Der Netzwerkperimeter hat für die Sicherheit in einer Zeit der verstärkten Nutzung von Cloud-Services und Automatisierungslösungen sowie der Remote-Arbeit an Bedeutung verloren. Der neue Perimeter ist die Identität. Folglich sollte jedes Unternehmen eine Identity-Security-Strategie umsetzen. CyberArk empfiehlt dabei eine stufenweise Vorgehensweise.
Identitäten dienen der Authentifizierung für den Zugriff auf vertrauliche Systeme, Geschäftsprozesse und Daten. Jede Identität, gleichgültig, ob Administrator, Remote-Mitarbeiter, Drittanbieter oder auch Gerät und Anwendung kann privilegierte Rechte besitzen. Damit steigen die Gefahren für die IT-Sicherheit drastisch.
Um Identitäten zu schützen, empfiehlt CyberArk ein schrittweises Vorgehen. Ein CyberArk-Blueprint hilft dabei Unternehmen, ihre Sicherheitslage zu verbessern, indem sie wie ein Angreifer denken und sich gegen die drei Techniken verteidigen, die typischerweise verwendet werden, um auf privilegierte Identitäten zuzugreifen, Daten zu stehlen und Systeme außer Betrieb zu setzen.
Konkret basiert der Blueprint auf drei Leitprinzipien: der Verhinderung des Diebstahls von Anmeldeinformationen, dem Stoppen von lateralen und vertikalen Bewegungen und der Begrenzung des Privilegienmissbrauchs.
Zur Verhinderung des Credential-Diebstahls empfiehlt CyberArk folgende Maßnahmen:
- Beseitigung manueller Prozesse zur Verwaltung von Zugangsdaten und Secrets, Einführung eines gehärteten und sicheren digitalen Tresors zur zentralen Speicherung von Anmeldedaten für privilegierte Konten und automatische Rotation von Passwörtern und Schlüsseln auf der Basis von Richtlinien.
- Verwendung eines sicheren Proxy-Servers, um Endpunkte von Zielsystemen zu entkoppeln, den Datenverkehr von privilegierten Sitzungen zu isolieren und die Übertragung von Anmeldeinformationen zu vermeiden. Bei diesem Ansatz authentifizieren sich die Benutzer beim Proxy-Server und erhalten dann über eine separate Sitzung privilegierten Zugriff auf die Zielsysteme.
- Eliminierung von hartkodierten Anmeldeinformationen aus Anwendungen, RPA-Plattformen oder CI/CD-Tools und Einführung einer zentralisierten Application-Access-Management-Lösung, die es autorisierten Anwendungen ermöglicht, automatisch und in Echtzeit Secrets aus einem sicheren digitalen Tresor abzurufen.
- Aktive Überwachung von Credential-Speichern, Browser-Caches, Tools wie WinSCP oder VNC, Service Accounts und SAML-Key-Repositories.
Um Seitwärts- und vertikale Bewegungen von Angreifern zu unterbinden, sind laut CyberArk folgende Schritte hilfreich:
- Eliminierung von Shared-Credentials über alle Endpunkte hinweg.
- Einführung eines Zero-Trust-Modells mit Just-in-Time-Bereitstellung von Privilegien, sodass Benutzer nur bei Bedarf und vorübergehend auf privilegierte Konten zugreifen oder privilegierte Befehle ausführen können.
- Nutzung getrennter Accounts für die Verwaltung unterschiedlicher IT-Ressourcen.
Zur Begrenzung der fortgesetzten missbräuchlichen Nutzung von Privilegien kann ein Unternehmen folgende Maßnahmen ergreifen:
- Umsetzung eines Least-Privilege-Prinzips, um die Angriffsfläche zu verringern, und Implementierung von Zugriffskontrollen auf Betriebssystemebene bei Windows-, Unix- und Mac-Rechnern.
- Nutzung einer Threat-Analytics-Lösung, um die Aktivitäten privilegierter Sitzungen automatisch zu analysieren, verdächtige Aktionen zu identifizieren und laufende Angriffe zu erkennen. Best-of-Breed-Lösungen ergreifen automatisch Abhilfemaßnahmen bei besonders schwerwiegenden Sicherheitsvorfällen; so können Angriffe unmittelbar unterbunden werden.
„Ausgehend von einer detaillierten Bestandsaufnahme sollte ein Unternehmen einen mehrschichtigen Identity-Security-Ansatz verfolgen“, betont Michael Kleist, Regional Director DACH bei CyberArk. „Unser Blueprint für die Umsetzung einer Identity-Security-Strategie kann Unternehmen eine erste Hilfestellung geben, wie sie ihr Sicherheitsrisiko sukzessive deutlich reduzieren können.“