Sikov - stock.adobe.com
Best Practices für effektives Privileged Access Management
Privilegierte Konten sind einer der wichtigen Bausteine der IT. Das macht sie zum attraktiven Ziel für Angreifer und besonders schützenswert. Dabei helfen bewährte Vorgehensweisen.
Privilegierte Konten erlauben es, Prozesse auszuführen, die erhöhte Berechtigungen erfordern und sind als solches unverzichtbar für eine effiziente Verwaltung von Netzwerken und die Gewährleistung eines durchgängigen Informationsflusses.
Genau dies macht sie für Cyberkriminelle zu einem attraktiven Ziel, denn ihre weitreichenden Befugnisse ermöglichen Zugriff auf unternehmenskritische Assets und die Kontrolle über das gesamte Netzwerk. Ein effizientes Privileged Access Management (PAM), das heißt eine sichere und ressourcenschonende Verwaltung sensibler Accounts, ist für viele IT-Abteilungen nach wie vor eine große Herausforderung, kann letztlich jedoch in wenigen Schritten erfolgreich umgesetzt werden.
Folgende sechs Best Practices sollten Sie berücksichtigen, wenn Sie in Sachen Privileged Access Management in der ersten Liga spielen möchten.
1. Verschaffen Sie sich einen Überblick über Ihre interne „PAM-Landschaft“
Weil man nur schützen kann, was man auch kennt, ist der erste wichtige Schritt, sich einen Überblick über alle privilegierten Accounts zu verschaffen. Klären Sie also zunächst, welche sensiblen Konten in Ihren Systemen existieren.
Neben klassischen administrativen Benutzerkonten sowie lokalen und Domain-Administrator-Accounts zählen dazu unter anderem auch Root-Konten zur Verwaltung von Unix- oder Linux-Plattformen, Applikationskonten (etwa für die Ausführung von Skripten oder den Zugriff auf Datenbanken) sowie Accounts für Netzwerkgeräte mit Zugriff auf Firewalls, Router oder Switches.
Prüfen Sie, welche Mitarbeiter privilegierten Kontenzugriff haben und wie und wo die entsprechenden Zugriffsdaten gespeichert werden. Auf diese Weise können Sie veraltete und nicht mehr genutzte Accounts identifizieren, die als Hintertür für interne und externe Angriffe missbraucht werden könnten.
2. Entwerfen Sie sinnvolle Passwortrichtlinien
Da privilegierte Konten Zugriff auf sensible und unternehmenskritische Ressourcen bieten und ihrem Nutzer die administrative Kontrolle über das gesamte Netzwerk gewähren, bedürfen die Passwörter und Zugriffsdaten eines besonderen Schutzes.
Entwickeln Sie hierzu effektive Kennwortrichtlinien etwa nach den Best-Practice-Vorlagen von SANS, NIST oder ISO 17799/ISO 9000. Achten Sie dabei darauf, dass Ihre Richtlinien sowohl an den Anforderungen von menschlichen als auch nicht-menschlichen Konten ausgerichtet sind. Für erstere sollten Sie Passphrasen verwenden, das heißt eine mehr oder weniger sinnvolle Aneinanderreihung bestimmter Wörter, Begriffe oder Zahlen, die zwar komplex, aber dennoch leicht zu merken ist.
Die Häufigkeit der Passwortrotation hängt dabei davon ab, ob Sie zusätzlich eine Multifaktor-Authentifizierung nutzen. Nach Sicherheitsvorfällen oder dem Ausscheiden eines Mitarbeiters ist eine sofortige Abänderung der Kennwörter jedoch unumgänglich.
Passwörter für systembasierte oder Non-Human-Accounts sollten grundsätzlich möglichst häufig rotieren. Hierfür empfiehlt sich der Einsatz einer Passwortmanagement-Lösung, die auf Automation beruht, das heißt Passwortänderungen nach einem individuell festgelegten Zeitplan automatisiert. Alle verbundenen Systeme und Nutzer werden dann in Echtzeit über die Änderungen informiert, so dass keinerlei manueller Eingriff erforderlich ist.
3. Ändern Sie Standard-Softwarekonfigurationen umgehend ab
Es mag selbstverständlich erscheinen, dennoch sollte man nicht versäumen, IT-Verantwortliche immer wieder darauf hinzuweisen, Standard-Softwarekonfigurationen für Systeme, Geräte und Anwendungen vor der Bereitstellung in der Unternehmensumgebung zu ändern.
Standardbenutzernamen und -passwörter eines bestimmten Herstellers oder einer Produktlinie sind in der Regel identisch. Hacker wissen dies und haben bei nachlässigen Unternehmen natürlich leichtes Spiel. Machen Sie sich und Ihren Mitarbeitern klar, dass Standardpasswörter ausschließlich für die Erstinstallation, Konfiguration und den Testbetrieb vorgesehen sind.
4. Haben Sie Shared User-Accounts im Blick
Shared User-Accounts sind Benutzerkonten, die von mehreren Mitarbeitern im Unternehmen genutzt werden. Folglich kennen alle Beteiligten die Zugriffsdaten eines solchen Accounts und greifen teilweise gleichzeitig darauf zu.
Insbesondere mit wachsender Größe der Gruppe, die einen Account gemeinsamen nutzt, wird auch die Verwaltung und Überwachung schwieriger. Mitarbeiter kommen und gehen und nehmen die sensiblen Passwörter einfach mit, was eine unkontrollierte Verbreitung sensibler Passwörter zur Folge hat.
Im Falle einer Account-Kompromittierung ist es dann schwer, Verantwortliche zu identifizieren und zur Rechenschaft zu ziehen. Halten Sie die Zahl der Shared User-Accounts und ihrer Nutzer deshalb so gering wie möglich und beharren sie auf regelmäßige Passwortrotationen.
„Theoretisch sollte ein Mitarbeiter ausschließlich über die Zugriffsrechte und Berechtigungen verfügen, die er zur Erledigung seiner Aufgaben auch tatsächlich benötigt. Die Realität sieht jedoch oft anders aus.“
Markus Kahmen, Thycotic
5. Überwachen Sie sämtliche Aktivitäten auf privilegierten Konten
Je mehr Transparenz Sie über privilegierte Aktivitäten und Sitzungen haben, desto besser können Sie Fehlverhalten von Anwendern und Missbrauch vorbeugen. Implementieren Sie deshalb eine automatische Sitzungsüberwachung und -aufzeichnung, die Ihnen diese Sichtbarkeit gewährleistet.
Auf diese Weise können Sie einerseits auf einen Blick erkennen, welche Ihrer Sicherheitsrichtlinien von den Mitarbeitern korrekt umgesetzt werden und welche eine zusätzliche Schulung erfordern.
Andererseits hilft die kontinuierliche Überwachung privilegierter Konten Ihnen dabei, unübliche und potenziell schädliche Zugriffe frühzeitig – und bevor größerer Schaden entsteht – zu identifizieren und zu stoppen. Die aus der Überwachung generierten Daten liefern den Security-Verantwortlichen zudem wichtige Informationen, um ihre Sicherheitsstrategie sinnvoll zu erweitern.
6. Vergeben Sie Zugriffsrechte nach dem Least-Privilege-Prinzip
Theoretisch sollte ein Mitarbeiter ausschließlich über die Zugriffsrechte und Berechtigungen verfügen, die er zur Erledigung seiner Aufgaben auch tatsächlich benötigt.
Die Realität sieht jedoch oft anders aus: Viele Unternehmen sind mit der Umsetzung einer minimalen Rechtevergabe überfordert und erteilen – meist aus Bequemlichkeit oder Angst vor ungewollten Störungen der Arbeitsprozesse – viel zu weit gefasste Zugriffsrechte.
Für die Unternehmenssicherheit stellt dies ein großes Risiko dar – insbesondere, wenn privilegierte Berechtigungen betroffen sind –, weil die Angriffsfläche unnötig vergrößert wird. Teilen Sie Ihre Unternehmenskonten deshalb sorgfältig in Nutzer-, Service-, System- und Infrastruktur-Accounts ein und prüfen Sie sorgfältig, wer über die entsprechenden Zugriffsrechte verfügen muss.
Entfernen Sie lokale Administratorrechte von Workstations und Desktops und schränken Sie den Administratorzugriff für gewöhnliche Benutzer so weit es geht ein. Eine richtlinienbasierte Anwendungssteuerung trägt dabei zum Erfolg Ihrer Least-Privilege-Strategie bei, da sie Ihnen ermöglicht, Zugriffsrechte kontrolliert und überwacht zu erhöhen, zu sperren oder zu isolieren, so dass die Mitarbeiter ihre Tätigkeiten weiterhin sicher ausführen können, die Zahl der Helpdesk-Supporttickets jedoch deutlich sinkt.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.