Privilegierte Anwender als Sicherheitsrisiko

Zugriffskontrolle wird immer wichtiger

13.05.2016
Von 
Andreas Gerst ist CTO & Vice President für Presales, Central Europe bei CA Technologies.

Die meisten der Skripte und Programme, die in sehr großer Zahl über die Jahre erstellt und wurden und die nun mit den automatisierten Systemen verknüpft sind, erfordern Zugriff auf Ressourcen wie Datenbanken oder Applikationen. Die benötigten Zugangsdaten sind dabei oft fest in die Programme oder Konfigurationsdateien eingebettet - und damit ein leichtes Ziel.

Wo Angreifer einsteigen

Aber auch die privilegierten Accounts selbst mit den zugehörigen Credentials müssen bei einer Sicherheitsstrategie angemessen berücksichtigt werden: Diese Accounts stellen das größte Risiko dar, da sie die Eingangspforte für Angreifer sind. Ein einfacher Weg, eine starke Authentifizierung zu gewährleisten, ist die ausschließliche Bereitstellung eines privilegierten Zugriffs durch ein Netzwerk-basiertes Gateway.

Selbsverständlich sollte sich ein solches System in die bestehende Identity-Management-Infrastruktur integrieren. Da diese Identity-Systeme sowohl authorisierte Nutzer als auch Rollen und Genehmigungen definieren, lassen sich diese Daten als Basis für den privilegiertem Zugriff nutzen. Darüber hinaus ist es extrem wichtig, Multifaktor-Authentifizierung (MFA) für privilegierten Zugriff vorzuschreiben.

Die Trennung von Authentifizierung und Zugang zum Privileged Access Management-System einerseits und dem tatsächlichen Zugriff auf die dadurch geschützten Ressourcen andererseits gibt Anwendern nur Zugang zu genau den Systemen und Ressourcen, die durch Richtlinien definiert und erlaubt sind. Ist nur der Zugriff auf einen einzelnen Server oder eng begrenzte Ressourcen notwendig, erhält der Nutzer auch nur Zugang zu genau diesem Teil des Netzwerks.

Darüber hinaus ist es möglich, den Grad an Kontrolle und die möglichen Aktionen auf dem System wie Shell-Zugang durch Proxy-Sessions zu begrenzen - und damit die Gefahr einzuschränken, dass ein Angreifer sich zusätzliche Berechtigungen verschafft oder lateral im Netzwerk bewegt.

Umfangreiche Logging-, Warn-, Aufzeichnungs- und Auditingfunktionen stellen ein Frühwarnsystem dar und zeigen verdächtiges oder ungewöhnliches Verhalten auf - die Protokolle lassen sich entweder individuell oder über ein Log-Management- oder SIEM-System im Kontext anderer Aktivitäten analysieren. So erhalten Unternehmen weitere Anhaltspunkte für verdächtige Vorfälle und können mit der Untersuchung beginnen, bevor ein Missbrauch tatsächlich stattfindet. Da in der Praxis häufig geteilte administrative Accounts wie "root" genutzt werden, ist das Zuordnen von Aktivitäten zu einem bestimmten Mitarbeiter enorm wichtig, um Compliance-Richtlinien zu erfüllen.

Auch Session-Recording bietet eine Reihe von Vorteilen, unter anderem eine direkte Wiedergabe und eine schnelle Wiederherstellung im Falle von unbeabsichtigten oder fehlerhaften Änderungen. Die Aufnahmen lassen sich darüber hinaus zu Trainingszwecken nutzen und zeigen Situationen auf, in denen Fehler gemacht wurden - so dass sich entsprechende Handlungsempfehlungen ableiten lassen.