CISOs im Dauerstress: PAM – die Brücke zwischen Risikomanagement und Regelwerkserfüllung
CISOs vor allem von Banken und Versicherungen sind seit knapp 2 Jahren im Dauerstress. Der Grund: Ein dramatischer Anstieg der Cyberkriminalität als Folge der Corona-Pandemie mit tausenden Mitarbeitern im Homeoffice und einer damit gravierend gesunkenen IT-Sicherheit. Für die IT-Verantwortlichen bedeutet das, globalen Risiken entgegenzutreten, für die Einhaltung lokaler Compliance-Vorschriften zu sorgen und gleichzeitig die Maßnahmen ihrer Unternehmen für einen technologiegestützten Aufschwung und entsprechendes Wachstum zu unterstützen.
von Guido Kraft, Cybersecurity Solution Architect bei Wallix
Die Angreifer auf Finanzsysteme nutzen zwar ganz unterschiedliche Ansatzpunkte, um in die Netzwerke von Banken und Versicherungen einzudringen und dort den größtmöglichen Schaden anzurichten. Der erfolgreichste und effizienteste Weg für Cyberkriminelle führt dabei meist über kompromittierte Nutzerkonten. Ganz oben auf der Liste der Angreifer steht das Erwerben privilegierter Anmeldeinformationen.Folgerichtig müssen sich die CISOs bei ihrer Abwehrschlacht vor allem auf die privilegierten Accounts konzentrieren und den Fokus auf ein funktionierendes Privileged Access Management (PAM) legen.”
Im Folgenden lesen Sie, was es bei der Einführung eines PAM zu beachten gilt.
Im Spannungsfeld zwischen Regelwerken und Risikomanagement
Aufgrund der verschärften Bedrohungslage müssen CISOs die Risikoanfälligkeit und die Risikowiderstandsfähigkeit ihrer Ökosysteme abbilden, Compliance-Strukturen aufbauen, um Risiken zu mindern und Maßnahmen für die Risikobewältigung implementieren. Dabei spielt die Zugangssicherheit, also Identity und Access Management (IAM), eine wichtige Rolle in jeder Security-Strategie. Sie stärkt die IT-Sicherheit einer Organisation. IAM hilft aber auch dabei, die vielfältigen Compliance-Anforderungen zu erfüllen, da sich beispielsweise Reports über Freigaben und Zugriffsrechte automatisiert erzeugen lassen. Der weitaus größte Teil von Angriffen auf Computernetzwerke wird unter Zuhilfenahme von Techniken zur Erlangung höherer Privilegien durchgeführt. Dabei handelt es sich um verzeichnisintegrierte Accounts von natürlichen Personen, Service-Accounts oder aber auch um die Ausnutzung von Berechtigungen lokaler Accounts auf Endpunkten z.B. durch Malware. Insbesondere im Bereich der kritischen Infrastrukturen geht es neben dem primären Ziel des Schutzes der Unternehmens- oder Organisations-Infrastruktur und deren Daten aber auch darum, gesetzlich formulierte Compliance-Anforderungen wie B3S nach BSI zu erfüllen oder Industriestandartanforderungen wie z.B. die ISO 27001.
CISOs, CSOs oder IT-Leiter kleinerer oder mittelgroßen Banken stehen der Herausforderung gegenüber, auf der einen Seite den Regelwerken zu genügen und auf der anderen Seite die Wertschöpfung und die Business-Agilität eines Unternehmens zu fördern. Ein risikobasierter Ansatz mit der Einstufung von Systemen nach Risikoklassen kann hier förderlich sein. Während Compliance-basierte Ansätze sich stärker darauf fokussieren, notwendige Checklisten abzuarbeiten, um gesetzlichen Anforderungen nachzukommen und Audits zu bestehen, stehen bei risikobasierten Modellen die Reduktion tatsächlicher Gefährdungen durch Cyberangriffe und Datenschutzverletzungen im Vordergrund. Nachweise der Compliance-Anforderungen können von einem risikobasierten Ansatz im Bereich Zugriffsmanagement allerdings sehr schnell abgeleitet werden.
Demnach kann Zugriffsmanagement als das ideale und zentrale Bindeglied zwischen Compliance- und risikobasiertem Ansatz betrachtet werden und stellt somit für den CISO ein Mittel dar, das Spannungsfeld zu überwinden.”
Durch die große Durchdringung im gesamten IT-Bereich, insbesondere im Bereich der hochsensiblen Zugangsdaten privilegierter Accounts, fördert der risikobasierte Ansatz hier auch in großer Tiefe die Erreichung von Compliance-Anforderungen. Damit stehen sich anders als bei vielen anderen Technologien der risikobasierte Ansatz und der Compliance-basierte Ansatz nicht diametral entgegen, sondern bauen aufeinander auf.
Kanalisierung und Strukturierung von Zugängen und möglichen Zugriffen
Die große Stärke und Wirkung bei der Einführung eines Zugriffsmanagements besteht in erster Linie in der Simplifizierung der Prozesse und daraus folgernd in einer enorm gesteigerten Kontrolle über den Zugriff auf die unternehmenseigenen Systeme – speziell durch externe Dienstleister, externe eigene Mitarbeiter wie auch interne Mitarbeiter z.B. die der internen IT-Abteilung. Wo zuvor z.T. enorme Wissenslücken über mögliche Zugriffe herrschten, also wann diese stattfinden, durch wen diese vorgenommen werden und was für Tätigkeiten ausgeführt wurden, werden mit der Einführung eines Zugriffsmanagementsystems diese Wissenslücken (blind Spots) aufgefüllt. Damit wird dieses System eines der zentralen Bausteine im kontinuierlichen Verbesserungsprozess innerhalb eines ISMS (Information Security Management System) nach PDCA (Plan-Do-Check-Act) -Zyklus.
Wie sehr sich die Situation vor der Einführung eines Zugriffsmanagementsystems zu der nach einer Einführung unterscheiden, zeigen folgende Grafiken:
Wie unschwer zu erkennen ist, gibt es in Unternehmen, welche kein Zugriffsmanagement einsetzen, in der Regel Hunderte von Zugriffsmöglichkeiten auf die interne Infrastruktur. Eine Kontrolle darüber ist zu keiner Zeit mehr gegeben.
Durch gezielte Konsolidierung, Kanalisierung und Strukturierung der Zugänge gelingt es wieder, Kontrolle über den Zugang zu Unternehmensressourcen zu erlangen. Zusätzliche direkt im Zugriffsmanagement erstellbare Genehmigungsworkflows schaffen zudem die Situation, immer genau zu wissen, Wer, Wann, Wie und Weshalb Zugriff auf diese Systeme benötigt.
Privileged Access Management sichert kritische Infrastrukturen!
Wenn Insider-Bedrohungen die Quelle von Angriffen sind, dann verläuft die primäre Angriffslinie durch bevorrechtigte (privilegierte) Accounts, könnte man sagen.
Denn Accounts mit besonderen Rechten stellen im wahrsten Sinne des Wortes den Generalschlüssel zum gesamten IT-Königreich dar.”
Privilegierte Nutzer verfügen üblicherweise über Administrator- und Root-Berechtigungen wie beispielsweise
- das Recht, die System-Konfigurationen zu ändern
- den Zugriff auf Installations-Software
- die Berechtigung, Nutzer neu anzulegen oder die Berechtigungen zu ändern
- die Berechtigung, auf gesicherte Daten zuzugreifen oder sie zu ändern
- die Möglichkeit, Privilegien-Stufen für andere oder sich selbst zu verwalten.
Wie funktioniert Privileged Access Management (PAM)?
PAM ermöglicht:
- die Vergabe von Privilegien an Nutzer ausschließlich für diejenigen Systeme, für die sie berechtigt sind
- die Vergabe von Zugangsrechten immer nur dann, wenn sie benötigt werden und den prompten Entzug, sobald die Notwendigkeit nicht mehr gegeben ist
- die Löschung direkter/lokaler System-Passwörter für privilegierte Nutzer
- die zentrale Zugangsverwaltung über ein disparates Set heterogener Systeme
- die Schaffung eines unveränderlichen Protokolls für alle privilegierten Vorgänge
Zusammenfassend begleitet PAM den kompletten Aktionsradius einer privilegierten Identität in jedem beliebigen Einsatzgebiet.
Die blauen Kästchen (IGA, MFA, IAM, SIEM) symbolisieren die Integration mit anderen Security-Komponenten, um maximale Sicherheit zu ermöglichen.
Die Komponenten einer PAM-Lösung:
- Zugangs-Manager
Dieses Feature regelt den Zugriff auf privilegierte Konten über einen einzelnen Punkt und über die klare Definition und Durchsetzung von Policies für das privilegierte Account-Management. Ein übergeordneter Administrator (ein sogenannter Super-Admin) kann als Access Manager in einem zentralisierten System privilegierte Nutzer-Accounts entweder neu aufsetzen, modifizieren oder löschen – dadurch wird die Effizienz bei diesen Abläufen deutlich verbessert und die unterschiedlichen Compliance-Levels werden effektiver umgesetzt.
- Session-Manager
Die Funktion verfolgt und überwacht alle Maßnahmen, die während einer Sitzung mit privilegierten Konten ergriffen werden, damit sie für spätere Prüfungen oder Audits nachvollzogen werden können. Darüber hinaus können einige Systeme sogar böswilligen oder nicht autorisierten Maßnahmen vorbeugen und Super-Admins alarmieren, falls verdächtige Aktivitäten entdeckt werden.
- Tresore für Passwörter/Passwort-Manager
Passwörter sollten in einem sicheren und zertifizierten, virtuellen „Tresor“ aufbewahrt werden. Jedweder System-Zugang sollte über den Passwort-Tresor laufen. So ist sichergestellt, dass Endanwender niemals direkten Zugriff auf Root-Passwörter erhalten.
-
Was eine PAM-Lösung bieten MUSS!
Dieses Feature regelt den Zugriff auf privilegierte Konten über einen einzelnen Punkt und über die klare Definition und Durchsetzung von Policies für das privilegierte Account-Management. Ein übergeordneter Administrator (ein sogenannter Super-Admin) kann als Access Manager in einem zentralisierten System privilegierte Nutzer-Accounts entweder neu aufsetzen, modifizieren oder löschen – dadurch wird die Effizienz bei diesen Abläufen deutlich verbessert und die unterschiedlichen Compliance-Levels werden effektiver umgesetzt.
Die Funktion verfolgt und überwacht alle Maßnahmen, die während einer Sitzung mit privilegierten Konten ergriffen werden, damit sie für spätere Prüfungen oder Audits nachvollzogen werden können. Darüber hinaus können einige Systeme sogar böswilligen oder nicht autorisierten Maßnahmen vorbeugen und Super-Admins alarmieren, falls verdächtige Aktivitäten entdeckt werden.
Passwörter sollten in einem sicheren und zertifizierten, virtuellen „Tresor“ aufbewahrt werden. Jedweder System-Zugang sollte über den Passwort-Tresor laufen. So ist sichergestellt, dass Endanwender niemals direkten Zugriff auf Root-Passwörter erhalten.
Eine PAM-Lösung bietet eine Reihe von Funktionen, die sich auf die Risiken des privilegierten Zugriffs in den IT-Umgebungen kritischer Infrastrukturen beziehen. Der Betrieb vor Ort oder auf Cloud-Ebene automatisiert den Schutz der Netzwerke vor Hackern und anderen externen Bedrohungen.
IT-Administratoren brauchen ein zentrales Werkzeug zur Durchsetzung und Verwaltung von Richtlinien, egal wie viele verbundene Geräte und Endpunkte ihr Netzwerk umfasst.”
KRITIS-Unternehmen verfügen in der Regel über derart hochkomplexe IT-Umgebungen, dass sie eine gradlinige Lösung brauchen, die mit all ihren on-premise aufgesetzten, cloudbasierten und hybriden Systemen, die oft auch noch über mehrere Standorte weltweit verteilt sind und darüber hinaus von zahlreichen Angestellten ebenso wie von Auftragsnehmern von dritter Seite genutzt werden, nahtlos zusammenarbeitet.
Kritische Infrastrukturen müssen rund um die Uhr verfügbar sein, sieben Tage die Woche, 365 Tage im Jahr. Der Betriebsablauf ist zudem schlicht zu komplex und schnelllebig, um von PAM-Lösungen profitieren zu können, die sich nur unter großem Aufwand implementieren und betreiben lassen. Es braucht also eine Architektur, die ausgesprochen geradlinig aufgebaut ist, wodurch es vergleichsweise einfach ist, die Lösung zu implementieren und anzupassen. Lösungen sollten agentenlos arbeiten und REST-Webdienste nutzen. Eine PAM-Lösung sollte zudem ein einziges HTML 5-basiertes Portal bieten, in dem die Administratoren sehr einfach den Zugang für privilegierte Nutzer festlegen können, ebenso wie die Definition der jeweils verfügbaren Systeme und Protokolle. Diese Herangehensweise vereinfacht die Verwaltung ebenso wie es für die Anwender auf diese Weise sehr viel leichter nachzuvollziehen ist, wer mit einem einfachen Klick eine Session starten kann. Flexibilität bei der Authentifikation ist ebenfalls von Nöten. Ein integrierten „Passwort-Tresor für die Authentifizierung“ zum Beispiel, der auch mit LDAP, LDAPs Active Directory, Radius und TACACS+ zusammen arbeitet und darüber hinaus die Fähigkeit besitzt, sich mit jeder bereits bestehenden Authentifizierungslösung Dritter zu verbinden.
Audits und Compliance-Vorgaben durch PAM erleichtern
Wie Hacker auch, richten Auditoren und Regulierungsbehörden ihre Aufmerksamkeit vermehrt auf Versorgungsunternehmen oder Banken. Regulatorische Rahmenbedingungen wie NERC CIP, NIST, SOX, und PCI DSS, gar nicht erst zu reden von Qualitätsstandards wie ISO 20071, erfordern alle eine grundlegende und umfassende Auseinandersetzung seitens dieser Organisationen mit dem Thema Cybersicherheit. Und, nicht zu vergessen:
Die Unternehmen müssen in der Lage sein, die Einhaltung der Compliance-Vorgaben im Falle eines Audits auch zu beweisen!”
PAM-Lösungen sind in der Lage, die Sessions bevorzugter Accounts auf zuvor definierten Zielgeräten aufzuzeichnen und so einen über jeden Zweifel erhabenen Audit-Trail anzulegen. Diese Session-Protokolle enthalten auch die Kommandozeilen der Sitzungen (SSH, Telnet, rsh) und die graphischen Sessions der Windows Terminal Server (RDP). Administratoren können die Sessions entweder in Echtzeit überwachen oder bei Bedarf alle aufgezeichneten Sitzungen anschauen bzw. gezielt durchsuchen. Die RDP-Sessions werden via OCR analysiert, damit sich der Content hinterher auf zweckdienliche Weise durchsuchen lässt.
Fazit
Neben der Erfüllung von Compliance-Anforderungen und der nahtlosen Integration in einen risikobasierten Ansatz, der im Informationssicherheitsmanagementsystem verfolgt wird, fördert dieser Ansatz unabhängig von diesen Vorgaben die Rückerlangung von Kontrolle über die möglichen Zugriffe auf die Unternehmens- oder Organisationssysteme. Mangelnde Kontrolle und Kontrollierbarkeit ist in vielen internen IT-Abteilungen heutzutage zunehmend ein Problem.
Die Komplexität der eingesetzten Lösungen hat stetig zugenommen. Daher ist es wichtig, dass die Informationssicherheitssysteme optimal eingerichtet sind und v.a. schlank und einfach in der Bedienung und Administration sind.”
Gerade für Organisationen, welche rechtliche Vorgaben und Bestimmungen nach vorgegebenen Standards einhalten müssen, ist die Einführung eines Zugriffsmanagementsystems und dessen Ausgestaltung nach einem risikoklassenbasierten Ansatz, welcher sich nahtlos in das Risikomanagement des Unternehmens und somit kaskadierend ebenso in das ISMS und die Informationssicherheitsleitlinie des Unternehmens integriert, von großem Mehrwert. Durch die Rückerlangung von Kontrolle, der Einrichtung von standardisierten Genehmigungsworkflows auf unternehmenseigene Systeme und der jederzeit nachvollziehbaren Aktionen sowie eben strengen Nutzungsregelungen nach einem risikobasierten Ansatz, der durch die Einrichtung von risikoklassenbasierten Regeln und Objekten untermauert wird, rechnet sich dieser Aufwand aber schon nach sehr kurzer Zeit nach der Implementierung.Guido Kraft, Wallix
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/132276
Schreiben Sie einen Kommentar