CyberArk stellt Security-Blueprint vor
Mehr Sicherheit durch Schutz der Identitäten
Der Netzwerkperimeter hat in einer Zeit verstärkter Nutzung von Cloud-Services und Remote-Arbeit für die Sicherheit an Bedeutung verloren. Der neue Perimeter ist die Identität, argumentiert der PAM-Anbieter (Privileged-Access-Management) CyberArk. Er rät deshalb zur schrittweisen Einführung einer identitätsbasierten Security-Strategie und hat dafür ein Best-Practice-Vorgehen veröffentlicht.
Jede Identität – gleichgültig, ob Administrator, Remote-Mitarbeiter, Drittanbieter oder auch Gerät oder Anwendung – kann privilegierte Rechte besitzen. Damit steigen die Gefahren für die IT-Sicherheit drastisch, warnt CyberArk. Um Identitäten zu schützen, empfiehlt der Sicherheitsspezialist ein Vorgehen in mehreren Schritten.
Eine Handlungsanleitung (Blueprint) des Anbieters soll Unternehmen dabei helfen, ihre Sicherheitslage zu verbessern, indem sie wie ein Angreifer denken und sich gegen die drei Techniken verteidigen, die typischerweise zum Einsatz kommen, um auf privilegierte Identitäten zuzugreifen, Daten zu stehlen und Systeme außer Betrieb zu setzen. Das Vorgehen basiert auf drei Leitprinzipien: der Verhinderung des Diebstahls von Anmeldeinformationen, dem Stoppen lateraler und vertikaler Bewegungen sowie der Begrenzung des Privilegienmissbrauchs.
Zur Verhinderung des Credential-Diebstahls empfiehlt CyberArk folgende Maßnahmen:
- Beseitigung manueller Prozesse zur Verwaltung von Zugangsdaten und Secrets, Einführung eines gehärteten und sicheren digitalen Tresors zur zentralen Speicherung von Anmeldedaten für privilegierte Konten und automatische Rotation von Passwörtern und Schlüsseln auf der Basis von Richtlinien.
- Verwendung eines sicheren Proxy-Servers, um Endpunkte von Zielsystemen zu entkoppeln, den Datenverkehr von privilegierten Sitzungen zu isolieren und die Übertragung von Anmeldeinformationen zu vermeiden. Bei diesem Ansatz authentifizieren sich die Benutzer beim Proxy-Server und erhalten dann über eine separate Sitzung privilegierten Zugriff auf die Zielsysteme.
- Eliminierung hartcodierter Anmeldeinformationen aus Anwendungen, RPA-Plattformen oder CI/CD-Tools und Einführung einer zentralisierten Application-Access-Management-Lösung, die es autorisierten Anwendungen ermöglicht, automatisch und in Echtzeit Secrets aus einem sicheren digitalen Tresor abzurufen.
- Aktive Überwachung von Credential-Speichern, Browser-Caches, Tools wie WinSCP oder VNC, Service Accounts und SAML-Key-Repositories.
Um Seitwärts- und Vertikalbewegungen von Angreifern zu unterbinden, helfen laut CyberArk folgende Schritte:
- Eliminierung von SharedCredentials über alle Endpunkte hinweg.
- Einführung eines Zero-Trust-Modells mit Just-in-Time-Bereitstellung von Privilegien, sodass Benutzer nur bei Bedarf und vorübergehend auf privilegierte Konten zugreifen oder privilegierte Befehle ausführen können.
- Nutzung getrennter Accounts für die Verwaltung unterschiedlicher IT-Ressourcen.
Zur Begrenzung eines anhaltenden Privilegienmissbrauchs wiederum könne ein Unternehmen folgende Maßnahmen ergreifen:
- Umsetzung eines Least-Privilege-Prinzips, um die Angriffsfläche zu verringern, und Implementierung von Zugriffskontrollen auf Betriebssystemebene bei Windows-, Unix- und Mac-Rechnern.
- Nutzung einer Threat-Analytics-Lösung, um die Aktivitäten privilegierter Sitzungen automatisch zu analysieren, verdächtige Aktionen zu identifizieren und laufende Angriffe zu erkennen. Best-of-Breed-Lösungen ergreifen automatisch Abhilfemaßnahmen bei besonders schwerwiegenden Sicherheitsvorfällen, so CyberArk. Dadurch könne ein Security-Team Angriffe unmittelbar unterbinden.
Lesen Sie mehr zum Thema
