Als Rubrik und CrowdStrike auf dem diesjährigen Cyber Resilience Summit (CRS) die virtuelle Bühne betraten, drehte sich das Gespräch nicht um den neuesten Bedrohungsvektor oder die spektakulärste Angriffstechnik. Es ging um etwas viel Grundlegenderes: Identität. Warum ist Active Directory selbst im Zeitalter von KI-Agenten und cloudnativen Lösungen immer noch eine der größten Angriffsflächen in Ihrer Umgebung?
Die Session „Flag It, Fix It: Closing the Loop on Identity Attacks with Rubrik & CrowdStrike“ brachte eine Wahrheit ans Licht, die Sicherheitsteams zwar aus eigener Erfahrung kennen, aber selten laut aussprechen: Das Erkennen einer Bedrohung und die Bewältigung ihrer Folgen (einschließlich der Beseitigung) sind zwei völlig unterschiedliche Probleme. Und viel zu lange haben die Unternehmen nur eines davon gelöst.
Warum Identitäten die am häufigsten ausgenutzte Angriffsfläche in Ihrer Umgebung sind
Diese Zahl sollte Sie beim Scrollen stoppen lassen: 90 % der IT- und Sicherheitsverantwortlichen sind sich einig, dass identitätsbasierte Angriffe zu den größten Cyber-Bedrohungen gehören. Und bei rund 52 % der Angriffe handelt es sich um Erstzugriffe, für die im Dark Web Anmeldedaten und Identitäten schon für wenige Dollar angeboten werden.
Die Ironie dabei ist: Die meisten dieser Offenlegungen sind nicht auf ausgeklügelte Zero-Day-Exploits zurückzuführen, sondern auf Fehlkonfigurationen. Auf Accounts mit zu großzügigen Berechtigungen, die seit der Beförderung irgendeiner Person vor ein paar Jahren nicht mehr überprüft wurden. Auf eine fehlende Multifaktor-Authentifizierung (MFA) bei Accounts, die nicht ungeschützt sein sollten. Aber auch auf MFA-Ermüdung – diese Technik, bei der ein Angreifer einen Benutzer mit Push-Benachrichtigungen bombardiert, bis dieser nachgibt und eine davon akzeptiert, ist erschreckend effektiv.
Und gerade jetzt, wo Unternehmen mit dieser grundlegenden Sicherheitslücke zu kämpfen haben, verschärft das Zeitalter von Agentic AI das Problem noch zusätzlich. Jeder KI-Agent, der einem Team helfen soll, schneller voranzukommen, ist eine eigene Identität mit eigenem Zugang, eigenem Aktionsradius und eigenem Exploit-Potenzial. Der Perimeter dehnt sich nicht nur aus. Er verschwimmt.
Angriffstechniken, die erschreckend häufig vorkommen und eine verheerende Wirkung haben
Was diese Session auf dem CRS so besonders machte, war nicht die Problemstellung. Das Thema Identität war für die Sicherheitsexperten nichts Neues. Das Besondere war die Demonstration eines geschlossenen Kreislaufs zur Reaktion auf Angriffe in der Praxis.
CrowdStrike liefert den Alarm. Wenn die Falcon-Plattform verdächtige Domain-Replikationen, Verhaltensabweichungen oder ungewöhnliche Aktivitäten im Zusammenhang mit einem Dienst-Account feststellt – etwa einen svc_sql-Account, der plötzlich zur Gruppe der Enterprise Admins gehört –, landet diese Entdeckung nicht einfach in einer Warteschlange. Sie wird zusammen mit dem vollständigen zeitlichen Verlauf des Angriffs an Rubrik weitergeleitet.
An dieser Stelle wird es interessant. Wenn ein Sicherheitsteam feststellt, dass eine Identität kompromittiert wurde, sieht der Wiederherstellungsprozess in der Regel so aus, dass es sich durch das SIEM-System wühlen muss, um jede einzelne Aktion des Angreifers manuell zu identifizieren, diese Aktionen mit dem bekannten Ablauf des Angriffs abzugleichen und sie dann mühsam einzeln zu analysieren. Dieser Prozess ist langsam, fehleranfällig und genau die Art von Arbeit, die einen zweistündigen Vorfall zu einer zweitägigen Tortur werden lässt.
Rubrik reduziert diesen manuellen Aufwand erheblich, indem es den zeitlichen Ablauf des Angriffs direkt aus der CrowdStrike-Warnmeldung übernimmt und jede Aktion der kompromittierten Identität entsprechend zuordnet. Es ist keine manuelle Suche erforderlich. Und auch kein mühsames Herumpuzzeln mit fragmentierten Protokollen. Sie erhalten eine klare Übersicht über die Vorgänge, wählen die Änderungen aus, die Sie rückgängig machen möchten, und klicken auf „Rückgängig machen“. Den Rest erledigt Rubrik.
Warum die Wiederherstellung aus Backups nicht dasselbe ist wie die endgültige Beseitigung eines Angreifers
Es lohnt sich, genau zu definieren, was eine vollständige Wiederherstellung bedeutet. Wenn ein Identitätssystem kompromittiert wird, neigt man instinktiv dazu, sich auf Backups und die Wiederherstellung zu konzentrieren. Doch damit wird das tatsächliche Ausmaß des Vorfalls unterschätzt und der gefährlichste Aspekt eines jeden Identitätsangriffs übersehen: die Persistenz des Angreifers.
Die Angreifer brechen nicht einfach nur ein. Sie betten sich ein. Sie erstellen Backdoor-Accounts, ändern Gruppenmitgliedschaften, passen Berechtigungen an und schaffen sich Einfallstore, die so konzipiert sind, dass sie eine einfache Wiederherstellung überstehen. Bei einer herkömmlichen Wiederherstellung wird Ihre Umgebung auf einen bestimmten Zeitpunkt zurückgesetzt. Wenn die Persistenzmechanismen des Angreifers jedoch bereits vor diesem Snapshot vorhanden waren, werden diese ebenfalls wiederhergestellt.
Mit Rubrik und CrowdStrike ist es möglich, die Persistenz des Angreifers vollständig zu beseitigen. Dank der Integration beider Unternehmen werden die spezifischen Aktionen, die mit einem bestimmten Angriffsablauf verbunden sind, sichtbar gemacht, sodass Sie nicht einfach nur zu einem früheren Zustand zurückkehren. Stattdessen beseitigen Sie mit chirurgischer Präzision die Aktionen des Angreifers, während alle legitimen Änderungen, die drumherum stattfanden, erhalten bleiben. Der Geschäftsbetrieb kann weitergehen. Der Angreifer kann sich nicht festsetzen.
Wie Rubrik und CrowdStrike Angreiferaktivitäten automatisch korrelieren und rückgängig machen
Einer der eindrücklichsten Momente der Session des CRS war die Erkenntnis, dass Erkennungs- und Wiederherstellungsteams oft nicht über dieselben Werkzeuge, Arbeitsabläufe oder auch nur dieselbe Sprache verfügen. Ein Analyst im Security Operations Center (SOC), der eine kompromittierte Identität entdeckt, muss diese Information an das IAM-Team (Identity and Access Management) weiterleiten, das sich mit IT Ops abstimmen und Entscheidungen zur Wiederherstellung treffen muss – oft unter Zeitdruck und ohne den vollständigen Kontext zu kennen.
Durch die Integration von Rubrik und CrowdStrike wird dieses Koordinationsproblem direkt behoben. Wenn die Telemetriedaten von CrowdStrike und die korrelierte Aktionszeitleiste von Rubrik im selben Workflow angezeigt werden, arbeiten beide Teams auf der Grundlage derselben Informationen. Das ist keine Kleinigkeit. Bei einem aktuellen Vorfall machen ein gemeinsamer Kontext und dieselbe, absolut verlässliche Informationsgrundlage den Unterschied zwischen einer Wiederherstellung innerhalb von zwei Stunden und einer, die zwei Tage dauert.
Chris Kachigian von CrowdStrike brachte es auf der CRS auf den Punkt: „Sicherheit ist ein Mannschaftssport, und ich glaube, wir werden den Gegner nicht besiegen, wenn wir nicht zusammenarbeiten. Sie haben bewiesen, dass sie zusammenarbeiten und kooperieren können, manchmal sogar effektiver als Unternehmensteams.“
Wie geht es weiter? Vertiefung auf der FORWARD
Beim Cyber Resilience Summit wurde darüber gesprochen. Auf der FORWARD wird es Realität.
Auf der Präsenz-Benutzerkonferenz von Rubrik haben Sie die Gelegenheit, sich eingehender mit allen auf dem CRS vorgestellten Themen zu befassen: der Identitätsresilienz, der Integration von Rubrik und CrowdStrike und wie eine Wiederherstellung in Angriffsgeschwindigkeit in der Praxis aussieht. Sie erhalten Informationen direkt von Praktikern, die diesen Kreislauf in ihrem eigenen Umfeld geschlossen haben, und können die Produktfunktionen, die dies ermöglichen, selbst ausprobieren.
Wenn Sie sich nach dem CRS die Frage gestellt haben: „Und wie machen wir das?“, dann erhalten Sie auf der FORWARD die Antwort.
Haben Sie die Session auf dem CRS verpasst? Schauen Sie sich die Aufzeichnung von „Flag It, Fix It: Closing the Loop on Identity Attacks with Rubrik & CrowdStrike“ an.
In diesem Dokument angeführte unveröffentlichte Services oder Funktionen sind derzeit nicht verfügbar. Ob und wann diese allgemein bereitgestellt werden, liegt im Ermessen von Rubrik. Die angeführten Services oder Funktionen stellen keine Lieferversprechen, Zusagen oder Verpflichtungen von Rubrik, Inc. dar und können nicht Bestandteil eines Vertrags sein. Kunden sollten ihre Kaufentscheidungen auf der Basis von derzeit allgemein verfügbaren Services und Funktionen treffen.