgebungen, dank den Cloud Security Experten. Nutzen Sie die Integration von Microsoft Defender for Identity, um den Schutz von Identitäten in der Cloud zu gewährleisten. Lassen Sie fortschrittliche Sicherheitslösungen wie Microsoft Copilot for Security implementieren, um Bedrohungen in der Cloud zu identifizieren und abzuwehren. Die Experten können kontinuierlich die Sicherheitsmaßnahmen bewerten und verbessern, um mit der sich entwickelnden Bedrohungslandschaft Schritt zu halten.
Fazit
Die Zusammenarbeit zwischen Microsoft Incident Response und Microsoft Defender for Identity ermöglicht eine effiziente Erkennung und Reaktion auf Cyberbedrohungen. Diese Zusammenarbeit trägt dazu bei, die Kontrolle über Sicherheitsvorfälle zu behalten und die Resilienz gegenüber zukünftigen Bedrohungen zu erhöhen.
Wenn Sie herausfinden möchten, wie diese Lösungen auf Ihre Bedürfnisse zugeschnitten werden können, holen Sie sich unsere Security Operation Analyst oder Cloud Security Experte ins Haus und arbeiten gemeinsam daran, Ihre Sicherheitsinfrastruktur zu stärken und Ihre Organisation besser gegen Cyberbedrohungen zu schützen.
Jetzt unsere Experten (m/w/d) kennenlernen
Views: 95