Was ist Identitätssegmentierung?
Identitäten (d. h. Benutzer: menschliche Konten, Service Accounts, privilegierte Konten) sind eine der wichtigsten Säulen des Zero-Trust-Sicherheitsrahmens. Da bei mehr als 80 % aller Angriffe Anmeldedaten missbraucht werden, sollte der Perimeter näher an die Benutzer – die „letzte Verteidigungslinie“ – heranrücken.
Identitätssegmentierung ist eine Methode, um den Zugriff auf Anwendungen/Ressourcen auf Basis von Identitäten einzuschränken.
Der umfassende Leitfaden zur Entwicklung einer Identitätsschutzstrategie
Machen Sie den ersten Schritt in Richtung einer resilienten Identitätssicherheitsstrategie und laden Sie den vollständigen Leitfaden zum Aufbau einer Strategie zum Identitätsschutz herunter, um die digitale Identitätslandschaft Ihrer Organisation noch heute zu schützen.
Jetzt herunterladenIdentitätssegmentierung und identitätsbasierte Segmentierung im Vergleich
Es sollte beachtet werden, dass Identitätssegmentierung von CrowdStrike anders definiert wird als von Gartner mit seiner „identitätsbasierten Segmentierung“. Die Identitätssegmentierung von CrowdStrike setzt risikobasierte Richtlinien auf der Basis von Mitarbeiteridentitäten durch und beschränkt damit den Zugriff auf Ressourcen.
Die identitätsbasierte Segmentierung von Gartner folgt hingegen dem Prinzip der Mikrosegmentierung, d. h., die Richtlinien werden anhand von „Anwendungs- bzw. Workload-Identitäten“ wie Tags und Labels durchsetzt. Sie muss während der Konfiguration mitunter manuell definiert werden und hat mit Mitarbeiteridentitäten nichts zu tun.
Identitätssegmentierung und Netzwerksegmentierung im Vergleich
Im Folgenden wird der Unterschied in der Funktionalität zwischen Netzwerksegmentierung und Identitätssegmentierung erläutert:
| Funktion | Netzwerksegmentierung | Identitätssegmentierung |
|---|---|---|
| Transparenz und Sicherheitskontrolle | Deckt Netzwerkverbindungen und -zonen ab. | Deckt Benutzeridentität, Transparenz über Angriffspfad, Authentifizierungsinfrastruktur, Verhalten und Risiko ab. |
| Richtlinien | Richtlinien werden für Workload-Identitäten, Ports und IP-Adressen angewandt, die sich mit der Ressource bzw. dem Workload verbinden. | Richtlinien werden basierend auf Verhalten, Risiko und über 100 Analysen für Identitäten angewandt. |
| Legacy-Systemschutz | Schutz für ältere Systeme ist mitunter schwierig (z. B. wenn bei einem Ransomware-Angriff laterale Bewegung durch kompromittierte Anmeldedaten erfolgt). | Schützt ältere Ressourcen und proprietäre Anwendungen durch Erweiterung risikobasierter Identitätsüberprüfung (Multifaktor-Authentifizierung). |
| Operationalisierung | Ist durch den Netzwerkumfang und den Anwendungstyp begrenzt, insbesondere bei SaaS-Anwendungen und privaten Clouds. Die Erstellung von Zonen und die Durchsetzung von Richtlinien bringen zusätzliche Komplexität mit sich. | Schützt lokale und SaaS-Anwendungen unabhängig vom Standort. |
| Integrationen | Integration von Threat Intelligence, Verhalten und weitere Integrationen sind nötig, um Zugriffskontrollen durchzusetzen. | Integrierte Threat Intelligence, Bedrohungserkennung und Abwehr in Echtzeit werden von der CrowdStrike® Security Cloud für alle automatisch klassifizierten Mitarbeiteridentitäten unterstützt, ob im lokalen Active Directory (AD) oder in der Cloud (Entra ID). APIs lassen sich in SSO- und Verbundlösungen wie Okta, AD FS und PingFederate sowie mehrere andere Sicherheitstools wie UEBA, SIEM, SOAR und viele andere integrieren. |
CrowdStrikes Ansatz zur Identitätssicherheit
CrowdStrike Falcon® Next-Gen Identity Security rückt den Perimeter mit Identitätssegmentierung näher an die „letzte Verteidigungslinie“ heran und bietet folgende Vorteile:
- detaillierter Überblick über mehrere Verzeichnisse und kontinuierlicher Einblick in alle Konten
- automatische Klassifizierung aller Konten: menschliche Benutzer, Service Accounts, privilegierte Konten, Konten mit kompromittierten Kennwörtern, inaktive Benutzerkonten und andere
- Identifizierung von Sicherheitslücken anhand individueller Risikowerte aus über 100 Verhaltensanalysen
- Überblick über den Angriffspfad, um Bedrohungen während verschiedener Phasen der Angriffskette (z. B. Reconnaissance, laterale Bewegung und Persistenz) zu erkennen
- Durchsetzung von Segmentierungsrichtlinien, um Zugriff auf Ressourcen anhand von Identität zu beschränken
Narendran ist Director of Product Marketing für Identity Protection und Zero Trust bei CrowdStrike. Er hat über 17 Jahre Erfahrung in der Entwicklung von Produktmarketing und GTM-Strategien bei Cybersicherheits-Startups und großen Unternehmen wie HP und SolarWinds. Zuvor war er Director of Product Marketing bei Preempt Security, das von CrowdStrike übernommen wurde. Narendran hat einen Master in Informatik von der Universität Kiel.
