«Privileged accounts» stellen ein ernstes Sicherheitsproblem dar. Jeder, der Zugriff auf eines hat, hat das Potenzial, diese administrativen Privilegien zu nutzen, um Ihrer Organisation auf verschiedene Weise zu schaden, z. B. durch das Ändern von Daten, das Löschen oder Herunterladen von Datenbanken oder das Erstellen nicht autorisierter neuer administrativer Konten.

Das Sicherheitsrisiko ist nicht nur ein theoretisches: Jüngste Sicherheitsverletzungen bei Unternehmen wie Uber, Tesla und Timehop betrafen alle den Missbrauch von Zugangsdaten für privilegierte Konten und führten im Fall von Timehop zum Verlust von 21 Millionen persönlichen Daten der Benutzer. Der Angreifer von Timehop nutzte privilegierte Zugangsdaten, um ein neues administratives Benutzerkonto beim Cloud-Service-Provider des Unternehmens zu erstellen, und nutzte dieses neue Konto, um weitere Erkundungsaktivitäten in der Cloud-Umgebung durchzuführen, was letztendlich zu dem Datenbruch führte.

Was ist PAM?

Um diesem Sicherheitsrisiko zu begegnen, ermöglichen Privileged Access Management (PAM)-Lösungen die Verwaltung und Überwachung von privilegierten Konten und der Personen, die über permanente Zugriffsrechte verfügen. Sie bieten auch eine sichere Möglichkeit, Ihren Mitarbeitern oder Drittanbietern einen temporären, kontrollierten Zugriff auf privilegierte Accounts zu gewähren, ohne dass diese ein Account-Passwort erhalten müssen, das sie später wiederverwenden oder an Unbefugte weitergeben könnten.

Identitäts- und Zugriffsmanagement (IAM)-Lösungen kontrollieren den Zugriff auf Benutzerkonten; PAM-Lösungen kontrollieren den Zugriff auf kritische administrative Konten. Der PAM-Markt ist kleiner als der IAM-Markt, wächst aber deutlich schneller. Markets and Markets erwartet, dass der PAM-Markt in den nächsten Jahren mit einer durchschnittlichen Wachstumsrate von 33 % wächst und im Jahr 2021 3,8 Mrd. US-Dollar erreicht.

Cloud-basierte Infrastrukturen und Anwendungen sind ein wichtiger Treiber für Unternehmen, die PAM-Lösungen implementieren, da ein signifikanter Anteil der Sicherheitsverletzungen in der Cloud durch das Versagen einer effektiven Kontrolle privilegierter Accounts verursacht wird. Die überwiegende Mehrheit der PAM-Lösungen verwaltet heute jedoch den Zugriff auf lokale Systeme, die in den Rechenzentren der Unternehmen laufen.

Vorteile von Privileged Access Management

Der Hauptvorteil der Implementierung einer PAM-Lösung ist die Verringerung des Risikos eines Sicherheitsverstoßes, einschließlich eines durch einen Insider verursachten Verstoßes, und der damit verbundenen Kosten.

Mit einer geeigneten PAM-Lösung ist es beispielsweise möglich, den Zugriff auf gemeinsam genutzte Konten auf eine viel sicherere Art und Weise zu gewähren, einschließlich:

• alle vom System definierten Standardkonten, wie z. B. der Active Directory-Administrator, der von Systemadministratoren verwendet wird, und
• "Firecall"-Konten, die für den Support nach Feierabend vorgesehen sind und von System- und Datenbankadministratoren sowie Anwendungsentwicklern verwendet werden können.

Ein Hauptproblem bei diesen Arten von gemeinsam genutzten Konten besteht darin, dass es keine Möglichkeit gibt, Passwörter sicher zu speichern oder zu übermitteln, so dass sie unweigerlich kompromittiert werden, was ein ernsthaftes Cybersicherheitsrisiko darstellt.

In der Regel gibt es auch keine Möglichkeit zu wissen, wer ein gemeinsames Konto zu einem bestimmten Zeitpunkt verwendet, so dass es keinen Prüfpfad oder Benutzerdatensatz gibt, der mit Ereignisprotokollen zusammengeführt werden kann, und somit keine Verantwortlichkeit.

Und selbst wenn ein sicheres System zur Kontrolle gemeinsam genutzter Passwörter vorhanden ist, können die dadurch verursachten Zeitverzögerungen ernsthafte negative Folgen für die Produktivität haben. In Notfallsituationen kann die Zeit, die mit dem Zugriff auf Passwörter vergeudet wird, bevor Probleme entschärft oder behoben werden können, extrem kostspielig sein.

Eine PAM-Lösung kann helfen, all diese Probleme zu lösen, und führt zu besserer Sicherheit, einem besseren Audit-Trail im Falle eines Verstoßes und viel mehr Flexibilität bei der sicheren Bereitstellung von privilegiertem Zugang für diejenigen, die ihn brauchen, wenn sie ihn brauchen.

Die Anbieter von PAM-Lösungen integrieren zunehmend maschinelles Lernen und prädiktive Analysesysteme in ihre Produkte, um die Erstellung von Profilen für privilegierten Zugriff und die Erkennung von Anomalien in Echtzeit zu ermöglichen. Wenn dies effektiv implementiert wird, sollte dies eine weitere Ebene des Sicherheitsschutzes bieten, indem verdächtige Aktivitäten von privilegierten Konten oder verdächtige Zugriffe von privilegierten Benutzern erkannt und gekennzeichnet werden.

Wie funktioniert eine PAM-Lösung?

Ein typisches System zur Verwaltung privilegierter Konten bietet eine Reihe von Funktionen zur Kontrolle des Zugriffs auf wichtige Konten:

• Erkennen aller Instanzen von privilegierten Konten (sowohl Benutzer als auch Anwendungen), damit sie verwaltet werden können
• Erstellen von Prozeduren und Workflows für die Erlangung von privilegiertem Zugriff, einschließlich der Forderung nach Multifaktor-Authentifizierung für privilegierten Zugriff.

PAM-Lösungen können den Multifaktor-Mechanismus bereitstellen oder in bestehende Multifaktor-Authentifizierungslösungen integriert werden

    Bereitstellung von Passwörtern für Anwendungen

Eine PAM-Sicherheitslösung kann einer Organisation auch helfen:

    die Einhaltung von Vorschriften und Audit-Anforderungen

    Malware-Angriffe zu verhindern oder einzuschränken, die privilegierte Konten ausnutzen

    den Zugriff auf privilegierte Konten für Administratoren schneller und einfacher zu gestalten

    sicheren privilegierten Zugriff für Dritte, wie z. B. Auftragnehmer, Lieferanten oder Techniker von Cloud-Service-Providern, bereitzustellen.

Wie funktioniert eine PAM-Lösung?

Ein typisches System zur Verwaltung privilegierter Konten bietet eine Reihe von Funktionen zur Kontrolle des Zugriffs auf wichtige Konten:

• Erkennen aller Instanzen von privilegierten Konten (sowohl Benutzer als auch Anwendungen), damit sie verwaltet werden können
• Erstellen von Prozeduren und Workflows für die Erlangung von privilegiertem Zugriff, einschließlich der Forderung nach Multifaktor-Authentifizierung für privilegierten Zugriff.
• PAM-Lösungen können den Multifaktor-Mechanismus bereitstellen oder in bestehende Multifaktor-Authentifizierungslösungen integriert werden
• Bereitstellung von Passwörtern für Anwendungen auf Abruf, wodurch die Notwendigkeit von hart kodierten Passwörtern entfällt
• Sichere Speicherung von Passwörtern für privilegierte Konten, die bei Bedarf "ausgecheckt" und wieder "eingecheckt" werden können, wenn der Zugriff auf das jeweilige Konto nicht mehr erforderlich ist
• Automatisches Ändern von Passwörtern, entweder in regelmäßigen Abständen oder nach jeder Nutzung, oder wenn ein bestimmter Benutzer das Unternehmen verlässt oder keinen Zugriff auf ein bestimmtes Konto mehr benötigt (z. B. weil sich seine Rolle geändert hat)
• Kontrolle und Filterung der privilegierten Aktionen, die Administratoren abhängig von ihrer Rolle ausführen können
• Überwachung und Aufzeichnung von privilegierten Zugriffssitzungen, Befehlen und Aktionen für Audit- und forensische Zwecke
• Durchsetzung von Least Privilege-Richtlinien auf Endpunkten

PAM-Anwendungsfälle

Alle Unternehmen verfügen über privilegierte Konten, einschließlich gemeinsam genutzter Konten, da Sie die IT-Infrastruktur und -Systeme nicht ohne Personen betreiben können, die über die notwendigen Berechtigungen verfügen, um Aufgaben auf Systemebene auszuführen.

Dazu können gehören:

• Persönliche Konten mit vollen, permanenten Rechten
• Persönliche Konten mit vollen (oder eingeschränkten) temporären Rechten
• Persönliche Konten mit eingeschränkten, temporären Rechten
• Standardanwendungs- oder -gerätekonten, die gemeinsam genutzt werden und von verschiedenen Administratoren verwendet werden, wenn es erforderlich ist.

Die ersten beiden Typen sind für Systemadministratoren gedacht, während der dritte Kontotyp mit eingeschränkten, temporären Rechten für Anwendungsentwickler und Datenbankadministratoren gedacht ist, die für eine bestimmte Aufgabe oder einen bestimmten Zeitraum auf bestimmte Systeme zugreifen müssen. Die gemeinsamen Konten werden wahrscheinlich von Administratoren verwendet, die an einer bestimmten Datenbank oder einer anderen Anwendung arbeiten.

Nehmen wir an, dass ein Entwickler in Ihrem Unternehmen privilegierten Zugriff auf eine bestimmte Anwendung benötigt. Eine PAM-Lösung kann diesem Benutzer begrenzte Administratorrechte gewähren:

• nach Privilegien (zum Beispiel durch Regulierung der verfügbaren Befehle)
• nach Umfang (etwa nach Ressourcen oder Systemen)
• nach Zeit (entweder durch Bereitstellung von Privilegien für einen festen Zeitraum oder durch Zeitfenster)

Möglicherweise benötigt der Entwickler auch Zugriff auf ein gemeinsames Anwendungskonto. In diesem Fall kann die PAM-Lösung ein Passwort für das Konto generieren, das nur der Entwickler kennt.

Während der Entwickler das privilegierte Konto verwendet, werden alle seine Aktionen überwacht und protokolliert. Nach Beendigung meldet sich der Entwickler ab und das Kennwort verfällt sofort, so dass er das Kennwort nicht weitergeben oder erneut auf das Konto zugreifen kann, ohne die Erlaubnis einer zuständigen Behörde zu haben.

Ingram Micro Cloud & Software…