Kill the Identity Blind Spots: ISPM mit Silverfort

00:00:00: Ja, ist ja da sonst alles geklärt jetzt?

00:00:02: Geht es los oder was?

00:00:04: Wenn du ready bist.

00:00:05: Mike King bist Du auch already?

00:00:07: Ich bin born ready.

00:00:22: Willkommen bei Focus on Modern Workspace dem Podcast für alle die modernes Arbeiten leben und gestalten wollen.

00:00:30: Wir sprechen über Trends Technologien oder Erfahrungen aus der Praxis rund um den modernen Arbeitsplatz.

00:00:35: Hallöchen.

00:00:37: Hallo lieber Fabi

00:00:40: Na Salty Wollte grad Tokus sagen.

00:00:43: Ja, Tokus zahlt nicht mehr da!

00:00:45: Das ist ja alles Schmarrn von gestern!

00:00:48: Solli grüß dich!

00:00:49: Hi wie geht's dir?

00:00:51: Mir geht es ja gut.

00:00:52: ich hoffe du bist auch gut ins neue Jahr gestattet.

00:00:56: Ja vielen Dank bin ich tatsächlich.

00:00:59: das freut mich sehr.

00:01:01: und was mich noch viel mehr freut

00:01:02: wir haben

00:01:03: heute zwei wundervolle Gäste.

00:01:05: Wir haben heute Zwei wundervelle Gästen mit denen wir uns über ein bestimmtes Thema unterhalten wollen.

00:01:11: Über welche Themen haben wir unterhalten?

00:01:12: Wir unterhalten uns über das Thema Silverford.

00:01:15: Silverford, hört, hört!

00:01:18: Dann lass uns doch mal die Gäste vorstellen.

00:01:21: Willkommen Marcel Keier und willkommen Mike King.

00:01:26: Guten Morgen.

00:01:27: Fangen wir doch erstmal mit SVA intern an.

00:01:30: Marcel-Keier du bist ja hier quasi schon bekannt in dieser Podcastszene.

00:01:39: Aber für alle, die diese Folge heute das erste Mal oder die generell den SVA-Podcast heute das erst mal hören.

00:01:44: Weil sie einfach sagen was?

00:01:46: Salty ist auch dabei!

00:01:47: Ich geh so vor und hör mir das alles sehr krass.

00:01:51: Du kannst ja auch nochmal dich vorstellen lieber Marcel.

00:01:54: Das mache ich gerne Fabian.

00:01:56: Erstmal herzlich willkommen Salty auch in dem Podcast Team.

00:01:59: Es ist ja jetzt schon mein zweiter Podcast also ich kann mich als alter Hase bezeichnen.

00:02:03: Ja, mein Name ist Marcel Keier.

00:02:06: Ich bin in der SVA verantwortlich für das Thema Identity und Access Management, wo wir ganz viele schöne Themen rund um das Thema identität abbilden.

00:02:16: Wo wir Kunden versuchen glücklich zu machen im Kontext Prozesse, Orga- und auch Technologien und alles immer an dem Deckmantel Security und Compliance was ja heute immer wichtiger wird oder eigentlich schon immer wichtig war aber immer mehr den Fokus gerät und freue mich auf die Folge!

00:02:35: Ja, sehr gut.

00:02:36: Vielen Dank!

00:02:38: Und das ist ja geil weil dadurch dass du ja schon gesagt hast für was du verantwortlich bist gibt es natürlich schon quasi den Hinweis.

00:02:45: so Silverford in welche Richtung könnte das gehen?

00:02:51: Für Silverford und von Silverford haben wir Mike King dabei.

00:02:55: Hallo Mike King!

00:02:57: Stelle dich doch mal bitte vor.

00:03:00: Guten Morgen zusammen.

00:03:01: ich bin der Mike.

00:03:02: Ich bin von Silver Ford, du hättest gedacht Und bei uns quasi Techie, also Pre-Sales in der Runde.

00:03:10: Darf quasi unsere schöne Lösung allen möglichen Kunden zeigen und auch euch als Partnern zeigen.

00:03:17: Erst mal Podcasts, also ein Yubi.

00:03:20: Irgendwann sowas.

00:03:21: Doch kein alter Hase wie Marcel!

00:03:24: Sehr schön, ja willkommen!

00:03:26: Danke!

00:03:27: Ja vielleicht fangen wir einfach mal so an.

00:03:30: Silver Ford... Das sagt jetzt vielleicht auch nicht allen was?

00:03:35: Hätte da vielleicht wie so einen kleinen Elevator-Pitch als Einstieg, was ist Silverfort?

00:03:39: Was kann Silverfort.

00:03:41: Wie sind wir zu Silverfort gekommen?

00:03:42: Darüber kann er vielleicht auch der Marcel ein bisschen erzählen.

00:03:45: Dann würde ich einfach mit dem Anfang anfangen und die Frage beantworten, wie wir zu silverfort gekommen sind.

00:03:51: Die Geschichte ist ganz witzig.

00:03:53: tatsächlich sind ja auch Initial Mike und Ich zusammengekommen Und die Situation war so dass wir oder dass ich eine Kundensituation hatte, wo der Kunde einen Multifaktor-Autentifizierungskonzept haben wollte.

00:04:10: Und zum Hintergrund muss man verstehen, dass wir als in der SVA oder ich persönlich auch relativ viele Anfragen von Herstellern im Vorfeld bekommen, die mit uns gerne zusammenarbeiten wollen.

00:04:20: und nicht jeden Hersteller können wir natürlich uns angucken oder mit dem Hersteler sprechen.

00:04:28: Dann würde ich den ganzen Tag nur noch mit Herstellern sprechen.

00:04:30: Und ja, in dem Kontext des MFA-Konzepts sagte der Kunden er hat sich schon für eine Lösung entschieden.

00:04:36: Das fand ich dann erst mal ein wenig befremdlich weil einen MFA Konzept zu schreiben für eine Lösung die ich nicht kenne beziehungsweise für diese der Kunde entschieden hatte, die ich noch nicht kende war natürlich nicht ganz so einfach und dann habe ich den Kunden gebeten einfach mein Termin mit dem Hersteller zu machen um mir anzugucken was das für eine lösung ist.

00:04:59: Ja, distanziert gegangen, so würde ich es jetzt mal nennen.

00:05:03: Weil ich die Lösung selber nicht kannte nur von Webseiten und war in dem Termin.

00:05:08: der Mike war auch da hat die Lösung noch einmal vorgestellt.

00:05:11: Ich habe versucht kritische Fragen zu stellen.

00:05:13: Ich hab aber keine Chance gehabt die aus dem Konzept zu bringen

00:05:16: Und hat auch noch kritisch geguckt.

00:05:18: also die Kamera war ja auch angemerkt.

00:05:21: Marcel hat richtig Lust.

00:05:23: Das schadet dass man Masse jetzt nicht im Podcast sieht sonst wäre das durchaus verständlich.

00:05:29: Also ich habe ja einen linken Profil, also der mich sehen will.

00:05:32: Der kann sich das gerne angucken... Ich gucke natürlich immer freundlich auf eigene Gefahr und tatsächlich hat's Maik geschafft mich innerhalb von dreißig Minuten so abzuholen dass mein Gesichtsausdruck auch freundlicher wurde und nach sechzig Minuten war ich so begeistert, dass ich gesagt hab ich muss das meinen internen Kollegen vorstellen.

00:05:53: Das war so der Anfang

00:05:54: Und genau deswegen sind wir hier, weil wir haben ja ungefähr auch immer so diese Zeitvorstellung von dreißig bis sechzig Minuten.

00:06:00: Und deswegen hat Mike und ich merke schon, dass du mittlerweile auch ihr beide habt quasi die Chance jetzt uns in diesen dreißige bis sehzig Minuten zu überzeugen, dass Silverfort irgendwie etwas ist was total cooles und jeder braucht.

00:06:20: Ich habe jetzt nur die Sorge Du hast jetzt zweimal glaube ich schon MFA gesagt.

00:06:27: Ich habe so ein bisschen die Sorge, dass das hier voll die langweilige Folge zum Thema MFA wird.

00:06:33: Kannst du mir den Zahn ziehen und sagen hey, beruhigt dich ist alles gut?

00:06:38: Den kann ich dir absolut ziehen!

00:06:41: MFA war deshalb auch der Einstieg wegen dem Kunden damals.

00:06:44: Der Kunde wollte halt MFA zusammengekommen.

00:06:48: MFA hat gleich zu erklären jeder kennt MFA aber Wir können viel, viel mehr als.

00:06:54: MFA ist im Prinzip nur so ein Beiwerk hinter dem wie wir funktionieren was wir machen können.

00:07:03: Aber es gibt viele spannende Themen sei es Service Accounts Identity Firewall relativ neue spannendes Thema oder auch Pum also so Pum klassisch keine Ahnung zwanzig Jahre alte Software.

00:07:20: vielleicht geht sie auch bisschen besser und moderner.

00:07:22: Also wir können viel, viel mehr.

00:07:24: MFA war so wie wir uns halt kennengelernt haben und was auch Kunden häufig anfragen.

00:07:29: aber Identity Security ist ja viel mehr als nur ein bisschen MFA.

00:07:32: Das ist ganz wichtig.

00:07:34: Jetzt frage ich mich natürlich gerade vielleicht als unwissener Zuhörer MFA das kennt man vielleicht noch Multifaktor auf Medication.

00:07:43: Aber was ist denn eigentlich PAM?

00:07:45: Ja, PAM Marcel du, ich

00:07:48: Können es beide machen.

00:07:49: Ich kann ja mal anfangen berichtigst mich oder ergänzt mich, wie auch immer du möchtest.

00:07:55: Das kennen wir ja schon von daher was ist PAM?

00:07:58: Ja PAM ist Privileged Access Management.

00:08:00: erstmal grundsätzlich ausgesprochen worum geht's da?

00:08:04: es geht darum privilegierte Accounts also sehr sehr privilegierte Zugänge nochmal dediziert abzusichern.

00:08:11: Grundsätzlich ist es ja so dass Administratoren beispielsweise auf Services zugreifen sollen und die nicht mit einem Standard-Account agieren sollen, nicht dem gleichen Passwort bei den Zugriffen.

00:08:25: Eine PAM-Lösung hat klassischerweise drei Funktionalitäten.

00:08:29: Das erste ist dass der Mitarbeiter auf einen Service zugreift nach dem Zugriftspasswort gewechselt bekommt.

00:08:37: Das ist ein klassisches Thema, das ja nur von bestimmten Systemen auf weitere Systeme zugreifen darf.

00:08:45: also ich definiere eine Quelle und ein Ziel in einer PAM-Lösung damit ich halt sicherstellen kann dass sich nicht von überall aus meinem Homeoffice PC auf den Domain Controller zugreifend darf beispielsweise.

00:08:57: Und das dritte was PAM Lösungen klassischerweise auch machen Viele Kunden eigentlich mehr oder weniger überschätzen ist das Thema Session Recording, wo grundsätzlich Sessions die ein Administrator im täglichen Doing macht aufgezeichnet werden und nachvollzogen werden können.

00:09:15: Das guckt sich bloß im Regelfall keiner an weil in dem Regelfall dass kein Kunde wirklich auswerten will und auswertet kann so was kommt immer dann zum Tragen wenn beispielsweise eine kunde kompromittiert wurde?

00:09:30: kann durchaus mal ein Grund sein, warum mein Session Recording sinnvoll ist und notwendig ist.

00:09:37: Und Silverfort ist keine klassische PAM-Lösung, Mike du kannst mich jetzt gleich steinigen aber Silverfort bietet viele Funktionalitäten die PAM ähnlich sind und die für die Kunden im Regelfall ausreichend sind.

00:09:50: also wenn man so diese Paretoeffizienz nimmt mit Achtzig-Zwanzig, achtzig Prozent kann ich mit Silverford auch in PAM Kontext erschlagen.

00:09:57: aber da kann Mike vielleicht bisschen mehr zu sagen

00:10:00: Okay, weil das ist mir jetzt wirklich wichtig.

00:10:03: Denn irgendwie habe ich das Gefühl wir stecken hier im ersten oder zweiten Gang fest, wenn man sage mal so sich eine Gangschaltung vorstellt und ich möchte jetzt Fahrt gewinnen.

00:10:12: Und ich möchte vor allen Dingen die Zuhörer ihr da draußen, weil für euch machen wir es ja nicht jetzt schon sagen boah trocken langweilig und blau.

00:10:23: Ich weiß dass es eben nicht ist.

00:10:25: Deswegen möchte ich jetzt quasi voll einsteigen Und Mike, die Chance bekommt.

00:10:30: Ich fand das mit dem Elevator-Pitch eigentlich eine gute Idee.

00:10:32: Sorry!

00:10:34: Dass das Mike jetzt einfach mal sagt so hey geil.

00:10:36: ich nehme mir jetzt mal hier kurz vom ersten bis zum zehnten Stock mein Block Zeit zu sagen was genau ist es und warum ist es eigentlich so geil?

00:10:46: Und vor allen Dingen du hast das Ganze bei uns ja schon einmal gemacht und danach stand ich ja wirklich so da fast.

00:10:53: wieso ist es so geil?

00:10:54: und das möchte ich jetzt gerne noch

00:10:56: machen.

00:10:58: Okay, genau.

00:11:00: Was machen wir?

00:11:01: Wir sagen Identity Security.

00:11:05: Wenn man sich Angriffe anschaut heutzutage wie was von Angreifer machen sie wollen die kaufen sich credentials im Darknet kostet irgendwie ein paar Euro, ein paar Dollar und hast nachher kann ein Zehntausend User Passwörter.

00:11:18: dann loggen die sich ein.

00:11:19: Das heißt, die hacken sich ja gar nicht mehr.

00:11:20: Die locken sicher einfach ein mit Credentials und versuchen Ransomware aufzubreiten.

00:11:25: Versuchen Server zu verschlüsseln, Daten verschlüsseln um eben die Kunden zu erpressen.

00:11:30: So das ist das was passiert.

00:11:31: Und warum kann es funktionieren?

00:11:34: Weil ich eben Identity Security in der Cloud habe Ich ganz viele Möglichkeiten.

00:11:38: MFA mal als eines Beispiel In der On-Premwelt gibt's einfach diese Möglichkeit nicht.

00:11:43: Ihr habt einen AD das is zwanzig Jahre alt.

00:11:46: Ich habe diese Möglichkeiten nicht, dann ist es historisch gewachsen.

00:11:49: Ich hab tausend Group Policies, das heißt auch keine Übersicht.

00:11:52: Das heißt für einen Angreifer ist es ein einfaches, das AD zu übernehmen von einem Kunden.

00:11:56: Das ist total simpel heutzutage.

00:12:00: und genau da ist unser Ansatz.

00:12:01: Wir sagen wir bringen die modernen Features, die ein Entra, ein Okta, ein Ping... Also ich sage jetzt mal alle Cloud IDPs, die es da draußen noch halt so gibt, die bringen wir in die On-Tremwelt.

00:12:12: D.h.,

00:12:12: wir sind die Brücke von onPrem in die Cloud, um eben einen einheitlichen Schutz zu gewährleisten.

00:12:19: Das heißt du kannst OnPrem deine Entra-Condition Access Policies einsetzen mit Geolocation Check und Trusted Device alles mögliche.

00:12:29: D.h.

00:12:29: Du hast auf Einschlag das gleiche sich jetzt Niveau.

00:12:32: und jetzt das Besondere wie wir es machen.

00:12:34: Wir brauchen dafür keine Agenten, weil wir installieren auf diesen Servern, die wir schützen wollen einfach nix In den Web Applikationen keine Plugins, kein Garnix.

00:12:44: Weil wir sitzen direkt auf dem Domain Controller.

00:12:46: Das heißt ich habe keine lokalen Crew Policies, keinen Agenten sondern zentral steuerlich.

00:12:52: wer darf was in meinem AD machen, in meinem Directory?

00:12:55: und das ist so das besondere daran wie wir es machen weil jede Kerberos an Frage geht über den Domain controller.

00:13:01: also warum zum Teufel soll ich Agenten ausrollen?

00:13:04: Auf meine Zehntausend Server wie viel ich hab wenn doch sowieso jedes mal ein Kerberosticket oder Intel Embrykast auf einen Domain Controller ankommt.

00:13:11: Und da agieren wir.

00:13:12: und darum ist dieses Wort Identify Wall eigentlich so passend, weil wir wirklich entscheiden wer darf sich anmelden und wer darf nicht anmelde.

00:13:19: Dabei ist es total egal woran ich mich anmeldere ob das jetzt eine VPN ist oder eine RDP Session ist, ob das eine PowerShell ist... ...oder ein Cisco-Router.

00:13:28: Das ist für uns total irrelevant.

00:13:30: Wir können auch alles eben diese Sicherheitsfeatures legen und da sind wir relief einzigartig in dem was wir da machen.

00:13:38: Es ist halt total simpel.

00:13:39: Wir

00:13:40: haben ja schon ein paar PhD zusammen gemacht.

00:13:42: Die Software läuft in der Stunde und da hast du deine Condition Access Policy auf deinen Remote PowerShell, vergleichen zu Parmorphern gesprochen haben.

00:13:51: Du baust halt eben nicht erst mal einen Vierteljahr dein Infrastruktur, sondern in einer Stunde läuft das Ding.

00:13:57: Und das ist einfach was uns so besonders macht an wie wir das Ganze machen.

00:14:02: Das ist so der Key dahinter.

00:14:06: Das klingt auf jeden Fall so, dass ich nachvollziehen kann.

00:14:09: Dass der Fabio da total hype war, weil das das erste mal gehört hat.

00:14:14: Weil ich natürlich auch immer noch meine Agenten oder Agenten im Kopf hatte, die ich irgendwo installiere.

00:14:20: und wie soll ich das dann jetzt sichern?

00:14:23: Wenn da kein Agent drauf ist bis ich irgendwann kapiert habe... Achso!

00:14:30: Wir sitzen quasi auf dem Domain Controller und gucken einfach was wir hier machen können.

00:14:36: Und das finde ich... Ich fand es einfach mega clever, mich an der Stelle einzunisten.

00:14:45: An der sowieso alles gehandelt wird was Authentifizierung und so was halt angeht.

00:14:48: Also macht ja auch total Sinn!

00:14:49: Ja,

00:14:50: und das Lustige ist, ich bin jetzt seit drei Jahren dabei, ich war quasi Mitarbeiter Nummer drei hier in Deutschland, dann allen Kunden die wir vorgestellt haben, da hat man so gesagt Alter er ist ja total simpel.

00:15:01: Warum zum Henker?

00:15:02: ist da noch kein anderer drauf gekommen?

00:15:04: Keine Ahnung Das

00:15:06: habe ich mich auch gerade gefragt.

00:15:07: Genau,

00:15:08: richtig!

00:15:08: Warum zum Henker?

00:15:10: Da hat einfach unser Firmengründer eine Smart-ID gehabt die halt genau so simpel ist.

00:15:16: und drum ist es auch so simple umsetzbar weil du hast deine DCs das rollst in ein paar Minuten aus und dann läuft diese Sache.

00:15:22: Das ist wirklich easy.

00:15:23: Du hast keine Integration keine Schnittstellen kein gar nicht wie bei einem PAM.

00:15:27: Und darum ist das dieses neudeutsche Wort Time to Value.

00:15:32: Es ist einfach ein Riesenunterschied bei uns.

00:15:36: Wenn eine Kunde fragt, wie lange dauert die Implementierung?

00:15:38: Ja gut wenn du dir Zeit lässt mach mal also nicht zehn Tage und bei einem paar bis zwei Jahre reden wir über zwei Jahre.

00:15:45: Ich glaube das ist das was uns so besonders macht und deswegen die Kunden oder auch der Marcel damals gemeint hat krass muss ich mir anschauen.

00:15:53: Ich habe es mir ja nicht nur angeschaut in deiner Vorstellung, sondern ich bin da natürlich weil ich dachte ich hab's nicht ganz verstanden oder vielleicht auch noch nicht so ganz durchdrucken nochmal auf unser AD Security Team zugegangen und habe das dann nochmal eine Stunde vorgestellt.

00:16:08: Und auch die waren total begeistert.

00:16:09: Dann habe ich gedacht okay dann kann ich ja nicht ganz falsch liegen.

00:16:12: also der unser AD security team macht ihr auf viel T-Ring hat viel mit Gruppen oder mit Service Accounts zu tun.

00:16:20: Und der Kollege, der hat fast geweint als er das Feature gesehen hat dass die Service-Account Erkennung stattfindet.

00:16:26: Die kann ja mal gleich nochmal erklären aber... Das war echt ein kleines Wunder weil tatsächlich viele Themen die uns gefehlt haben im Portfolio über Silverford abgedeckt wurden.

00:16:41: kurzfristig und halte die der plattform ansatz.

00:16:45: du hast halt einfach alles was gartiering event das heißt wir können.

00:16:48: Wir können artirien konzept können wir aufbauen wir können, ich sag es mal parm streckstrich pass, wir können service accounten können mfa.

00:16:56: Es hat wirklich eine identity platform wirklich identity centric und nicht man.

00:17:01: es gibt end point detection ist es endpoint centric dann gibts firewalls diesen network centric in wiesen halt identity aber identi komplett über alle IDPs siehlos hinweg wirklich als einheitlicher Layer und nicht... ...IDP A kann das, IDP B kann was anderes.

00:17:17: Das muss alles einheitlich sein.

00:17:20: Und genau das sind wir!

00:17:23: Du hattest ja den Elevator Pitch angefangen dass ihr euch auf dem Domain Controller andockt oder dort halt drauf sitzt?

00:17:33: Wie unangenehm ist es bei Kunden das erstmal so zu

00:17:37: erwähnen?!

00:17:39: Weil Domaincontroller ist ja in der Domäne, wie der Name schon sagt.

00:17:43: Ist ja mein Zentrum... Das will ich erschützen!

00:17:48: Es wird eine Chronio wählen?

00:17:51: Genau, wenn das zerbricht oder ausgeht und neugestellt werden muss alles umaus.

00:17:58: Wie reagieren die Kunden darauf, wenn du sagst, du musst doch hier auf dem DomainController einfach mal

00:18:01: instantiieren?!

00:18:03: Kannst einfach nicht erwähnen.

00:18:05: Nee, Quart!

00:18:09: Einfach zwei

00:18:09: Tage die Zeit zu gucken

00:18:10: und dann geht es zum Domainatmisch.

00:18:12: Sagt wahrscheinlich fertig.

00:18:14: Richtig, genau.

00:18:16: Ist eine sehr, sehr gute Frage.

00:18:17: Und das war auch als ich angefangen habe bei Ceva Ford.

00:18:19: War das auch so für mich?

00:18:20: ne Frage?

00:18:21: Was ist das von Kampf den Kunden davon zu überzeugen dass wir nicht böse sind?

00:18:25: ja und das Gute ist... Wir haben ein Windows Service, der läuft einfach nur im System Kontext.

00:18:34: Das heißt wir haben gar keinen Kernel Zugriff, wir brauchen kein System Restart.

00:18:38: das heißt... ...wir sind nicht introsiv auf den Domain Controller, das eine.

00:18:44: Das andere ist wir nutzen offizielle Microsoft APIs dafür.

00:18:47: Das heisst wenn man mal auf der Microsoft Seite Google, äh nicht Google, sucht nach Silverford in der Dooku dann findest du auch einen Teil unserer Dooku bei Microsoft weil wir eben Microsoft Preferred solution sind für genau dieses Thema.

00:18:59: Das heißt, wir sind da sehr stark in dem Microsoft-Umfeld und auch mit Microsoft zusammenverbandelt, weil nur dann funktioniert das.

00:19:07: Nur dann vertrauen dir ja die Kunden, dass du jetzt keinen Unfug machst.

00:19:12: Da gibt es andere Lösungen, die ihr dann auch schon mal gerne im Blue Screen erzeugen, weil sie halt im Kölnmodus laufen und irgendwelche Updates machen.

00:19:19: Und das kann bei uns faktisch nicht passieren, weil wir gar nicht so tief integriert sind und weil das eben alles offiziell mit Microsoft gemacht ist.

00:19:26: Wir hacken keine Logs oder sowas, dass es alles offiziär integriert.

00:19:30: Nein ich glaube vielleicht auch ein weiterer Faktor der Kunden nicht davon abhält, dass man auf einem Domänenkontroller installiert ist, dass er ja kein Agent ist, der auf dem Domäne-Kontroller läuft, der irgendwie nach außen funkt sondern... Es sind virtuelle Appliants die beim Kunden läuft, d.h.

00:19:47: im RZ läuft Und die Daten verlassen erstmal per se nicht die Infrastruktur des Kunden.

00:19:53: Das ist glaube ich auch noch mal ein wichtiger Faktor, wenn jetzt ein Hersteller kommen würde und sagen würde ich baue mir auf dem Domänenkontroller meinen Cloud-Konektor auf der über HTTPS oder schlimmer über HTP nach außen funkt also das macht natürlich keiner.

00:20:08: dann hätte schon ein anderes Thema und ich glaube da ist... Also ich habe auch noch gar keinen Kunden erlebt der sagt dass will ich nicht sondern die Diskussion ist relativ kurz.

00:20:19: Genau, auch wenn man das Thema Betriebsrat ist ja immer gerne so ein Thema.

00:20:22: Klar wir schneiden hier alles mit und sehen alles was am Domain Controller passiert.

00:20:27: dann sagt der Betriebesrad?

00:20:28: Ja ne weil also unsere Software wird meistens von den Domain Admins sowieso verwaltet initial oder von irgendwelchen admins.

00:20:36: die haben eh Zugriff auf die Domain controller locks.

00:20:38: Also sie können es auch so rausfinden die brauchen jetzt nicht uns dafür.

00:20:41: Das heißt doch das betriebsrad thema ist meistens nach fünf oder zehn minuten einfach erledigt.

00:20:47: Also da gibt es wirklich gar keine Probleme.

00:20:51: Das hat man ja übrigens ganz häufig, weil du dir das bei dem Betriebsrat erwähntest ist ja auch bei unseren Docs-Lösungen die wir zum Beispiel ja auch unter Unternehmen halt anbieten oder präsentieren.

00:21:03: Hat man das ja auch so.

00:21:04: Ja, das lässt der Betriebesrat dich durch, wo man auch mal sagen kann Wir generieren ja nichts Neues oder wir finden ja nichts neues Die Loc's sind ja schon da.

00:21:12: Wir konsolidieren sie nur, damit ihr sie endlich mal sehen könnt.

00:21:15: Um ein entsprechendes Dex-Monitoring zu haben oder so eine Visualität für Fittes zu haben.

00:21:23: Was eh schon seit zwanzig Jahren an Locks bei euch rumliegt und es euch aber nur halt zu schwer fällt sich durchzukämpfen.

00:21:30: Das finde ich auch sehr beeindruckend wie schnell die dann sagen, achso ja stimmt das ist ja gut

00:21:36: Mal ja auch der Betriebsrat an einer Security in irgendeiner Form interessiert sein sollte, dass es das Unternehmen auf weiterhin gibt.

00:21:42: Das

00:21:45: hat mir schon alles.

00:21:46: Wir hatten Kunden die gesagt haben oh je wir müssen früh zur Betriebesrat weil das wird ein ewiges Thema.

00:21:50: Ja ne war vielleicht mal einen Termin wo wir vielleicht mit dabei waren und da war das Thema erledigt.

00:21:55: also ist wirklich ganz interessant an dieser Stelle.

00:21:58: Okay jetzt haben wir nochmal so'n klein Abriss bekommen.

00:22:01: was macht ihr?

00:22:03: Was für ein Aufwand ist das ungefähr, wie geht ihr da überhaupt rein?

00:22:06: Wir haben jetzt schon verschiedene Begriffe gehört.

00:22:08: Identity Firewall.

00:22:10: Pam hat Masseille gerade schon ein bisschen erklärt.

00:22:13: Wollen wir da vielleicht noch mal ein bisschen genauer reingehen auch in das Thema Identity firewall?

00:22:20: ich denke mal Mike du kannst es wahrscheinlich über Masseilles könntest sicherlich besser aufbauen als ich der da jetzt komplett befreit von ist.

00:22:26: von daher schießt er gerne nochmal los.

00:22:29: Genau, ich erkläre es eigentlich gerne mit jeder Kehnetzwerk-Firewalls.

00:22:33: Total simpel, du baust den in der Regel und sagst von wo nach wo darf sich jetzt ein Kleint auf dem Server anmelden?

00:22:39: So total simpel!

00:22:41: Und das gleiche Konzept haben wir jetzt halt für Identitäten aufgesetzt.

00:22:44: Nicht auf Netzwerkebene sondern halt auf Authentication Level also Kerberostickets, NTLM Request, LDAP Request weil wir sind auf dem Nomenkontroller Wir sind Identity Centric Das heißt wir können bei jede Anmeldung einfach sagen Du darfst dich anmelde und darfst Dich nicht anmeld Einfach der Pauschal, wie eine Firewall.

00:23:01: oder halt als Beispiel MFA.

00:23:03: Du darfst dich nur anmelden wenn du dein Microsoft Authenticator Number Matching gemacht hast zum Beispiel.

00:23:11: Das heißt wir sind und drum ist Firewall einfach super Der Gatekeeper auf deinem AD.

00:23:19: Wir können sagen bestimmte Externe dürfen sich nur zu bestimmten Uhrzeiten anmelde nur mit dem zweiten Faktor Abteilungen, HR darf sich nur auf HR-Systeme anmelden.

00:23:31: So was können wir machen?

00:23:32: Wirklich Firewall Ansatz.

00:23:33: also ich finde die Analogie ist ganz gut aber halt ganz wichtig nicht im Netzwerk sondern wirklich auf Anmelde Ebene weil beim Netzwerk ist es relativ egal wenn sich irgendwo eine anmeldet du bist in der valide Source und bei die Quelle dann lässt ein Netzwerk Firewall dich durch auch wenn du ein Angreifer bist weil da kann das nicht entscheiden und wir sind quasi Der letzte Perimeter, wir können immer entscheiden beweisen mir dass du du bist und dann darfst du das auch machen was du möchtest.

00:24:01: Weil nach uns kommt keiner mehr.

00:24:02: also wir sind der letzte Periometer an der Stelle.

00:24:07: Bekommt der Nutzer das in irgendeiner Form mit?

00:24:09: Was da passiert?

00:24:11: warum man vielleicht auch nicht drauf zugreifen darf?

00:24:14: wie sieht es da aus?

00:24:16: Genau bei einem Warum Nicht?

00:24:18: Da sieht er nur, er darf nicht zugreifen.

00:24:21: Also klar der Atmen, der Support die sehen natürlich warum man nicht zuggreifen kann.

00:24:26: aber im Frontend sieht das einfach nur aus wenn er keine Rechte hätte.

00:24:29: zum Beispiel es heißt auch ein Angreifer an der Stelle findet uns gar nicht weil er sieht Account kann sich nicht anmelden hat vielleicht keine rechte hatten falsches Passwort dann geht er einfach weiter.

00:24:38: also er kann sich nichts lateralen Netzwerk bewegen als normaler Benutzer.

00:24:43: Klar ich krieg halt einen Popup auf mein Handy wo dann vielleicht drin steht Du musst jetzt einen zweiten Faktor machen, weil du verbindest dich auf den Server forty-seven als Beispiel.

00:24:52: Klar, der kriegt es mit!

00:24:53: Aber für ein Angreifer laufen wir komplett transparent.

00:24:56: Und da habt ihr dann auch eine eigene App oder ähnliches?

00:24:59: Oder nutzt ihr da andere Authenticator die es so auf dem Markt gibt?

00:25:04: Sowohl als auch, aber wir haben auch eine eigenen App.

00:25:07: Gab's ja für kleinere Kunden, die jetzt vielleicht nicht unbedingt Lizenzen in Entrauder stecken wollen... ...aber unser Ansatz ist eher Eigentlich jeder Kunde hat schon irgendeine Art MFA-Lösung im Einsatz oder Fido Tokens.

00:25:20: Ja, ist ja total egal und wir wollen das vereinheitlichen.

00:25:23: Wir sorgen dafür dass ein Mitarbeiter einen Token hat und den kann er halt sowohl in der Cloud als auch on-prem für alle seine Anwendungsfälle nutzen.

00:25:31: Das heißt wir wollen es nutzen was der Kunde schon hat.

00:25:34: darum sagen wir ganz klar wir sind keine MFA Lösung sondern wir bringen die Lösungen die ihr habt schon dahin wo's aktuell nicht geht und das ist halt in der On-Prem-Bit.

00:25:44: Und ich glaube, was du gesagt hast ist tatsächlich ein ziemlich wichtiger Faktor.

00:25:48: Also für so einen User ist ja so ein MFA erstmal... Ich muss irgendwas machen!

00:25:54: Ich habe jetzt wirklich nicht unbedingt mehr Gewinn den ich direkt erkenne.

00:25:58: und ich glaube da es so einfach wie möglich zu halten dass man eine Methode hat und ich da muss ich mich mit dem anmelden, da muss sich irgendwie mein Hardware Talk nehmen bei der nächsten Anmeldung muss ich dann irgendwie ein Software Talk nehmen auf Hand Decatur.

00:26:13: dass man da wirklich dann auch eine Lösung hat und einen Weg für den Nutzer vermeintlich

00:26:19: macht,

00:26:19: macht das sehr viel besser aus meiner Sicht.

00:26:22: Genau also MFA hat ein Akzeptanzproblem ist einfach so und darum muss es so einfach und so schnell wie möglich gehen.

00:26:29: und halt auch nur einen Faktor nicht drei verschiedene Apps auf dem Handy weil die firewall bringt ein App mit dann hat entra noch ein App dann hast du noch Gebt ja auch on-prem MFA Lösungen, die dann agentenbasiert sind und die auch nur RDP Sessions können.

00:26:43: By the way.

00:26:43: also keiner denkt an PowerShell Angreifer nutzen PowerShells und kein RDP heutzutage.

00:26:48: Und drum sagen wir du hast einen token und den darfst du bitte übernutzen weil sonst macht es einfach keinen Sinn.

00:26:55: Das war auch ein Grund, warum wir uns damals auch ein Stück weit tiefer mit dem Thema beschäftigt haben.

00:27:00: Weil gerade in der On-Prem-Weld, da Maik hat es ja grad gesagt die Agent basierten Systeme – wir haben natürlich auch Lösungen im Einsatz oder im Portfolio, die das können – aber eine Lösung, die halt Agent Less auf der lokalen Seite arbeitet und dann noch die Möglichkeit bietet wenn ein Kunde beispielsweise schon Entry ID im Einsatz hat, die bestehende MFA zu integrieren auf lokale Systeme RDP Sessions & Remote Power Shells.

00:27:23: Genau das ist natürlich ein Riesenmehrwert, auch in der Geschwindigkeit das Ganze zu nutzen.

00:27:29: Ja und also jetzt bei dem Kunden über den wir uns erkennen gelernt haben... Du hast ja natürlich Kunden die haben Geräte, also physische Geräten, die sie vielleicht schützen wollen auf die du auch nichts installieren kannst.

00:27:40: zum Beispiel Wie willst du da eine zweite Faktorlösung draufbringen wenn du nicht installieren kannst?

00:27:46: Und bei uns klappt es halt ganz gut weil die Geräthe immer irgendwie eine Radiusanmeldung oder eine AD Anmeldungen unterstützen Und dadurch können wir halt wirklich auch auf, keine Ahnung, medizinische Geräte, Router, Switches total egal hat auch einen zweiten Faktor bringen.

00:28:01: Weil wir uns eben nicht per Plug-in integrieren müssen.

00:28:05: Sehr cool!

00:28:05: Also ich kann auf jeden Fall nachvollziehen dass der Fabi davon begeistert war... Als das das erste Mal sieht.

00:28:11: Ich muss ja ehrlich sagen, ich habe euch von euch hier auch schon mal in einer Session auf einem internen Meeting von uns gesehen.

00:28:16: Von daher so ganz

00:28:19: unbelegt

00:28:19: bin ich da jetzt auch nicht.

00:28:21: von daher Ja, cool.

00:28:24: Was mich natürlich dann auch so wahnsinnig begann, dass es natürlich schwer ist hier in der Podcast-Folge wiederzugeben.

00:28:29: Ist aber einfach die Usability an sich von dem Tool oder von der Appliance?

00:28:37: Von der GUI!

00:28:39: Das war auch so, wo ich dir das einfach mal richtig gemacht kiepe Zimpel war.

00:28:46: Ja also Einfachheit wenn's nicht einfacher ist, wirds nicht gerne verwendet oder wird nicht richtig verwendete.

00:28:54: Wenn wir POCs machen, sagen wir immer okay lieber Kunde.

00:28:56: Wir machen eine Woche POC dann gucken wir erst mal ja aber eine Woche reicht gar nicht weil da kriegen wir ja gar nicht alles integriert.

00:29:02: und ich sage ganz ehrlich du würdest sehen nach sechs acht Stunden ist der POC meistens gelaufen von der Zeit.

00:29:09: Glauben Sie mir nicht so lange wie sie es gesehen haben?

00:29:11: Ich verspreche den Kunden von wir starten DVM bis zu wir machen einen MFA dauert eine Stunde und das kannst Du eigentlich auch wirklich einhalten.

00:29:19: also Einfachheit ist ein Riesenthema.

00:29:22: Es ist intuitiv, der Kunde lernt das einfach sehr schnell selber.

00:29:27: Nur dann funktioniert so eine Software meiner Meinung nach.

00:29:32: Was glaube ich auch noch wichtig ist, also neben dem Adentit die Firewall-Thema und was mich halt so begeistert hat, auch gleich am Anfang oder relativ schnell, ist das Thema Sichtbarkeit auf meine Infrastruktur zu bekommen.

00:29:43: Also ich sehe... Wer sich von wo an was anmeldet, das sind wir wieder bei dem Firewall-Thema.

00:29:49: Das heißt da sehe ich genau, von welcher Quelle kommt ein Account zu welchem Ziel und mit welchem Protokoll kommt der auch?

00:29:57: Also ich glaube jeder Kunde Maike, das kennst du besser als ich, aber jeder Kunden mir die mich bis jetzt gesprochen habe zu dem Thema gesagt NTLM hab' ich nicht mehr.

00:30:06: Für die Zuhörer NTL M ist es ein älteres Protokol, was sehr unsicher in Infrastrukturen ist, was schnell angreifbar ist in lokalen Active Directories.

00:30:16: und jeder Kunde sagt NTLM habe ich nicht mehr.

00:30:20: Und spätestens einer Woche stellt der Kunde fest, ich hab vielleicht doch noch ein paar Systeme die auf NTLm funken auch wenn vielleicht nur als Backup Protokoll.

00:30:27: aber das ist dann halt super superschwierig und das sehe ich halt mit Silverport ohne dass sich irgendwas tun muss indem ich einfach nur die Lösung implementiert habe und den Traffic schneide

00:30:41: Genau, also einfach nur installieren und laufen lassen.

00:30:43: Das ist ja schöner daran.

00:30:45: Ntlmv I ist ein Thema LDAP Also hast du noch unverschüsselnden LDAP Traffic?

00:30:49: Da hatte ich.

00:30:50: im letzten PRC war das echt lustig.

00:30:53: Der Kunde meint NTLMV I haben wir nicht mehr.

00:30:55: Wir hatten eine Initiative einen Jahr, wir haben alles abgeschalten.

00:30:57: da werden wir nix finden.

00:30:59: Ich sage alles klar Challenge accepted Ihr werdet.

00:31:01: der erste wo wir nichts finden War so lustig.

00:31:04: Die haben zwei NPS Server die halt Radius an Domenkontroller bringen Und bei einem NPS-Server, der war auf Ansecure Authentication eingestellt und das war genau der, der die Anmeldung für alle Router & Switches im Unternehmen gemacht hat.

00:31:22: Das heißt, die komplette Backend-Infrastruktur hat über SSH über Intel MvI kommuniziert.

00:31:31: Echtste Story!

00:31:31: Ungelogen?

00:31:33: Im Termin schreibt... Da war auch der Ziesel mit dabei, schreibt meinem Vertriebskollegen und sagt, schick mir Angebot kaufe ich Ohne Scheiß ist wirklich genauso passiert.

00:31:42: Und das passiert wirklich oft, wenn der Kunde sieht... Fuck!

00:31:46: Ich hab da Zeug in meinem Netzwerk, wo ich gedacht habe, hab' ich nie im Leben.

00:31:48: Also Sichtbarkeit is ein Riesenthema.

00:31:51: Das Problem ist, wenn wir das so... ...das ist schlecht zu verkaufen, mal alles sagen?

00:31:54: Ja ja, mitlesen kann ja jeder und Locks hatte ich auch.

00:31:58: Es bringt einen krassen Mehrwert bei uns dieses Sichtbarkeitsthema.

00:32:02: Aber es müssen die Kunden selber feststellen.

00:32:05: Und dann klappt's

00:32:05: wirklich.".

00:32:07: Und das ist ja auch das Gute daran, dass es eben keine Agent-basierte Lösung ist.

00:32:12: Weil du bei einer Agent-Basiertenlösung immer irgendwie daran denken musst.

00:32:15: Du musst ihn erst mal überall da ausrollen wo es für dich wichtig ist.

00:32:18: und Woher weiß ich, nach zwanzig Jahren Domainwachstum und Leute kommen und gehen.

00:32:25: Infrastruktur ändert sich, Komponenten kommen zu.

00:32:27: Keiner weiß kann nicht das System ausschalten, bräuchte es noch mehr Braut, wer meldet sich da an?

00:32:31: Deswegen macht es total Sinn, dass an einer zentralen Komponente die für alles eben tatsächlich um die Auseinandersetzungskommunität zu implementieren und dort die Dinge halt sie überwachen.

00:32:44: Wahnsinn also einfach mega gut!

00:32:48: Jetzt haben wir gerade schon drüber gesprochen.

00:32:51: Ihr macht ein Pog vielleicht mit dem Kunden und ich sage mal, ich bin jetzt einen Zuschauer der denkt sich Boah die Falge mit dem Marcel und dem Mike, die ist wirklich geil.

00:33:01: das will ich mir auch irgendwie mal anschauen.

00:33:03: Wir werden da so'n Pog aussehen.

00:33:05: Gibt's da Möglichkeiten ohne dass jetzt direkt zu kaufen mal bisschen zu testen oder ähnliches?

00:33:12: Habt ihr da Möglichkeiten?

00:33:14: Absolut!

00:33:15: Also im Idealfall einfach den Marcel schreiben Anrufen, hier auch immer.

00:33:21: Super!

00:33:23: Danke Mike!

00:33:24: Kein Problem, kein Problem.

00:33:27: Ihr könnt doch einfach an Podcast at SVA.de schreiben und sagen hey ich bräuchte hier mal.

00:33:32: Genau genau also einfach über die bekannten Kanäle sich einfach melden Dann steht im POC nix im Wege.

00:33:41: Wie gesagt, es ist auch leicht integriert aber es ist doch schnell wieder rausoperierbar.

00:33:44: Wenn eine Kunde sagt ach nee brauche ich doch nicht alles gut du installierst und die löscht die VMs den Installiers diesen Windows Service und dann ist alles wie vorher.

00:33:51: also wir ändern auch keine Schemaß kein gar nichts ist wirklich sehr einfach machbar

00:33:56: absolut.

00:33:57: Es ist natürlich auch wichtig muss natürlich auch irgendwie rückgängig gemacht sein und da natürlich auch so einfach wie möglich

00:34:06: ja Cool.

00:34:07: Ja, absolut!

00:34:07: Machen wir auch gerne weil du musst das machen damit eben dieses Sichtbarkeitsthema was immer so langweilig und so banal klingt Das muss wirken ja Du musst einfach mal drauf gucken und dann diesen What the fuck Moment der wirklich sehr sehr oft kommt Und also als Techie aus unserer Sicht euch jeden hat wieder Spaß macht.

00:34:23: Also auch nach drei Jahren ist es immer noch Es bringt mehr Wert und du verkaufst nicht irgendwas wo du sagst Ja geht's so sondern Der Kohlen sieht sofort den Mehrwert.

00:34:32: und das ist das Schöne an der Lösung Auch für uns Techies an der Stelle.

00:34:36: Wichtig ist auch hier wieder, dass alle POCs die gemacht werden durch uns oder durch Silverport oder mit uns gemeinsam immer in der produktiven Umgebung des Kunden stattfinden.

00:34:48: Das heißt also ja in einer Testumgebung das Ganze zu machen wo wenig Traffic ist macht es wenig Sinn weil ich die Sichtbarkeit einfach nicht bekomme.

00:34:55: und auch wenn man da erstmal ein bisschen Scheu vor hat dann kann ich da was kaputtmachen.

00:34:59: natürlich hat jeder Kunde auch so ein bisschen ist er vielleicht auch ein gebranntes Kind Aber es macht nur Sinn, es in der Produktivumgebung zu machen.

00:35:07: und so wie es Mike gerade gesagt hat.

00:35:08: Es lässt sich auch relativ schnell wieder zurückdrehen.

00:35:10: Das heißt also, es gibt nicht die Einschränkung dass ich damit irgendwie meine komplette Anmeldung blockiere und dann die nächsten drei Tage nicht arbeiten kann.

00:35:19: das ist nicht der Fall.

00:35:20: an den POC sind wir sehr sehr eng daran mit dem Kunden.

00:35:23: Es gibt Review Termine und die sorgen dafür, dass auch in der produktiv Umgebung relativ viele Insights hochkommen und dass wir relativ viel auch sehen können.

00:35:35: Ja, genau wie

00:35:36: gut ist denn eigentlich die?

00:35:37: also du hast ja gesagt das ist eine vm der Appliance hier wird in Salid gut ist?

00:35:40: Wie gut ist die dann eigentlich geschützt?

00:35:42: Es ist ne Geherzter der Linux Appliants.

00:35:45: Wir sind oder ihr haben viele Kunden.

00:35:49: ich sage es mal im kritischen Bereich Also jetzt im Sinne von Kritis bei uns Aber auch so.

00:35:56: militär ist für uns ein größeres Thema.

00:36:00: Das heißt, das ist nach allen gängigen Militärstandards gehärtet.

00:36:05: Basiert auf Linux weil wir sagen klar mit Windows braucht es ja nicht anfangen.

00:36:09: Es ist wirklich in der Plainz.

00:36:10: Das heisst auch ich habe keinen Ruhzugriff.

00:36:13: Es gibt kein Ruh Zugriff!

00:36:14: Es wird komplett quasi von unserem Produktmanagement von einem R&D als Gerte der Plains rausgegeben.

00:36:21: Ja geil.

00:36:24: Baue ich für Auswärtssicherheit?

00:36:26: Zwei, drei, vier.

00:36:28: Oder ist es...

00:36:29: Du kannst so ausversichert Videos gerne hättest?

00:36:33: Also du kannst zu viele VMs aufbauen wie du willst die arbeiten in einem Cluster nachher zusammen.

00:36:37: Performance ist gar nicht so ein Thema.

00:36:39: also so einen Domain Controller kann irgendwie keine Ahnung.

00:36:42: für eine Appliance mit uns kann irgendwie kein Ahnung führte sich Domain controller abhandeln was so die Performance angeht da kriegst du die meisten.

00:36:49: daneben würdest du mit einer VM Locker hingekriegen.

00:36:52: aber klar kannst Geo Redundanz baust du zwei drei vier VM's auf dann bist du super ausversichert.

00:37:01: Wir haben noch zu einem Sichtbarkeits-Thema, was unsere Kunden seit letztem Jahr extrem irgendwie beschäftigt.

00:37:08: wir haben es vorhin mal kurz angesprochen das Thema Service Accounts.

00:37:12: ich gehe mal davon aus dass es bei euren Kunden auch wenn es Richtung ALD Hardening geht wahrscheinlich immer ein Thema oder?

00:37:18: Geht man davon aus?

00:37:19: Immer absolut Wildwuchsthema.

00:37:24: Ich muss ja wieder meinen Spruch aus der letzten Folge sagen, hysterisch gewachsene AD-Umgebung.

00:37:30: Und ich wollte es einfach noch mal in den Raum werfen!

00:37:37: Ist so das

00:37:38: erste Betrecht natürlich.

00:37:40: Genau und da bringen wir halt einen coolen Mehrwert meiner Meinung nach und auch für die Kunden.

00:37:48: Wir haben gesagt MFA ist zum Beiwerk, das wird gerne mitgehen... Service Accounts ist bei uns aktuell so und dieses Pass oder Pum Replacement.

00:37:55: Ist für uns ein Riesenthema, weil ja auch ein PUM könnte theoretisch passverdorotieren bei Service Accounten kein Thema aber wie denn?

00:38:04: Ein PUM hatte diese Sichtbarkeit gar nicht.

00:38:06: das heißt du kannst nur schützen was du kennst aber woher weißt du was was du kennen solltest?

00:38:11: Das ist das wo die ein Pum halt auch nicht weiter hilft.

00:38:14: Und da haben wir eigentlich einen ganz smarten Ansatz.

00:38:17: Also gut, muss ich jetzt sagen.

00:38:18: Aber finde ich auch wirklich.

00:38:23: Wohin erkennst du Service Accounts?

00:38:25: Service Account ist Maschine-to-Maschinen-Account der einem am Tag ein Backup macht, der eine Datenbank laufen lässt in Web App keine Ahnung also berechenbares Verhalten.

00:38:33: Er macht immer zur gleichen Uhrzeit oder die gleichen Server immer involviert und das nutzen wir an.

00:38:38: Das heißt Wir haben einen Machine Learning an Bord aber wie gesagt hier On-Prem.

00:38:43: Wir brauchen keine Cloud Verbindung.

00:38:44: Das bleibt alles on Prem und versuchen oder nicht versuchen wir kennen muster.

00:38:49: Und quasi machen so eine baseline für jeden account um zu gucken wie berechenbar verhält er sich eigentlich.

00:38:55: das heißt neben den sachen die jetzt erkunden haben wie namens konventionen uus oder gruppen um die accounts zu strukturieren bringen wir einen top noch die Accounts, die sich berechenbar verhalten.

00:39:07: Auch wenn es vielleicht gar keine Service Account sind sondern Beispiel ich habe einen Admin der macht jeden Tag ein Secret Script um die Datenbank aufzuräumen und man macht das mit seinem Domain.

00:39:16: Admin weil er hat ja die Rechte ist am einfachsten so.

00:39:20: auch das ist hier eine Art Service Account Weil da ist in dem Skript hinterlegt Am besten noch im Klartext Passwort Wenn's dumm läuft Der jeden tag was ausführt.

00:39:30: Und Das sind quasi für uns Accounts, die ein Service Account sein könnten.

00:39:38: Die Attribute sind uns egal aber das Verhalten könnte ein Service account sein.

00:39:41: Das heißt einen Kunde bekommt von uns sofort oder weiß sofort klar wir brauchen natürlich Zeit zum Lernen des Machine Learning eine Liste aller potenziellen Service Accounts die er vielleicht gerne schützen wollen würde.

00:39:55: Und jetzt nicht nur die Liste der Accounts, sondern auch für jeden Account die Übersicht von welchen Servern gegen welche Server mit welchem Protokoll und wie oft macht denn dieser Account das so?

00:40:06: Das heißt daraus kannst du als Kunde sehen.

00:40:08: okay meine top zwei drei server.

00:40:11: Das ist dass dafür wird er mal bestellt gebaut alles super.

00:40:15: Aber wenn du mal ein server hast mit einem login der vielleicht interaktiv passiert ist das willst du nicht haben Ich sag es mal quasi unmöglich.

00:40:27: Und von uns kriegst du's halt wieder perfekt aufbereitet, du weißt sofort was in der Zerglose ist.

00:40:32: und jetzt Gretchenfrage?

00:40:34: Wie schützt Du jetzt Server Counts?

00:40:37: Klar kannst ein MFA drauflegen.

00:40:39: Der Admin freut sich nachts um drei bei jedem Backup- und MFA auszuführen.

00:40:43: Finde er sicher richtig gut.

00:40:44: Akzeptanz!

00:40:45: Richtig gut.

00:40:48: Wo hat sie da sich...der Kreis schließt zur Firewall, Identify-Wall.

00:40:51: Du kannst einfach sagen ServiceAccountA darf sich nur von Server A gegen Server B verbinden.

00:40:57: Und auch nur über Kerberos,

00:40:59: Punkt!

00:41:00: Das heißt der Account ist nicht nutzbar für einen Angreifer um Ransomware auszubreiten.

00:41:04: Das ist eine Sackgasse.

00:41:05: da kommt eben nicht weiter mit diesem Account Auch wenn der Account Domainadmin wäre.

00:41:11: Wir können auch DomainAdmins eingrenzen und dann wird es halt interessant

00:41:16: weil

00:41:17: das machst du alles mit ein paar Klicks Braucht kein Passport rotieren, weil die Passwörter ... mein Gott.

00:41:22: Wenn ein Hash irgendwo findet dann kann er sich auch anmelden ist uns auch egal.

00:41:27: Weil er kommt einfach nicht raus aus dieser Firewall und das ist halt ... find sehr smart und sehr simpel umgesetzt.

00:41:35: Ja, das kann ich ergänzen.

00:41:37: Das war so bei uns intern als ich das vorgestellt habe.

00:41:40: wie gesagt das AD Security Team hat fast geweint oder der verantwortlichere AD Security team ich nenn jetzt keine Namen aber tatsächlich War das ein Thema, wo beide Hände hochgegangen sind und gesagt wurde?

00:41:53: Ja, ServiceAccount-Erkennung ist ein großes Thema wenn wir ID Security Assessments machen.

00:41:59: Die rauszufiltern weil über die Logs, über die Domain Kontrolle halt wahnsinnig schwer zu evaluieren.

00:42:06: bei SilverFort.

00:42:07: tatsächlich wird es jetzt eine Wiederwerberveranstaltung aber es ist gar nicht.

00:42:10: Es ist am Ende des Tages eine Seite wo ich relativ schnell sehen kann Ist das ein ServiceAccout oder nicht?

00:42:16: Oder verhält sich dieses Konto wie ein Serviceaccount?

00:42:19: Und man findet da ja auch, so wie es Mike schon gesagt hat.

00:42:21: Normale User-Accounts die sich im Kontext wie einen Service Account verhalten weil sie halt irgendwo mal hinterlegt worden in einem Script oder in einem Service den ich in dem Dienst den ich halt starten lasse und auch da wieder am besten Fall finde ich dann auch noch raus dass er sich über NTLM anmeldet oder NTL M Dinge tut.

00:42:43: Auch da kann ich natürlich eingreifen und wenigstens das Protokoll ändern.

00:42:46: also Ich habe immer mehr Werte wenn ich dort schnell reagiere und ich muss nichts skripten, sondern ich kann es über die GUI machen.

00:42:56: Zwei coole Stories aus POTS.

00:42:58: Bevor du die

00:43:00: coole Story sattest, lass mich ganz kurz einhaken weil Marcel gerade meint das soll hier keine Werbeveranstaltung sein.

00:43:05: Es ist natürlich so... Natürlich ist es eine Werbe-Veranstaltung aber es ist keine Werberveranstaltung für das Produkt CIVA Ford, sondern im Ganzallgemeinen ist immer eine Werber Veranstaltung um unsere Kunden oder um alle Unternehmen zu schützen.

00:43:21: Einfach, damit halt keine Scheiße bei denen passiert.

00:43:23: Weil uns als IT-Dienstleister und auch mir persönlich als Privatperson ist es ja einfach wichtig dass das deutsche Unternehmen oder generell alle Unternehmen nicht angegriffen werden Und Humbug mit meinen eigenen Daten machen weil ich vielleicht bei einem Unternehmen selber Kunde bin Oder ich war weil ich ... Ich bin ja auch als privat Person Kunde bei Unternehmen, wo ihr einfach möchte.

00:43:48: Ich möchte da weiterhin kunde bleiben weil ich die Produkte einfach toll finde und das kann ja auch zum Beispiel ein Krankenhaus sein, öfter mal ein Krankenhausbesuch vielleicht vor der Tür zu stehen haben oder es irgendwann mal brauche.

00:44:00: Oder sei es nun mein Lieblingsauto-Hersteller, meine Lieblingstreamingdienst oder so was halt ich möchte ja dass diese Dienste für mich einfach funktionieren und deswegen ist das natürlich eine Werbeveranstaltung.

00:44:10: Sinne von liebe Unternehmern da draußen kümmert euch bitte um eure Sicherheit, um eure Infrastruktur weil die Einschläge die wir noch vor zehn fünfzehn Jahren hatten oder so sind einfach so nah Und ständig können wir in den Nachrichten was lesen, warum auch immer es geht einfach darum.

00:44:30: Schützt euch irgendwie und wir laden deswegen halt natürlich halt auch auch immer wieder ja auch andere Gäste ein zu zwei anderen Themen sei es nun Bum, Firewall oder jetzt wie in dem Fall hier Identity Security oder so was.

00:44:45: Und das wollte ich einfach nur noch mal klarstellen es geht nicht darum hier irgendwie Werbung für Silver vorzumachen sondern es geht darum Werbung Für Eure Sicherheit da draußen zu machen.

00:44:54: wer wenn ihr quasi dieses Gefühl habt ja stimmt Ich weiß eigentlich gar nicht mehr wie viele Service Accounts ich habe Oder ich weiß nicht mehr wer wohin zugriff weil hysterisch gewachsen war.

00:45:02: selten ist der Begriff den Du halt hier in diesem podcast also So dank dankend.

00:45:07: wer der weise implementiert hast kümmert euch darum.

00:45:11: Ja und das ist ein wichtiger Punkt, ich will viel auf Events oder auch so Speaking Slots.

00:45:16: Ich kann ganz oft kommen die Kunden sagen hey aber wir sind so unwichtig uns kennt ja keiner.

00:45:21: Darum geht es da gar nicht.

00:45:23: Es gibt immer einfach Googled Seiten.

00:45:26: okay was in den letzten zwei Wochen für Angriffe passiert?

00:45:29: Da hatte ich dann mal für einen Event rausgesucht.

00:45:31: Der war an Angriff auf dem Online Job von einem Closter Ja, wo ich sage okay also da wüsste jetzt sicher nicht reich mit wenn ein online shop von dem Kloster lahm nix.

00:45:40: Aber oft sind sie auch einfach nur irgendwelche klingt das bisschen böse.

00:45:43: aber script kiddies die machen es einfach nur weil sie's können was ihr Lust drauf haben weil halt einfach die credentials im darknet fifty dollar kosten.

00:45:50: Da geht gar nicht darum Ich bin unwichtig ich habe ja nichts sondern naja wenn der weg zu einfach ist dann wüsst du einfach teil davon.

00:45:58: Das is einfach so und ergibt den spruch Die Frage ist nicht, ob du angegriffen wirst.

00:46:03: Sondern wann?

00:46:05: Ja das ist so!

00:46:05: Vielleicht wirst du auch schon angegriff und du merkst es nicht weil die Sichtbarkeit fehlt.

00:46:09: Und das ist ein Riesenpunkt dieses Mindset zu sagen ich muss ein Global Player sein damit sich jemand für mich interessiert.

00:46:16: Nee wenn du den Leuten zu einfach machst dann bist du einfach nur weil jemand gerade Bock hat oder weiteres kann Opfer davon Fertig.

00:46:24: Es ist ja gleichgesetzt mit dem Gießkern-Prinzip, es ist ja oft so wie du schon gesagt hast ich kriege die Information kann sich heute jeder halt kaufen und dann führe ich halt.

00:46:36: sage mal oder kannst dir auch selbst Kripte und automatisierte Hackingprozesse sage ich mal ja auch schon über zusammensuchen oder sie dann auch erwerben weil Sie tatsächlich richtig gut sind und dann folgt das System einfach dem Giezkernprinzip.

00:46:53: Es geht vielleicht darum, dass ich vielleicht irgendein großes Unternehmen oder ein Unternehmen halt mir greife.

00:46:58: Wo?

00:46:58: ich weiß ja geil die Zahlen auf jeden Fall weil sie sind auch angewiesen bla bla bla.

00:47:03: aber mein Skript was dann durchläuft oder die Automatisierung oder dieser Prozess dieser bot oder was auch immer dem ist es ja scheiß egal ob noch fünf zehn andere weit sag ich mal getroffen werden.

00:47:15: Genau, richtig und du kriegst die E-Mails dann siehst du die Domäne.

00:47:18: Ach ja, da versuche ich es einfach mal.

00:47:20: Oft wissen die gar nicht was du machst als Firma.

00:47:23: das interessiert dich auch nicht.

00:47:27: Das ist ja auch ein Businessmodell.

00:47:28: am Ende des Tages guckt man sich halt an wo komme ich einfach rein?

00:47:32: Und wo kann ich viel erreichen?

00:47:34: Da wird erstmal geguckt mit einem relativ einfachen Aufwand kann ich schnell eindringen und dann schaue ich halt, wo kriege ich das meiste raus.

00:47:43: Am Ende des Tages kostet einen Angreifer ein Heck auch Geld und das guckt ja sich natürlich im Vorfeld an und ich vergleiche das immer so.

00:47:50: Ich lasse meine Tür auch nicht offen stehen zu Hause vom Grundstück und fahren Urlaub zwei Wochen sondern im besten Fall habe ich mein Haus abgeschlossen und hab vielleicht noch jemanden der auch mal hier und da hinguckt und Dinge überprüft Und das mache ich halt im besten Fall über Kameras oder was auch immer.

00:48:08: Also, ich automatisiere mich zu Hause ja auch ein Stück weit und das will ich in der IT natürlich auch haben.

00:48:14: Das verlachlässigen viele!

00:48:15: Ja

00:48:16: und gerade die Kleinen sind vielleicht sogar spannender weil man weiß sie haben nicht so das Budget, die können nicht schon viel investieren wie eine große Firma.

00:48:23: und in einer großen Firma hat dann vielleicht doch irgendwelche Sogt-Teams oder holt an die Polizei die sagen bitte nicht zahlen Die kleinen, die überleben gar nicht lange.

00:48:31: Also wenn man so ein kleiner Betrieb zwei bis vier Wochen keine Rechnung stellen kann, dann haben die ein Problem.

00:48:37: Also gerade diese kleinen sind vielleicht sogar spannender weil der Druck und die Gefahr größer ist.

00:48:43: Ja aber das ist vielleicht

00:48:44: auch ein guter Punkt Mike.

00:48:47: Wie sieht es denn bei euch aus?

00:48:49: Ich bin interessiere mich jetzt dafür.

00:48:51: habt ihr verschiedene T-Shirt Zeises sag ich mal wo dann verschiedene Funktionen drin versteckt sind oder ... sozusagen Silver Ford habe, ist immer alles dabei oder ... ... licenzierungstechnisch muss es pro User lizenzieren.

00:49:05: Muss ich irgendwie eine Appliance lizzenzieren?

00:49:08: Wie sieht das so bei euch aus?

00:49:09: Ja also zum Thema Kunden... Also auch Branche oder auch Größe.

00:49:15: wir haben alles dabei!

00:49:17: Wir haben einen Anwaltskanzlei die fünfzig Mitarbeiter hat.

00:49:21: Ich weiß gar nicht welche großen ich nennen darf aber Irgendwie was sich retail nennt und über hunderttausend Mitarbeiter hat ist eigentlich auch alles bei uns.

00:49:28: es ist alles dabei.

00:49:30: Und wir lizenzieren nach, ähm... Nach Mitarbeiter, nach Accounts sag ich mal ein bisschen oder andersom nach Mitarbeiter nicht nach Account weil du kannst kann sein du hast ja irgendwie keine Ahnung von zwanzig ab in Accounts pro Person aus irgendwelchen Gründen.

00:49:46: Das ist für uns total irrelevant.

00:49:48: Oder auch Infrastruktur, ob du jetzt fünf DC's hast oder unser größter Grund hat sechstausend DCs... Ist uns auch egal!

00:49:56: Also es sind wirklich die Mitarbeiter weil wir sagen Du willst Mitarbeiter schützen?

00:50:01: Danach wird lizenziert.

00:50:02: So ganz pauschal.

00:50:03: Genau.

00:50:04: und dann Module.

00:50:05: kann zu sagen ich möchte MFA ok check Ich möchte dieses nennt sich jetzt bei ISPM also Postmanagement Sichtbarkeit Ok Check Keine Ahnung.

00:50:16: AI Agent Security gibt es auch als Modul, okay Check also kannst du quasi dir so wie so ein Baukasten zusammenbauen was du gerne hättest.

00:50:23: Kann mir das dann auswählen?

00:50:24: Was ich brauche oder was ich möchte

00:50:26: Genau genau

00:50:27: richtig

00:50:28: Mike ich hatte dich ja unterbrochen und wollte sagen ob ich zwei Beispiele oder zwei Kunze nachdenken oder sowas.

00:50:35: Thema Service Accounts Genau.

00:50:37: Bring die mal bitte noch an weil ich finde Beispiel immer besser.

00:50:41: Ja sehr gut.

00:50:42: Und

00:50:43: das zweite, was mir gerade noch eingefallen ist.

00:50:44: Du hattest grad ISPM, Identity Security Postal Management Club hier.

00:50:48: Wenn du dazu vielleicht auch noch etwas sagen kannst, weil das war für mich so hell.

00:50:51: Was ist das?

00:50:55: Genau, z.B.

00:50:55: der Service Accounts fand ich ganz lustig.

00:50:57: Einer wirklich als security relevant und das andere wird ein Betriebsthema, so betriebsrelevant.

00:51:03: Ich fange mit dem Betriebstemer an... Wir haben uns installiert, alles gut und haben es gewundert.

00:51:10: die DC sind extrem ausgelastet.

00:51:12: Aber auch da wird du siehst ja nicht was was läuft sondern haben wir uns installieren mal ein paar Tage gewartet.

00:51:17: Und dann gucken wir in die in die Service Account Spalte und sehen okay das ist ein Service Account der hat ich glaube es war Faktor dreißig mehr Anmeldungen wie der zweit höchste Account im Unternehmen und sagt ok was was ist da los?

00:51:29: Jetzt war das eine BI Lösung die halt Daten gesünkt hat das BI-Dashboard.

00:51:38: Und eigentlich hätte dieser Account, ich glaube einmal die Stunde war es, hätte der sinken sollen?

00:51:42: Er war auf einmal die Sekunde eingestellt.

00:51:45: Das heißt er hat jede Sekunde den Nomenkontroller sich angemeldet, Daten geholt.

00:51:52: oder es gibt dann auch so andere nette Sachen wie Print Nightmare.

00:51:56: was ihr noch euch etwas sagt war irgendwie vor drei vier Jahren eine Vulnerability vom Microsoft.

00:52:00: Die wurde gefixt mit dem Ergebnis von einem anderen Bug eingebaut der den DC flutet von den Clients aus.

00:52:06: Das sind so Sachen, die du nicht siehst und wir schaffen es ganz oft, die DC-Lasst zum zwanzig Prozent zu senken einfach nur weil du siehst was für ein Quatsch.

00:52:15: teilweise läuft alte Skripte mit dem alten Passwort, die irgendwo gegenlaufen mit einem Bad Password Fehler am Domain Controller.

00:52:22: So banale Sachen eigentlich!

00:52:24: Und da hat der Kunde wirklich gedacht okay ich weiß wie so meine Domain Kontrolle ausgelastet sind, weil die einfach mit quatsch geflutet werden.

00:52:31: das war so Die lustige Anekdote an der Stelle.

00:52:35: Und das andere war eine kleinere Firma,

00:52:37: da haben wir uns gewundert... Das ist ja nicht nur die Domänenlast weil ganz ehrlich es ist auch das Netzwerk was sich damit flutet?

00:52:46: Es ist ein Netzwerk, es ist Strom und alles

00:52:48: klar

00:52:49: absolut!

00:52:50: Dann musst du vier CPUs mehr in die DCS reinsetzen, die kosten wieder Geld im Cluster.

00:52:56: also es ist wirklich bares Geld.

00:52:58: Es ist nicht nur eine Prozentzahl auf deinem Taskmanager Es ist Geld.

00:53:02: Absolut!

00:53:05: Und die zweite, ich fand's saulustig... Der Zieh so fands weniger lustig.

00:53:10: Wir hatten einen Service Account der war Domain Admin.

00:53:12: Das ist immer pauschal, das ist mal eine super Idee und dann haben wir guckt was macht ihr eigentlich?

00:53:16: So und da haben wir gesehen er meldet sich von einem Azubi Laptop an.

00:53:20: Jetzt hatte der Azubit das Kennenwort von diesem Service Account und hat den einfach für alles genommen um sich irgendwo anzumelden weil er halt überall Zugriff draufhatte.

00:53:30: Und das ist so kategorie.

00:53:31: ich fand es lustig und der ziehe sowas was zum hänke ist denn hier los.

00:53:36: also allein service account mit domain abend rechten.

00:53:40: Das zweite der erzube kennt das kennenwort von dem service account.

00:53:43: unter drittem arbeitet voll durchgehend mit den domain appen für alles was er macht.

00:53:46: ja, das war schon sehr lustig.

00:53:49: also für mich

00:53:50: Die Azuis sind auch klassischerweise die Mitarbeiter mit den meisten Rechten.

00:53:54: Immer, klar!

00:53:55: Die sammeln

00:53:57: hervorragend.

00:53:58: Hast du gut zugehört?

00:54:02: Also solche Sachen siehst du da raus.

00:54:04: und darum sag ich, die Lösung ist jetzt auch nach drei Jahren immer noch nicht langweilig.

00:54:07: Du findest, jeder Kunde hat einfach andere Themen und andere Schwachstellen sage ich mal Und einfach diesen Aha-Moment beim Kunden zu sehen, dass du ihm gerade wirklich hilfst.

00:54:16: Du verkaufst ihm nicht irgendwas des Verkaufensfehlens sondern er hat da echt einen Mehrwert raus und das ist halt super schnell.

00:54:22: Das ist das was ich jedes Mal bei jedem POC sage.

00:54:24: Ich habe mich Bock drauf weil wir finden mit sich wieder irgendetwas was ich so lustig finde um was der Kunde richtig scheiße findet.

00:54:32: Ich find's gut!

00:54:35: Spaß im Job ist ja auch wichtig Mike.

00:54:37: Ja, absolut.

00:54:38: Wenn nicht, haben wir irgendwas falsch gemacht!

00:54:39: Aber ich glaube das gilt hier für alle von

00:54:41: uns.

00:54:42: Und am Ende des Tages hat der Kunde ja auch Spaß weil wenn die Lösungen gefunden sind und Dinge gefixt werden ist es für den Kunden zwar erst mal ein bisschen ärgerlich dass diese Lücken überhaupt da waren aber sie zu finden und sie zu schließen ist er dann auch... Am Ende des Sages glaube ich ein bisschen Spaß für den Kunden.

00:54:59: Klar du erkennst ja dann halt auch den Mehrwert oder auch die Fehler die sich in den letzten Jahren einfach eingeschlichen haben.

00:55:06: Ja, und den Mehrwert einfach dann auch dieser Lösung.

00:55:09: Das ist ja auch immer cool, um halt zu wissen, geil diese Lösung oder die Idee, die ich dahinter verfolge – das Produkt bringt uns tatsächlich voran, bringt uns wieder mehr Sicherheit, Geschwindigkeit, Ersparnis was auch immer, je nachdem was das Ziel halt ist.

00:55:25: Und dass es natürlich dann….

00:55:26: das ist ja dann auch die Freude in der IT-Abteilung wenn man halt sagt, geil wir haben hier etwas richtig Cooles geschaffen!

00:55:34: grundsätzlich Kunden anguckt, glaube ich nahezu alle die in Active Directory haben.

00:55:41: Das hysterisch gewachsen ist ja jetzt kein nur lustiger Spruch sondern es ist tatsächlich so über Jahre gewachsen.

00:55:47: viele Leute haben sich verewigt in diesem Konstrukt und das wieder in den Griff zu bekommen ist halt für die meisten Kunden wirklich nennen eine Mammutaufgabe.

00:55:58: Ein großer Teil davon kann auch durch solche Lösungen wie Silverfort entsprechend sichtbar gemacht werden und auch angegangen werden, ja?

00:56:08: Und da ist nicht der Weg, das ist ja oft so ein Reflex.

00:56:11: Wir bauen einfach irgendwo neues Idee auf und fangen nochmal ganz von vorne an – es ist eher schwierig, dauert auch zwei drei Jahre im Regelfall oder länger!

00:56:21: Was lustig war als ich damals gewechselt habe zu Silverfort.

00:56:24: Also ich bin auch noch entra Cloud Architekt nebenher.

00:56:28: Und dann war so mein Kollegen, ja du kannst doch jetzt nicht zu einer Firma wechseln die sich jetzt wieder ums AD kümmern und ade ist ja tot.

00:56:34: Ja das ist ja so gerne dieser Mythos, ade is ja tot alles ist in der cloud.

00:56:39: Red doch mal mit den ganzen großen Firmen was sie glauben wie lange sie noch ein AD haben vor allem jetzt die letzten ein zwei Jahre was einmal so bei Microsoft passiert wird irgendwie so ein Secret offen gelegt wo alle Mailboxen anschauen kann.

00:56:54: Also das AD in großen Unternehmen, das wird noch zehn Jahre da sein.

00:56:58: Da bin ich relativ von überzeugt und auch die Unternehmen mittlerweile überzeugt.

00:57:02: Teilweise haben Kunden die sagen okay wir gehen es auch wieder mit Unicornio wählen ein bisschen mehr zurück ins ade und machen in der Cloud quasi ein bisschen HR und Finanz.

00:57:10: ok alles super.

00:57:11: du wirst aber jetzt gerade als produzierendes Unternehmen Du wirst deine Maschinen nicht aus der Clou Terror steuern Ja?

00:57:16: Das wird einfach nicht funktionieren.

00:57:18: Das heißt Es wird gerne so schiefmütterlich behandelt Und da gerade auch Service Accounts ist so ein Thema, der will am besten keine darüber reden weil er gar keinen Bock drauf hat.

00:57:27: Aber es ist deshalb nicht unwichtiger und das ist einfach wichtig zu verstehen.

00:57:31: Cloud ist super cool alles mega aber das Idee ist halt mindestens genauso wichtig.

00:57:39: Man muss ja auch Festzeiten in den Zeiten in denen wir leben... ...ist ja auch alles sehr ungewiss wie sich manche Dinge irgendwie weiterentwickeln.

00:57:50: von daher weiß ich auch, dass Unternehmen auch schon geäußert haben.

00:57:56: Wie du schon gesagt hast, Cloud ist alles cool, alles fein kann man machen aber Sicherheit nicht zu hundert Prozent sag ich mal immer der Cloud zuzuwenden sondern zu sagen hey wer weiß wie es in zwei drei vier fünf Jahren halt aussieht infrastrukturmäßig cloud-mäßig netzwerk technisch generell also global gesehen jetzt betrachtet.

00:58:19: von daher wollen da auch liebe die meisten oder viele Zumindest sind da jetzt auch eher vorsichtig, weil was die Richtung angeht.

00:58:27: Du wolltest mir noch ISPM kurz erklären?

00:58:30: ISPM, genau!

00:58:32: Wir haben zwei Module bei uns.

00:58:34: Das eine heißt ISPM und das andere ITDA also einmal Posture Management und einmal Identity Thread Detection and Response.

00:58:42: Posture management ist quasi das Thema Sichtbarkeit.

00:58:45: Du möchtest sehen... Wie groß ist das Einfallstor in deinem AD?

00:58:50: Also wie groß ist die Angriffsoberfläche.

00:58:51: Du kannst natürlich ein MFA draufsetzen, du kannst Fireball alles super Bringt aber nix wenn den ad schon so lückenhaft konfiguriert ist dass du es wirklich dem angreifer so einfach machst deinen ad zu übernehmen.

00:59:03: dazu zählt anmeldung wie entelem vor eins oder Unverschlüssel des eldab Oder auch shadow admins.

00:59:09: also hast du benutzer die unabhängig von irgendwelchen ad gruppen Keine Ahnung, Admin-Rechte auf US haben wie ein Passort Reset zum Beispiel.

00:59:19: Das sind alles so Angriffsoberfläche die du gerne eigentlich schließen möchtest ums dem Angreifer Schierger zu machen sondern Account zu wohnen.

00:59:26: So das ist quasi das Poster Management.

00:59:29: und dann die Strat Detection.

00:59:31: ich habe es vorhin erwähnt wir machen Verhaltensanalyse für überall der Accounts.

00:59:35: das heißt wir gucken auch Passt das Verhalten von einem Account zu einem Angriffs-Szenario wie Copperrusting, MFA Bombing.

00:59:45: Also auch da haben wir Modul für um zu sagen Achtung hier fällt sich ein Account komisch.

00:59:50: sein Verhalten passt nicht zu dem Profil was wir die letzten Wochen und Monate über entdeckt haben Um dann eben Alaptives MFA also Risikobasiertes MFA oder Fireball.

01:00:01: Wir können sagen, oh hier ist ein Account.

01:00:03: Samstagmorgen um zwei da macht jetzt gerade ganz viele Anmeldungen aus Server die ihr noch nie verwendet hat.

01:00:09: wir sperren den einfach mal also nicht sperren im Sinne von wir gehen ins ad und ändern irgendwas sondern wir lassen einfach keine Anmellung mehr zu ohne wir fragen bei jeder Anmendung nach dem zweiten Faktor.

01:00:21: Es gibt natürlich ITDA Lösungen am Markt.

01:00:24: Die legen halt dann irgendwo in einem Sock oder im sieben einen Alert an und jemand muss sich das angucken Mit dem Ergebnis, dass so viele false positives, dass du gar nicht hinterherkommst.

01:00:34: Wir drehen die Spieß um und wir sagen, wir machen erst mal ein Forcewind, wir mach'n erst einmal Sick Shitty... ...und nutzen eben das sieben, das Sock nachher zur Analyse.

01:00:43: Also wo hat der Angriff angefangen?

01:00:46: Wo war das Einfallstor?

01:00:48: Aber der Angriff kann sich nicht ausbreiten!

01:00:51: Da verschmelzen quasi unsere Module zusammen, wo wir sagen ich nutze er ITDA mit der Firewall oder ITDA, mit der MFA-Lösung um halt wirklich sofort Sicherheit herzustellen und nicht nur irgendwo ein Ticket aufzumachen.

01:01:04: Mal so sehr lobgesagt.

01:01:07: Sehr gut!

01:01:08: Ich glaube das war sehr viel Input und ich bin auf jeden Fall begeistert von dem was ihr uns erzählt habt.

01:01:19: Ich glaube ich muss mir das auch mal ein bisschen genauer anschauen.

01:01:21: Ich weiß nie was Fabi dazu sagt aber er war ja schon begeisterd.

01:01:26: Von daher würde ich sagen ganz lieben Dank an Marcel und Mike für die Vorstellung.

01:01:35: Danke, dass sie hier war.

01:01:36: Danke euch!

01:01:37: Dass wir ihr da sein durften.

01:01:38: Danke das wir hier sein durfen genau?

01:01:40: Ja vielen dank und ich kann nur sagen top.

01:01:45: also bin wirklich begeistert und es klingt halt auch so einfach und ich hab's ja auch schon gesehen ist es ist ja auch wirklich gut zu administrieren easy peasy sag' ich mal so.

01:01:57: Von daher vielen, vielen Dank dafür.

01:02:00: Ja falls ihr da draußen Fragen habt zu Silverford oder dem Podcast an sich oder Salty sagen wollt wie geil es ist dass das Salty dabei ist dann schreib jetzt doch einfach was?

01:02:14: Ja unbedingt!

01:02:19: Dann schreibt uns doch einfach an podcast at sva.de Oder hinterlass in euren Podcatchern, euer Wahl.

01:02:26: Je nachdem wo ihr uns hört immer ein... Weiß nicht wie heißt das?

01:02:29: Thumbs up oder fünf Sterne oder was auch immer.

01:02:32: Oder vielleicht einen Kommentar falls es eine Kommentarfunktion gibt.

01:02:36: Da freuen wir uns immer sehr drüber.

01:02:39: und ja auch ich bedanke mich bei Mike und Marcel vielen Dank dass sie hier war.

01:02:43: Das hat wieder richtig viel Spaß gemacht.

01:02:45: und ja

01:02:47: super!

01:02:48: Perfekt

01:02:49: danke euch.

01:02:49: Danke euch.

01:02:50: Ich mag's euch mal.

01:02:50: hoffentlich

01:02:51: Jo, ciao.

01:02:54: Damit verabschieden wir uns aus dem Modern Workplace für heute zurück in den Alltag aber mit neuen Impulsen für die Arbeit von morgen.

01:03:00: Bleibt neugierig, bleibt vernetzt und hört beim nächsten Mal wieder rein wenn das heißt Focus on Modern Work Place.