Fehleinschätzungen zum Privileged Access Management
27. April 2020
Privileged-Access-Management-Lösungen, die den Zugang zu kritischen Geschäftsinformationen sichern, sind ein elementarer Bestandteil eines effektiven Cyber-Security-Programms. Allerdings gibt es nach wie vor Fehleinschätzungen rund um die Sicherung privilegierter Konten und Zugangsdaten.
Die überwiegende Mehrheit der „erfolgreichen“ Cyber-Angriffe ist auf die missbräuchliche Nutzung privilegierter Zugangsdaten zurückzuführen. Privileged-Access-Management (PAM)-Lösungen bieten hier eine wichtige Verteidigungsschicht.
Doch obwohl die Sicherung privilegierter Zugriffe eine Top-Priorität für die Verringerung von Sicherheitsrisiken ist, existieren nach wie vor einige Missverständnisse im Zusammenhang mit PAM.
Privilegierte Zugänge existieren überall, deshalb ist es unmöglich, sie alle zu sichern
Führende PAM-Lösungen können privilegierte Zugangsdaten automatisch in On-premise-, Cloud- und Hybrid-Umgebungen erkennen, sodass Sicherheitsteams deutlich entlastet werden. Darüber hinaus unterstützen moderne PAM-Tools auch die automatische Rotation privilegierter Anmeldeinformationen oder von SSH-Schlüsseln in regelmäßigen Abständen, um die zeitaufwändigen und fehleranfälligen manuellen Aufgaben zu eliminieren.
Nicht zuletzt bieten die besten PAM-Tools auch ein detailliertes Session-Monitoring, um riskante privilegierte Sitzungen automatisch zu erkennen und zu unterbrechen. Alle Funktionen sind dabei in Standard-Automationswerkzeuge einzubinden, um manuelle Tätigkeiten sowohl aus Kostengesichtspunkten als auch wegen der höheren Fehleranfälligkeit zu minimieren.
PAM-Lösungen sind für Administratoren nur schwer zu verwalten
In der Vergangenheit mag die Aussage zutreffend gewesen sein, aktuelle PAM-Lösungen reduzieren die Arbeitslast für die Administratoren aber erheblich. Durch die Speicherung und Sicherung aller privilegierten Zugangsdaten in einem zentralen digitalen Datentresor (Vault) entfällt die Notwendigkeit, solche Informationen manuell zu suchen und zu verwalten.
Gerade wenn Unternehmen die Cloud-Nutzung vorantreiben, sind PAM-Tools besonders hilfreich, um Migrationsrisiken zu minimieren. Bei der Einführung einer Hybrid- oder Public-Cloud-Infrastruktur können selbst geringfügige Fehlkonfigurationen neue Schwachstellen schaffen. Tools zur Erkennung von Risiken im Zusammenhang mit privilegierten Zugriffen verbessern die Sicherheit für ein Unternehmen deutlich.
IAM-Lösungen sind ausreichend für die Sicherung privilegierter Zugriffe
Identity-and-Access-Management (IAM)-Tools sind für die Aufrechterhaltung einer hohen Sicherheit unverzichtbar, aber sie ersetzen keine PAM-Lösung. So können PAM-Lösungen nicht nur privilegierte Zugangsrechte schützen, die mit Personen verbunden sind, sondern auch solche, die mit Applikationen und Services verknüpft sind – etwa Application Accounts, die in der robotergestützten Prozessautomatisierung (RPA) oder in DevOps-Szenarien genutzt werden. Hierfür sind IAM-Lösungen nicht geeignet.
Darüber hinaus ist zu beachten, dass IAM-Tools eine direkte Verbindung zu Benutzerdatenbanken wie dem Active Directory (AD) benötigen. Wenn irgendein Server kompromittiert wird, können Angreifer die Kontrolle über das AD erlangen, um Kerberos-Angriffe wie Golden Ticket durchzuführen und unentdeckt im Netzwerk eines Unternehmens zu agieren. PAM bietet hier einen wichtigen Security-Layer für Server, die die direkte Verbindung von der IAM-Lösung zu Benutzerdatenbanken wie AD hosten. Für eine hohe Sicherheit sollten somit IAM-Systeme und PAM-Lösungen komplementär genutzt werden.
PAM-Lösungen beeinträchtigen die betriebliche Effizienz
Der Einsatz von PAM-Tools trägt gerade zur Automatisierung zeitraubender Aufgaben für IT- und Security-Mitarbeiter bei, sodass sie Freiräume für höherwertige Tätigkeiten gewinnen. Auch Audit-Teams profitieren von der Automatisierung von Compliance-Aufgaben.
Die manuelle Überprüfung aller Sitzungen, die privilegierte Berechtigungen erfordern, kann extrem zeitaufwändig sein. PAM-Lösungen können diese Aufgaben automatisieren und so ein risikoreiches Verhalten erkennen. Moderne PAM-Lösungen beeinträchtigen damit nicht die betriebliche Effizienz, im Gegenteil: sie verbessern sie sogar.
„Eine wirksame Sicherheit beginnt mit dem Schutz der wertvollsten Informationen eines Unternehmens. Und dabei stellen nicht verwaltete und ungeschützte privilegierte Zugriffsmöglichkeiten eine erhebliche Bedrohung dar“, erklärt Michael Kleist, Regional Director DACH bei CyberArk. „Durch die automatisierte Verwaltung, Sicherung und Überwachung privilegierter Accounts und Zugangsdaten können Unternehmen ihr Sicherheitsrisiko deutlich vermindern. Und mit modernen PAM-Lösungen ist eine solche Maßnahme unternehmensweit durchgängig und ohne hohe Komplexität umsetzbar.“ (rhh)
