In der Cybersicherheitsbranche sind Security Operations Center (SOCs) ein beliebtes Ziel für fortgeschrittene Angreifer. Warum sollten Sie sich die Mühe machen, einzelne Kundenunternehmen zu hacken, wenn Sie lediglich den Computer des SOC-Analysten (MSSP) ihres Dienstanbieters kompromittieren müssen, um gleichzeitig an die Schlüssel zu Dutzenden von Infrastrukturen zu gelangen?
Um dieser systemischen Bedrohung entgegenzuwirken, stellt der Schutz des Überwachungsportals mit einem einfachen „Benutzername/Passwort“-Paar heute eine berufliche Fahrlässigkeit dar. Regierungsbehörden (wie das amerikanische NIST oder ANSSI in Frankreich) haben unter dem Akronym standardisierte Authentifizierungs-Vertrauensstufen festgelegtAAL (Authenticator Assurance Levels). Erfahren Sie den entscheidenden Unterschied zwischen AAL1 und AAL2 und wie dieser Standard Ihre SOAR-Plattform schützt.
Was ist der Authenticator Assurance Level (AAL)?
Der AAL-Standard definiert den Grad der Sicherheit, den ein Computersystem hinsichtlich der wahren Identität der Person hat, die versucht, sich anzumelden. Je höher der Grad, desto „sicherer“ ist das System, dass der Benutzer der ist, für den er sich ausgibt.
AAL1: Der einfache Kontrollnachweis
AAL1 (Stufe 1) ist die Standardstufe für das Internet. In der Regel ist der Nachweis einer Ein-Faktor-Kontrolle erforderlichwas du weißt(ein Passwort).
Auf einer SOC-Plattform wie Akuity wird durch die korrekte Eingabe einer E-Mail-Adresse und eines gültigen Passworts sofort ein Sitzungstoken der Stufe AAL1 (JWT) gewährt. Allerdings, wenn dieses Passwort über eine gezielte Phishing-Kampagne abgefangen oder durch eine solche Schadsoftware gestohlen wurdeInfostealer, erhält der Angreifer dieses AAL1-Token problemlos. Daher gilt diese Stufe für kritische Sanierungsmaßnahmen als „unvollständig und unsicher“.
AAL2: Der Nachweis der Multifaktorkontrolle (MFA)
Die Sicherheitsstufe AAL2 (Stufe 2) erfordert den Nachweis eines zweiten eindeutigen kryptografischen Faktors, d. h.was du besitzt(ein Smartphone, das einen TOTP-Code oder einen physischen Sicherheitsschlüssel generiert).
Um dieses Maß an Vertrauen in Akuity SOC zu erreichen, muss der AAL1-Benutzer einen 6-stelligen Code validieren, der von seiner Authentifizierungsanwendung generiert wird. Sobald dieser Code validiert ist, stellt das System ein neues JWT-Token aus, in das die Erwähnung (der Anspruch) eingefügt wird."aal": "aal2".
Strikte Anwendung von AAL2 in einem SOC-Orchestrator
Warum ist diese technische Unterscheidung grundlegend? Weil ein SOAR-Orchestrator (Security Orchestration, Automation and Response) die Macht hat, destruktive Befehle auszulösen.
Wenn ein Hacker an das Passwort eines Analysten (AAL1-Level) gelangt, könnte er theoretisch:
- Isolieren Sie die Produktionsserver Ihrer Kunden über Intune (Denial of Service).
- Widerrufen Sie die Sitzungen aller Cloud-Administratoren im Mandanten.
- Fügen Sie abweichende Sperrlisten in Defender für Endpoint ein.
Um dieses Szenario zu verhindern, erzwingt die Akuity SOC-Architektur eine strikte Privilegientrennung basierend auf JWT-Token-Ansprüchen.
Blockierung auf Schnittstellen- und Backend-Ebene
Jede Sitzung, die auf der Ebene bleibtaal1(auch wenn das Passwort korrekt ist) wird der Zugriff auf das operative Cockpit verweigert. Auf der Benutzeroberfläche (Frontend) sind die Aktionsschaltflächen ausgegraut, aber die eigentliche Sicherheit liegt auf der Serverseite. Wenn eine API-Anfrage versucht, die Aktion zu initiierenisolateDeviceMit einem AAL1-Token lehnt das Backend den Anruf sofort ab, indem es einen Fehler zurückgibt403 Forbidden.
Die Anhebung auf die Ebene AAL2 wird dann zur wesentlichen Sicherheitsbarriere. Nur die Person, die physisch im Besitz des Smartphones des Analysten ist, kann den 6-stelligen Code generieren, der für die nächsten 30 Sekunden gültig ist.
Die Auswirkungen auf Compliance-Audits (SOC 2)
Die systematische Anforderung des AAL2-Niveaus ist nicht nur eine Abwehrmaßnahme, sondern auch ein Nachweis der Einhaltung. Bei einem SOC 2 Typ II-Audit müssen Sie nachweisen, dass Ihr privilegierter Zugriff sicher ist.
In den von Akuity im JSON-Format generierten Prüfprotokollen umfasst die Nutzlast jeder Korrektur explizit den Status der Analystensitzung zum Zeitpunkt der Auslösung:"mfa_level": "AAL2". Diese unveränderliche Registrierung beweist dem Prüfer, dass Ihre doppelten Authentifizierungsmechanismen nicht optional, sondern systemisch und technisch unumgänglich sind.
Fazit: Null Vertrauen, absolute Kontrolle
Das Zero-Trust-Paradigma erfordert die ständige Überprüfung jeder Transaktion. Ein gestohlenes Passwort sollte niemals den Schlüssel zu Ihrem Cyber-Königreich preisgeben. Indem Sie die zerstörerischen Fähigkeiten Ihres SOAR durch eine strikte AAL2-Verifizierung der Sicherheitsstufe absichern, stellen Sie sicher, dass nur die authentischen und souveränen Entscheidungen Ihrer Analysten auf der Infrastruktur Ihrer Kunden ausgeführt werden.
Schützen Sie die Abläufe Ihres Sicherheitsteams.> Finden Sie heraus, wieAkuity SOC MFA AAL2 SicherheitsmanagementSperrt den Zugriff auf Ihre kritischen Korrekturen.