Grundvoraussetzung für Identity Security:Intelligente Kontrolle privilegierter Zugriffe

3. August 2023

Die Anzahl von Identitäten steigt kontinuierlich. Damit verbunden nehmen auch die Sicherheitsrisiken zu. Eine Identity-Security-Strategie, die intelligente Kontrollverfahren beinhaltet, ist somit nötiger denn je. Elementare Maßnahmen sind dabei der Just-in-Time-Zugriff, die Session-Isolierung, die Umsetzung des Least-Privilege-Prinzips sowie das Credential- und Secrets-Management.

Unternehmen sind mit einem dynamischen Wachstum von Identitäten konfrontiert: sowohl von Maschinen als auch von Menschen. Aktuell kommen auf jede menschliche Identität 45 maschinelle Identitäten. Im Jahr 2023 wird sich die Gesamtzahl der Identitäten voraussichtlich mindestens verdoppeln. Parallel zu dieser Entwicklung nimmt auch die Anzahl identitätsbezogener Angriffe – etwa mittels Ransomware oder Phishing – dramatisch zu.

Wie kann ein Unternehmen nun diese komplexe Lage in den Griff bekommen? Die Antwort lautet: mit einer Identity-Security-Strategie. Sie gilt als Grundlage der modernen Cyber-Resilienz. Identity Security kombiniert Identity and Access Management (IAM), Identity Governance and Administration (IGA) und Privileged Access Management (PAM). Damit können Unternehmen ihre digitalen Ressourcen zuverlässig schützen, indem sie Sicherheitskonzepte von Endgeräten über Rechenzentren bis hin zur Cloud sowohl für menschliche als auch für digitale Identitäten zusammenführen.

Entscheidend ist dabei, dass Unternehmen intelligente Kontrollen für die privilegierten Zugriffe aller Identitäten einführen und nutzen. Konkret geht es dabei um vier Kontrollverfahren: den Just-in-Time-Zugriff, die Session-Isolierung, das Least-Privilege-Prinzip sowie das Credential- und Secrets-Management. Diese intelligenten Berechtigungskontrollen müssen in Kombination genutzt werden, um den Zugang für jeden Identitätstyp und jede Identität zu sichern. Die vier Kontrollmechanismen sind:

  • Einrichtung eines Just-in-Time-Zugriffs: Mit der Zugriffsmethode Just-in-Time können Unternehmen den Benutzern in Echtzeit erweiterte Zugriffsrechte gewähren, damit sie erforderliche Aufgaben ausführen können. Das heißt, ein Endanwender kann für eine bestimmte Dauer auf die benötigten Ressourcen zugreifen, um eine bestimmte Tätigkeit durchzuführen. Anschließend werden ihm die Rechte wieder entzogen.
  • Session-Isolierung: Bei der Session-Isolierung wird der Datenverkehr zwischen dem Endgerät eines Benutzers und den Ressourcen, auf die er zugreifen möchte, über einen Proxy-Server geleitet. So wird im Falle eines Angriffs auf einen Endbenutzer das Risiko einer Kompromittierung des Zielsystems verringert und ein zusätzlicher Kontrollpunkt für die Angriffserkennung eingerichtet.
  • Umsetzung des Least-Privilege-Prinzips: Ein uneingeschränkter beziehungsweise unregulierter Zugriff für Identitäten ist eine der Hauptursachen für den Missbrauch sensibler Daten und potenzielle Sicherheitsverletzungen. Aus diesem Grund ist es wichtig, stets das Least-Privilege-Prinzip durchzusetzen und jeder Identität die richtigen – sprich minimal notwendigen – Rechte für den Zugriff auf kritische Ressourcen zu gewähren.
  • Credential- und Secrets-Management-Implementierung: Das Credential-Management beinhaltet neben der dynamischen Einsetzung von Credentials zur Laufzeit vor allem die Rotation von Passwörtern und Keys sowie die Durchsetzung von Passwortrichtlinien. Das Secrets-Management ermöglicht es Unternehmen, ähnliche Sicherheitsrichtlinien für nicht-menschliche (maschinelle) Identitäten durchzusetzen, wie sie für menschliche Identitäten bereits Standard sind.

Die identitätsbezogenen Angriffe werden immer raffinierter. Es ist deshalb wichtig, mit einem proaktiven und reaktiven Ansatz widerstandsfähig gegen Cyber-Angriffe zu sein. Mit den genannten vier intelligenten Berechtigungskontrollen können Unternehmen die Risiken entscheidend reduzieren, indem sie den Zugang für jede Identität sichern. Die Aufgabe für Unternehmen lautet also, Identitäten nicht nur zu verwalten, sondern sie auch im Rahmen einer umfassenden Identity-Security-Strategie mittels intelligenter Kontrollen für privilegierte Zugriffe zu sichern.

Michael Kleist ist Area Vice President DACH bei CyberArk.

CyberArk

Lesen Sie auch