Für Systemadministratoren sind die Gefahren, die mit zahlreichen Konten mit besonderen Zugriffsrechten auf kritische IT-Ressourcen einhergehen, hinlänglich bekannt. Hier erfahren Sie mehr über die besten Methoden, um diese Risiken zu minimieren.
Die Situation mit privilegiertem Zugriff kann schnell eskalieren, insbesondere wenn die Anzahl der Nutzer, Anwendungen, Geräte und Infrastrukturtypen zunimmt.
Um solche problematischen Szenarien zu vermeiden, ist die Implementierung einer Lösung für das Management privilegierter Zugriffe unerlässlich. Lassen Sie uns zunächst die grundlegende Frage klären:
Was versteht man unter Privileged Access Management (PAM)?
Privileged Access Management (PAM) umfasst eine Reihe von Cybersicherheitsstrategien und -technologien, die dazu dienen, die Kontrolle über erweiterte („privilegierte“) Zugriffsrechte und Berechtigungen für Benutzer, Konten, Prozesse und Systeme innerhalb einer IT-Umgebung auszuüben.
Durch die Festlegung geeigneter Zugriffskontrollen für privilegierte Konten können Unternehmen ihre Angriffsfläche verringern und Schäden, die durch externe Angriffe, interne Sabotage oder Fahrlässigkeit verursacht werden, verhindern oder zumindest reduzieren.
Obwohl das Berechtigungsmanagement vielfältige Strategien umfasst, ist ein zentrales Ziel die Anwendung des Prinzips der geringsten Privilegien. Dieses besagt, dass die Zugriffsrechte und Berechtigungen auf das absolute Minimum beschränkt werden sollten, das Benutzer, Konten, Anwendungen und Geräte für ihre regulären, autorisierten Aktivitäten benötigen.
Viele Experten und Analysten betrachten PAM als eine entscheidende Sicherheitsmaßnahme zur Reduzierung von Cyberrisiken und zur Maximierung des Nutzens von Sicherheitsinvestitionen.
Wie funktioniert Privileged Access Management (PAM)?
Das Prinzip des Privileged Access Managements (PAM) basiert auf dem Konzept der geringsten Privilegien. Dadurch wird sichergestellt, dass selbst die Benutzer mit den höchsten Privilegien nur auf das zugreifen können, was sie unbedingt benötigen. Tools für das Privileged Access Management sind üblicherweise Bestandteile umfassenderer PAM-Lösungen, die dazu dienen, verschiedene Herausforderungen in Bezug auf die Überwachung, Sicherung und Verwaltung von privilegierten Konten zu bewältigen.
Eine wirksame Lösung für das Management privilegierter Zugriffe muss die Fähigkeit bieten, sämtliche Aktivitäten im Zusammenhang mit privilegierten Zugriffen zu überwachen, zu protokollieren und an einen Administrator zu melden. Auf diese Weise kann der Administrator den privilegierten Zugriff nachverfolgen und potenziellen Missbrauch erkennen.
Die Lösung muss Systemadministratoren in die Lage versetzen, Anomalien und potenzielle Bedrohungen leicht zu identifizieren, um umgehend Maßnahmen zu ergreifen und Schäden zu begrenzen. Wesentliche Merkmale einer solchen Lösung umfassen:
- Identifizierung, Verwaltung und Überwachung privilegierter Konten über alle Systeme und Anwendungen innerhalb eines Netzwerks.
- Kontrolle des Zugriffs auf privilegierte Konten, einschließlich Zugriffe, die in Notfällen geteilt oder verfügbar sein können.
- Generierung zufälliger und sicherer Anmeldeinformationen für privilegierte Konten, einschließlich Passwörter, Benutzernamen und Schlüssel.
- Bereitstellung einer Multi-Faktor-Authentifizierung.
- Beschränkung und Kontrolle privilegierter Befehle, Aufgaben und Aktivitäten.
- Verwaltung der gemeinsamen Nutzung von Anmeldeinformationen zwischen Diensten, um das Risiko zu minimieren.
PAM vs. IAM
Privileged Access Management (PAM) und Identity Access Management (IAM) sind etablierte Methoden, um ein hohes Maß an Sicherheit zu gewährleisten und Benutzern den Zugriff auf IT-Ressourcen unabhängig von Standort und Gerät zu ermöglichen.
Für Fach- und IT-Mitarbeiter ist es entscheidend, die Unterschiede zwischen diesen beiden Ansätzen zu verstehen, um den Schutz von privaten und vertraulichen Informationen zu gewährleisten.
IAM ist ein allgemeinerer Begriff und wird hauptsächlich zur Identifizierung und Autorisierung von Benutzern innerhalb einer gesamten Organisation verwendet. PAM hingegen ist eine Teilmenge von IAM und konzentriert sich speziell auf privilegierte Benutzer, also jene, die für den Zugriff auf die sensibelsten Daten autorisiert sind.
IAM beinhaltet die Identifizierung, Authentifizierung und Autorisierung von Benutzerprofilen mithilfe eindeutiger digitaler Identitäten. IAM-Lösungen bieten Unternehmen eine Kombination von Funktionen, die mit einem Zero-Trust-Sicherheitsansatz kompatibel sind. Bei diesem Ansatz müssen Benutzer ihre Identität jedes Mal überprüfen, wenn sie Zugriff auf einen Server, eine Anwendung, einen Dienst oder eine andere IT-Ressource anfordern.
Im Folgenden finden Sie eine Übersicht über führende PAM-Lösungen, sowohl cloudbasiert als auch On-Premises:
StrongDM
StrongDM bietet eine Infrastrukturzugriffsplattform, die Endpunktlösungen überflüssig macht und alle Protokolle abdeckt. Es fungiert als Proxy, der Authentifizierungs-, Autorisierungs-, Netzwerk- und Überwachungsmethoden auf einer einzigen Plattform vereint.
Die Mechanismen zur Berechtigungsvergabe von StrongDM beschleunigen den Zugriff, indem sie sofortigen, granularisierten Zugriff mit den geringsten Rechten gewähren oder widerrufen. Dies geschieht unter Verwendung rollenbasierter Zugriffskontrolle (RBAC), attributbasierter Zugriffskontrolle (ABAC) oder Endpunktgenehmigungen für alle Ressourcen. Der Ein- und Ausstieg von Mitarbeitern erfolgt mit einem einzigen Klick, wodurch die temporäre Genehmigung erweiterter Berechtigungen für sensible Vorgänge über Plattformen wie Slack, Microsoft Teams und PagerDuty ermöglicht wird.
Mit StrongDM können Sie jeden Endbenutzer oder Dienst mit den benötigten Ressourcen verbinden, unabhängig von deren Standort. Darüber hinaus ersetzt es VPN-Zugriffe und Bastion-Hosts durch Zero-Trust-Netzwerke.
StrongDM bietet zahlreiche Automatisierungsoptionen, wie die Integration von Zugriffsworkflows in Ihre bestehende Bereitstellungspipeline, das Streaming von Protokollen in Ihr SIEM-System und das Sammeln von Nachweisen für verschiedene Zertifizierungsaudits, einschließlich SOC 2, SOX, ISO 27001 und HIPAA.
ManageEngine PAM360
PAM360 ist eine umfassende Lösung für Unternehmen, die PAM in ihre Sicherheitsabläufe integrieren möchten. Dank der kontextbezogenen Integrationsfunktionen von PAM360 können Sie eine zentrale Konsole erstellen, in der verschiedene Teile Ihres IT-Verwaltungssystems zusammengeführt werden. Dies ermöglicht eine tiefere Korrelation von privilegierten Zugriffsdaten und allgemeinen Netzwerkdaten und führt so zu aufschlussreichen Erkenntnissen und einer schnelleren Problemlösung.
PAM360 stellt sicher, dass kein privilegiertes Zugangspfad zu Ihren geschäftskritischen Ressourcen unkontrolliert, unbekannt oder unüberwacht bleibt. Um dies zu ermöglichen, bietet es einen Tresor für Anmeldeinformationen, in dem Sie privilegierte Konten speichern können. Dieser Tresor bietet eine zentralisierte Verwaltung, rollenbasierte Zugriffsberechtigungen und eine AES-256-Verschlüsselung.
Mit Just-in-Time-Kontrollen für Domänenkonten gewährt PAM360 erweiterte Berechtigungen nur dann, wenn Benutzer sie benötigen. Nach einer bestimmten Zeit werden die Berechtigungen automatisch widerrufen und die Passwörter zurückgesetzt.
PAM360 erleichtert es privilegierten Benutzern nicht nur, Zugriffe zu verwalten, sondern sich auch mit einem einzigen Klick ohne Browser-Plugins oder Endpoint-Agenten mit Remote-Hosts zu verbinden. Diese Funktion bietet einen Tunnel von Verbindungen durch verschlüsselte, passwortlose Gateways und damit maximalen Schutz.
Teleportieren
Teleport verfolgt die Strategie, alle Aspekte des Infrastrukturzugriffs auf einer einzigen Plattform für Softwareentwickler und die von ihnen entwickelten Anwendungen zu konsolidieren. Diese einheitliche Plattform zielt darauf ab, die Angriffsfläche und die Betriebskosten zu reduzieren, während gleichzeitig die Produktivität verbessert und die Einhaltung von Standards gewährleistet wird.
Teleports Access Plane ist eine Open-Source-Lösung, die gemeinsam genutzte Anmeldeinformationen, VPNs und veraltete Technologien für das Privileged Access Management ersetzt. Sie wurde speziell entwickelt, um den erforderlichen Zugriff auf die Infrastruktur zu ermöglichen, ohne die Arbeit zu behindern oder die Produktivität der IT-Mitarbeiter zu beeinträchtigen.
Sicherheitsexperten und -ingenieure können über ein einziges Tool auf Linux- und Windows-Server, Kubernetes-Cluster, Datenbanken und DevOps-Anwendungen wie CI/CD, Versionskontrolle und Überwachungs-Dashboards zugreifen.
Teleport Server Access verwendet unter anderem offene Standards wie X.509-Zertifikate, SAML, HTTPS und OpenID Connect. Die Entwickler haben besonderes Augenmerk auf die Einfachheit der Installation und Bedienung gelegt, da dies die Säulen einer guten Benutzererfahrung und einer soliden Sicherheitsstrategie sind. Daher besteht sie lediglich aus zwei Binärdateien: einem Client, der es Benutzern ermöglicht, sich anzumelden, um kurzlebige Zertifikate zu erhalten, und dem Teleport-Agenten, der mit einem einzigen Befehl auf jedem Kubernetes-Server oder -Cluster installiert wird.
Okta
Okta ist ein Unternehmen, das sich auf Authentifizierungs-, Verzeichnis- und Single-Sign-On-Lösungen spezialisiert hat. Es bietet auch PAM-Lösungen über Partner an, die sich in seine Produkte integrieren. Diese Lösungen bieten eine zentrale Identität, anpassbare und adaptive Zugriffsrichtlinien, Ereignisberichte in Echtzeit und reduzierte Angriffsflächen.
Durch die integrierten Lösungen von Okta können Unternehmen privilegierte Benutzer und Administratorkonten automatisch bereitstellen/deprovisionieren und gleichzeitig direkten Zugriff auf kritische Ressourcen gewähren. IT-Administratoren können anomale Aktivitäten durch die Integration mit Sicherheitsanalyselösungen erkennen, Warnungen ausgeben und Maßnahmen ergreifen, um Risiken zu vermeiden.
Boundary
HashiCorp bietet mit Boundary eine Lösung zur Bereitstellung eines identitätsbasierten Zugriffsmanagements für dynamische Infrastrukturen an. Es bietet außerdem eine einfache und sichere Sitzungsverwaltung und Remote-Zugriff auf jedes vertrauenswürdige identitätsbasierte System.
Durch die Integration der Vault-Lösung von HashiCorp ist es möglich, den Zugriff auf Token, Passwörter, Zertifikate und Verschlüsselungsschlüssel sicher zu speichern und strukturiert zu kontrollieren, um Geheimnisse und andere sensible Daten über eine Benutzeroberfläche, eine CLI-Sitzung oder eine HTTP-API zu schützen.
Mit Boundary ist es möglich, über mehrere Anbieter separat auf kritische Hosts und Systeme zuzugreifen, ohne individuelle Anmeldeinformationen für jedes System verwalten zu müssen. Es lässt sich mit Identitätsanbietern integrieren, wodurch die Notwendigkeit entfällt, die Infrastruktur der Öffentlichkeit zugänglich zu machen.
Boundary ist eine plattformunabhängige Open-Source-Lösung. Als Teil des HashiCorp-Portfolios bietet es natürlich die Möglichkeit, sich einfach in Sicherheits-Workflows zu integrieren, wodurch es problemlos auf den meisten öffentlichen Cloud-Plattformen bereitgestellt werden kann. Der notwendige Code ist bereits auf GitHub verfügbar und einsatzbereit.
Delinea
Delineas Privileged-Access-Management-Lösungen zielen darauf ab, die Installation und Nutzung des Tools so weit wie möglich zu vereinfachen. Das Unternehmen gestaltet seine Lösungen intuitiv und erleichtert so die Definition von Zugriffsgrenzen. Ob in der Cloud oder in lokalen Umgebungen, die PAM-Lösungen von Delinea sind einfach bereitzustellen, zu konfigurieren und zu verwalten, ohne dabei Funktionalität einzuschränken.
Delinea bietet eine Cloud-basierte Lösung, die den Einsatz auf Hunderttausenden von Maschinen ermöglicht. Diese Lösung besteht aus einem Privilege Manager für Workstations und einer Cloud Suite für Server.
Privilege Manager ermöglicht die Erkennung von Maschinen, Konten und Anwendungen mit Administratorrechten, unabhängig davon, ob sie sich auf Workstations oder in der Cloud gehosteten Servern befinden. Es funktioniert auch auf Maschinen, die verschiedenen Domänen angehören. Durch die Definition von Regeln können Richtlinien automatisch angewendet werden, um Berechtigungen zu verwalten, die lokale Gruppenmitgliedschaft dauerhaft festzulegen und nicht-menschliche privilegierte Anmeldeinformationen automatisch zu rotieren.
Ein Richtlinienassistent ermöglicht es Ihnen, Anwendungen mit nur wenigen Klicks zu erhöhen, abzulehnen oder einzuschränken. Delineas Reporting-Tool liefert aufschlussreiche Informationen über Anwendungen, die von Malware blockiert werden, und den Grad der Einhaltung des Prinzips der geringsten Privilegien. Es bietet auch die Integration von Privileged Behavior Analytics mit der Privilege Manager Cloud.
BeyondTrust
BeyondTrust Privilege Management erleichtert die Erhöhung der Berechtigungen für bekannte und vertrauenswürdige Anwendungen, indem die Anwendungsnutzung kontrolliert und privilegierte Aktivitäten protokolliert und gemeldet werden. Dies geschieht durch die Verwendung von Sicherheitstools, die bereits in Ihrer Infrastruktur vorhanden sind.
Mit Privilege Manager können Sie Benutzern genau die Berechtigungen erteilen, die sie benötigen, um ihre Aufgaben zu erledigen, ohne das Risiko einer Überprivilegierung einzugehen. Sie können auch Richtlinien und Berechtigungsverteilungen definieren und die Zugriffsebene anpassen und festlegen, die im gesamten Unternehmen verfügbar ist. Auf diese Weise vermeiden Sie Malware-Angriffe aufgrund von übermäßigen Berechtigungen.
Sie können differenzierte Richtlinien verwenden, um Anwendungsberechtigungen für Standard-Windows- oder Mac-Benutzer zu erhöhen und ausreichenden Zugriff zum Ausführen jeder Aufgabe zu gewähren. BeyondTrust Privilege Manager lässt sich über in das Tool integrierte Konnektoren in vertrauenswürdige Helpdesk-Anwendungen, Vulnerability-Management-Scanner und SIEM-Tools integrieren.
Die Endpoint-Sicherheitsanalysen von BeyondTrust ermöglichen es Ihnen, das Benutzerverhalten mit Sicherheitsinformationen zu korrelieren. Außerdem erhalten Sie Zugriff auf einen vollständigen Prüfpfad aller Benutzeraktivitäten, sodass Sie die forensische Analyse beschleunigen und die Unternehmenskonformität vereinfachen können.
One Identity
One Identity-Lösungen für Privileged Access Management (PAM) reduzieren Sicherheitsrisiken und ermöglichen die Einhaltung von Unternehmensstandards. Das Produkt wird im SaaS- oder On-Premises-Modus angeboten. Beide Varianten ermöglichen es Ihnen, privilegierten Zugriff über mehrere Umgebungen und Plattformen hinweg zu sichern, zu kontrollieren, zu überwachen, zu analysieren und zu steuern.
Darüber hinaus bietet es die Flexibilität, Benutzern und Anwendungen nur bei Bedarf vollständige Berechtigungen zu erteilen und in allen anderen Situationen ein Zero-Trust-, Least-Privilege-Betriebsmodell anzuwenden.
CyberArk
Mit CyberArk Privileged Access Manager können Sie privilegierte Anmeldeinformationen und Geheimnisse, die von menschlichen oder nicht-menschlichen Entitäten verwendet werden, automatisch erkennen und integrieren. Durch die zentralisierte Richtlinienverwaltung ermöglicht die Lösung von CyberArk Systemadministratoren, Richtlinien für die Passwortrotation, die Passwortkomplexität, die Tresorzuweisung pro Benutzer und mehr zu definieren.
Die Lösung kann als Dienst (SaaS-Modus) bereitgestellt oder auf Ihren Servern (selbst gehostet) installiert werden.
Centrify
Der Centrify-Service Privilege Threat Analytics erkennt den Missbrauch privilegierter Zugriffe, indem er Ihrer Cloud- und On-Prem-Infrastruktur eine Sicherheitsebene hinzufügt. Dies geschieht durch den Einsatz fortschrittlicher Verhaltensanalyse und adaptiver Multi-Faktor-Authentifizierung. Mit den Tools von Centrify ist es möglich, fast in Echtzeit Warnungen über anormales Verhalten aller Benutzer innerhalb eines Netzwerks zu erhalten.
Mit der Centrify Vault Suite können Sie privilegierten Zugriff auf freigegebene Konten und Anmeldeinformationen zuweisen, Passwörter und Anwendungsgeheimnisse unter Kontrolle halten und Remote-Sitzungen sichern. Mit der Centrify Cloud Suite wiederum kann Ihr Unternehmen unabhängig von seiner Größe den privilegierten Zugriff global durch zentral verwaltete Richtlinien steuern, die dynamisch auf dem Server durchgesetzt werden.
Fazit
Der Missbrauch von Privilegien stellt heutzutage eine der größten Cybersicherheitsbedrohungen dar, die oft zu kostspieligen Verlusten und sogar zum Scheitern von Unternehmen führen kann. Er ist auch einer der beliebtesten Angriffsvektoren unter Cyberkriminellen, da er bei erfolgreicher Durchführung freien Zugriff auf das Innere eines Unternehmens ermöglicht, oft ohne Alarm auszulösen, bis der Schaden angerichtet ist. Der Einsatz einer geeigneten Privilegienverwaltungslösung ist daher unerlässlich, wenn die Risiken des Missbrauchs von Kontoprivilegien schwer zu kontrollieren sind.