Wenn Sie ein Systemadministrator sind, haben Sie sicher schon von den Risiken gehört, die mit vielen Konten mit privilegiertem Zugriff auf kritische IT-Ressourcen verbunden sind. Lesen Sie über die besten Lösungen, um diese unter Kontrolle zu halten.

Die Situation mit privilegiertem Zugriff kann schnell außer Kontrolle geraten, wenn die Zahl der Benutzer zusammen mit der Zahl der Anwendungen, Geräte und sogar der Infrastrukturarten wächst.

Um eine solche problematische Situation zu vermeiden, müssen Sie eine Lösung zur Verwaltung privilegierter Zugriffe einsetzen. Beginnen wir mit der Beantwortung der offensichtlichsten Frage:

Was ist Privileged Access Management?

Privileged Access Management (PAM) ist eine Reihe von Cybersecurity-Strategien und -Technologien für die Kontrolle über den erweiterten (“privilegierten”) Zugriff und die Berechtigungen für Benutzer, Konten, Prozesse und Systeme in einer IT-Umgebung.

Durch die Festlegung eines angemessenen Niveaus von privilegierten Zugriffskontrollen hilft PAM Unternehmen, ihre Angriffsflächen zu reduzieren und Schäden durch externe Angriffe sowie interne Sabotageversuche oder Nachlässigkeiten zu verhindern (oder zumindest zu mindern).

Obwohl das Privilegienmanagement viele Strategien umfasst, ist ein zentrales Ziel die Anwendung der geringstmöglichen Privilegien, d.h. die Beschränkung der Zugriffsrechte und -berechtigungen auf das absolute Minimum, das Benutzer, Konten, Anwendungen und Geräte benötigen, um ihre autorisierten Routineaktivitäten durchzuführen.

Viele Analysten und Technologen betrachten PAM als eine der wichtigsten Sicherheitsinitiativen zur Verringerung von Cyber-Risiken und zur Erzielung eines hohen Return on Security Investment.

Wie funktioniert Privileged Access Management (PAM)?

Privileged Access Management

Privileged Access Management funktioniert nach dem Prinzip der geringsten Privilegien, so dass selbst die am stärksten privilegierten Benutzer nur auf das zugreifen können, was sie benötigen. Tools für die Verwaltung von privilegierten Zugriffen sind in der Regel Teil einer umfassenderen PAM-Lösung, die verschiedene Herausforderungen im Zusammenhang mit der Überwachung, Sicherung und Verwaltung privilegierter Konten bewältigen soll.

Eine Lösung für die Verwaltung von privilegierten Zugriffen muss die Möglichkeit bieten, alle Aktivitäten im Zusammenhang mit privilegierten Zugriffen zu überwachen und zu protokollieren und diese dann an einen Administrator zu melden. Der Administrator kann den Überblick über den privilegierten Zugriff behalten und erkennen, in welchen Situationen er missbraucht werden könnte.

Die Lösung muss es Sysadmins leicht machen, Anomalien und potenzielle Bedrohungen zu erkennen, um sofort Maßnahmen zu ergreifen und den Schaden zu begrenzen. Zu den wesentlichen Funktionen einer Lösung zur Verwaltung privilegierter Zugriffe sollten gehören:

  • Identifizieren, verwalten und überwachen Sie privilegierte Konten auf allen Systemen und Anwendungen innerhalb eines Netzwerks.
  • Kontrolle des Zugriffs auf privilegierte Konten, einschließlich des Zugriffs, der gemeinsam genutzt werden kann oder in Notfällen verfügbar ist.
  • Erstellen Sie randomisierte und sichere Anmeldeinformationen für privilegierte Konten, einschließlich Passwörter, Benutzernamen und Schlüssel.
  • Bieten Sie eine mehrstufige Authentifizierung an.
  • Schränken Sie privilegierte Befehle, Aufgaben und Aktivitäten ein und kontrollieren Sie sie.
  • Verwalten Sie die gemeinsame Nutzung von Anmeldeinformationen durch verschiedene Dienste, um die Gefährdung zu begrenzen.

PAM vs. IAM

Privileged Access Management (PAM) und Identity Access Management (IAM ) sind gängige Methoden, um ein hohes Maß an Sicherheit zu gewährleisten und Benutzern den Zugriff auf IT-Ressourcen unabhängig von Standort und Gerät zu ermöglichen.

Es ist wichtig, dass Geschäfts- und IT-Mitarbeiter den Unterschied zwischen den beiden Ansätzen verstehen und wissen, welche Rolle sie dabei spielen, um den Zugang zu privaten und sensiblen Informationen zu sichern.

IAM ist ein eher allgemeiner Begriff. Er wird in erster Linie verwendet, um Benutzer im gesamten Unternehmen zu identifizieren und zu autorisieren. PAM hingegen ist eine Untergruppe von IAM, die sich auf privilegierte Benutzer konzentriert, d.h. auf diejenigen, die eine Genehmigung für den Zugriff auf die sensibelsten Daten benötigen.

IAM bezieht sich auf die Identifizierung, Authentifizierung und Autorisierung von Benutzerprofilen, die eindeutige digitale Identitäten verwenden. IAM-Lösungen bieten Unternehmen eine Kombination von Funktionen, die mit einem Zero-Trust-Ansatz für die Cybersicherheit kompatibel sind, bei dem Benutzer ihre Identität überprüfen müssen, wenn sie Zugriff auf einen Server, eine Anwendung, einen Dienst oder ein anderes IT-Asset anfordern.

Im Folgenden finden Sie einen Überblick über die führenden PAM-Lösungen, die sowohl als Cloud-basierte als auch als lokal installierte On-Premise-Systeme erhältlich sind.

Heimdal

Heimdal Privileged Access Management ist eine Lösung zur Eskalation und Delegation von Privilegien, die es Systemadministratoren ermöglicht, Eskalationsanfragen mit nur einem Klick zu genehmigen oder zu blockieren. Durch die Erstellung automatisierter Genehmigungsabläufe für Eskalationsanfragen nach vordefinierten Regeln und Bedingungen können IT-Teams ihre Umgebung vollständig an die Unternehmensanforderungen anpassen und dabei wertvolle Zeit und Ressourcen sparen.

YouTube video

Durch die Integration des PAM-Tools von Heimdal in die Infrastruktur können Unternehmen vollständig NIST AC-5 und AC-6-konform werden. Privileged Access Management bietet Benutzern ein vollständiges Audit-Protokoll mit umfassenden Eskalations- und Deeskalationsdaten, die 90 Tage lang verfügbar sind. Administratoren können ihre Ansicht der protokollierten Informationen auch nach verschiedenen Anforderungen filtern – nach Anfrage, nach Benutzer und mehr.

Schließlich ist es wichtig zu erwähnen, dass Heimdal Patch & Asset Management die einzige Lösung zur Eskalation und Delegation von Privilegien auf dem Markt ist, die Anfragen automatisch deeskaliert, sobald eine Bedrohung erkannt wird. Dies ist möglich, wenn PAM zusammen mit anderen Produkten aus der Heimdal-Suite eingesetzt wird, insbesondere mit Heimdal’s Next-Gen Antivirus.

Da die Gefahr des Missbrauchs von Insider-Privilegien für Unternehmen jeder Größe immer ein großes Problem darstellt, ist die Implementierung eines starken Systems zur Eskalation und Delegation von Privilegien für eine angemessene proaktive Schutzstrategie unerlässlich. Hier kommt Heimdal Patch & Asset Management mit seinen robusten Funktionen ins Spiel, die es Administratoren ermöglichen, die vollständige Kontrolle zu behalten und gleichzeitig Prozesse so weit wie möglich zu automatisieren.

StrongDM

StrongDM bietet eine Plattform für den Infrastrukturzugang, die Endpunktlösungen überflüssig macht und alle Protokolle abdeckt. Es handelt sich um einen Proxy, der Authentifizierungs-, Autorisierungs-, Netzwerk- und Überwachungsmethoden in einer einzigen Plattform vereint.

StrongDM

Anstatt den Zugriff zu verkomplizieren, beschleunigen die Mechanismen der Berechtigungsvergabe von StrongDM den Zugriff, indem sie mit Hilfe von rollenbasierter Zugriffskontrolle (RBAC), attributbasierter Zugriffskontrolle (ABAC) oder Endpunktgenehmigungen für alle Ressourcen sofort einen granularen Zugriff mit den geringsten Privilegien gewähren und widerrufen.

Das Onboarding und Offboarding von Mitarbeitern erfolgt mit einem einzigen Mausklick und ermöglicht die vorübergehende Genehmigung erhöhter Berechtigungen für sensible Vorgänge mit Slack, Microsoft Teams und PagerDuty.

StrongDM ermöglicht es Ihnen, jeden Endbenutzer oder Dienst mit genau den Ressourcen zu verbinden, die er benötigt, unabhängig von seinem Standort. Außerdem ersetzt es VPN-Zugang und Bastion Hosts durch Zero-Trust-Netzwerke.

StrongDM verfügt über zahlreiche Automatisierungsoptionen, darunter die Integration von Zugriffs-Workflows in Ihre bestehende Bereitstellungspipeline, das Streaming von Protokollen in Ihr SIEM und das Sammeln von Beweisen für verschiedene Zertifizierungsaudits, darunter SOC 2, SOX, ISO 27001 und HIPAA.

ManageEngine PAM360

PAM360 ist eine umfassende Lösung für Unternehmen, die PAM in ihre Sicherheitsabläufe einbinden möchten. Mit den kontextbezogenen Integrationsfunktionen von PAM360 können Sie eine zentrale Konsole einrichten, in der verschiedene Teile Ihres IT-Managementsystems miteinander verbunden sind, um eine tiefgreifendere Korrelation zwischen privilegierten Zugriffsdaten und allgemeinen Netzwerkdaten herzustellen, was aussagekräftige Rückschlüsse und schnellere Abhilfemaßnahmen ermöglicht.

ManageEngine PAM360

PAM360 stellt sicher, dass kein privilegierter Zugriffspfad zu Ihren geschäftskritischen Ressourcen unkontrolliert, unbekannt oder unüberwacht bleibt. Um dies zu ermöglichen, bietet es einen Berechtigungstresor, in dem Sie privilegierte Konten speichern können. Dieser Tresor bietet eine zentralisierte Verwaltung, rollenbasierte Zugriffsberechtigungen und AES-256-Verschlüsselung.

Mit Just-in-Time-Kontrollen für Domänenkonten gewährt PAM360 erhöhte Berechtigungen nur dann, wenn die Benutzer sie benötigen. Nach einem bestimmten Zeitraum werden die Berechtigungen automatisch entzogen und die Passwörter zurückgesetzt.

Neben der Verwaltung des privilegierten Zugriffs erleichtert PAM360 privilegierten Benutzern die Verbindung zu Remote-Hosts mit einem einzigen Klick, ohne Browser-Plug-ins oder Endpunkt-Agenten. Diese Funktionalität bietet einen Verbindungstunnel über verschlüsselte, passwortlose Gateways, die maximalen Schutz bieten.

Teleport

Die Strategievon Teleport besteht darin, alle Aspekte des Infrastrukturzugangs auf einer einzigen Plattform für Softwareingenieure und die von ihnen entwickelten Anwendungen zu konsolidieren. Diese einheitliche Plattform zielt darauf ab, die Angriffsfläche und die Betriebskosten zu reduzieren und gleichzeitig die Produktivität zu steigern und die Einhaltung von Standards zu gewährleisten.

YouTube video

Die Access Plane von Teleport ist eine Open-Source-Lösung, die gemeinsam genutzte Anmeldeinformationen, VPNs und ältere Technologien zur Verwaltung privilegierter Zugriffe ersetzt. Sie wurde speziell entwickelt, um den notwendigen Zugriff auf die Infrastruktur zu ermöglichen, ohne die Arbeit der IT-Mitarbeiter zu behindern oder ihre Produktivität zu verringern.

Sicherheitsexperten und Ingenieure können über ein einziges Tool auf Linux- und Windows-Server, Kubernetes-Cluster, Datenbanken und DevOps-Anwendungen wie CI/CD, Versionskontrolle und Monitoring-Dashboards zugreifen.

Teleport Server Access verwendet unter anderem offene Standards wie X.509-Zertifikate, SAML, HTTPS und OpenID Connect. Die Entwickler von Teleport Server Access haben sich auf eine einfache Installation und Verwendung konzentriert, da dies die Säulen einer guten Benutzererfahrung und einer soliden Sicherheitsstrategie sind. Daher besteht es aus nur zwei Binärdateien: einem Client, mit dem sich Benutzer anmelden können, um kurzlebige Zertifikate zu erhalten, und dem Teleport-Agenten, der mit einem einzigen Befehl auf jedem Kubernetes-Server oder -Cluster installiert wird.

Okta

Okta ist ein Unternehmen, das sich auf Authentifizierungs-, Verzeichnis- und Single Sign-On-Lösungen spezialisiert hat. Über Partner bietet Okta auch PAM-Lösungen an, die mit seinen Produkten integriert werden können, um eine zentralisierte Identität, anpassbare und adaptive Zugriffsrichtlinien, Echtzeit-Ereignisberichte und reduzierte Angriffsflächen zu bieten.

Mit den integrierten Lösungen von Okta können Unternehmen automatisch privilegierte Benutzer und administrative Konten bereitstellen und deaktivieren und gleichzeitig direkten Zugriff auf wichtige Ressourcen gewähren. IT-Administratoren können durch die Integration mit Sicherheitsanalyselösungen anormale Aktivitäten erkennen, Warnungen ausgeben und Maßnahmen ergreifen, um Risiken zu vermeiden.

Boundary

HashiCorp bietet mit seiner Lösung Boundary eine identitätsbasierte Zugriffsverwaltung für dynamische Infrastrukturen. Sie bietet außerdem eine einfache und sichere Sitzungsverwaltung und einen Fernzugriff auf jedes vertrauenswürdige identitätsbasierte System.

Boundary

Durch die Integration der Vault-Lösung von HashiCorp ist es möglich, den Zugriff auf Token, Passwörter, Zertifikate und Verschlüsselungsschlüssel zu sichern, zu speichern und strukturell zu kontrollieren, um Geheimnisse und andere sensible Daten über eine Benutzeroberfläche, eine CLI-Sitzung oder eine HTTP-API zu schützen.

Mit Boundary ist es möglich, über mehrere Anbieter separat auf kritische Hosts und Systeme zuzugreifen, ohne dass für jedes System individuelle Anmeldedaten verwaltet werden müssen. Boundary kann mit Identitätsanbietern integriert werden, so dass die Infrastruktur nicht öffentlich zugänglich gemacht werden muss.

Boundary ist eine plattformunabhängige Open-Source-Lösung. Da sie zum Portfolio von HashiCorp gehört, lässt sie sich natürlich problemlos in Sicherheits-Workflows integrieren und kann so auf den meisten öffentlichen Cloud-Plattformen eingesetzt werden. Der erforderliche Code steht bereits auf GitHub zur Verfügung und kann verwendet werden.

Delinea

Die Lösungenvon Delinea für die Verwaltung privilegierter Zugriffe zielen darauf ab, die Installation und Nutzung des Tools so weit wie möglich zu vereinfachen. Das Unternehmen macht seine Lösungen intuitiv und erleichtert die Definition von Zugriffsgrenzen. Ob in der Cloud oder in lokalen Umgebungen, die PAM-Lösungen von Delinea sind einfach zu implementieren, zu konfigurieren und zu verwalten, ohne dass dabei Abstriche bei der Funktionalität gemacht werden müssen.

Delinea bietet eine Cloud-basierte Lösung, die den Einsatz auf Hunderttausenden von Rechnern ermöglicht. Diese Lösung besteht aus einem Privilege Manager für Workstations und einer Cloud Suite für Server.

Der Privilege Manager ermöglicht die Erkennung von Rechnern, Konten und Anwendungen mit Administratorrechten, egal ob auf Workstations oder in der Cloud gehosteten Servern. Er funktioniert sogar auf Rechnern, die zu verschiedenen Domänen gehören. Durch die Definition von Regeln kann er automatisch Richtlinien zur Verwaltung von Privilegien anwenden, lokale Gruppenzugehörigkeiten dauerhaft festlegen und nicht-menschliche privilegierte Anmeldeinformationen automatisch rotieren.

Mit einem Richtlinienassistenten können Sie mit wenigen Klicks Anwendungen freigeben, verweigern und einschränken. Und schließlich liefert das Reporting-Tool von Delinea aufschlussreiche Informationen über Anwendungen, die durch Malware blockiert werden, und über die Einhaltung der Mindestanforderungen an die Privilegien. Außerdem bietet es die Integration von Privileged Behaviour Analytics mit Privilege Manager Cloud.

BeyondTrust

BeyondTrust Privilege Management erleichtert die Vergabe von Privilegien an bekannte und vertrauenswürdige Anwendungen, die diese benötigen, indem es die Anwendungsnutzung kontrolliert und privilegierte Aktivitäten protokolliert und meldet. Dabei werden die in Ihrer Infrastruktur bereits vorhandenen Sicherheitstools genutzt.

beyondtrust

Mit Privilege Manager können Sie Anwendern genau die Berechtigungen erteilen, die sie zur Erledigung ihrer Aufgaben benötigen, ohne das Risiko einer Überprivilegierung einzugehen. Sie können auch Richtlinien und Privilegienverteilungen definieren und so die Zugriffsebene im gesamten Unternehmen anpassen und festlegen. Auf diese Weise vermeiden Sie Malware-Angriffe aufgrund übermäßiger Privilegien.

Sie können fein abgestufte Richtlinien verwenden, um Anwendungsprivilegien für Standard-Windows- oder Mac-Benutzer zu erhöhen und so ausreichenden Zugriff für die Erledigung jeder Aufgabe zu gewähren. BeyondTrust Privilege Manager lässt sich über in das Tool integrierte Konnektoren mit vertrauenswürdigen Helpdesk-Anwendungen, Scannern für das Schwachstellenmanagement und SIEM-Tools integrieren.

Die Endpunkt-Sicherheitsanalysen von BeyondTrust ermöglichen es Ihnen, das Benutzerverhalten mit Sicherheitsinformationen in Beziehung zu setzen. Außerdem erhalten Sie Zugriff auf ein vollständiges Audit-Protokoll aller Benutzeraktivitäten, so dass Sie forensische Analysen beschleunigen und die Einhaltung von Unternehmensvorschriften vereinfachen können.

Eine Identität

Die Privileged Access Management (PAM)-Lösungen vonOne Identity vermindern Sicherheitsrisiken und ermöglichen die Einhaltung von Unternehmensvorschriften. Das Produkt wird als SaaS- oder Vor-Ort-Lösung angeboten. Mit beiden Varianten können Sie den privilegierten Zugriff über mehrere Umgebungen und Plattformen hinweg sichern, kontrollieren, überwachen, analysieren und steuern.

Darüber hinaus bietet es die Flexibilität, Benutzern und Anwendungen nur dann volle Berechtigungen zu gewähren, wenn dies erforderlich ist, und in allen anderen Situationen ein Zero-Trust-Betriebsmodell mit geringsten Rechten anzuwenden.

CyberArk

CyberArk
CyberArk

Mit CyberArk Privileged Access Manager können Sie privilegierte Anmeldeinformationen und Geheimnisse, die von menschlichen oder nicht-menschlichen Entitäten verwendet werden, automatisch erkennen und einbeziehen. Durch die zentralisierte Richtlinienverwaltung ermöglicht die Lösung von CyberArk Systemadministratoren die Definition von Richtlinien für die Rotation von Passwörtern, die Komplexität von Passwörtern, die Zuweisung von Tresoren pro Benutzer und vieles mehr.

Die Lösung kann als Service bereitgestellt werden (SaaS-Modus), oder Sie können sie auf Ihren Servern installieren (selbstgehostet).

Centrify

Der Centrify Privilege Threat Analytics Service deckt den Missbrauch von privilegierten Zugängen auf, indem er eine zusätzliche Sicherheitsebene für Ihre Cloud- und On-Premise-Infrastrukturen schafft. Dies geschieht durch den Einsatz fortschrittlicher Verhaltensanalysen und adaptiver Multi-Faktor-Authentifizierung. Mit den Tools von Centrify ist es möglich, nahezu in Echtzeit Warnungen über abnormales Verhalten aller Benutzer innerhalb eines Netzwerks zu erhalten.

Centrify

Mit der Centrify Vault Suite können Sie privilegierten Zugriff auf gemeinsam genutzte Konten und Anmeldedaten zuweisen, Passwörter und Anwendungsgeheimnisse unter Kontrolle halten und Remote-Sitzungen sichern. Mit der Centrify Cloud Suite wiederum kann Ihr Unternehmen, unabhängig von seiner Größe, den privilegierten Zugriff durch zentral verwaltete Richtlinien, die dynamisch auf dem Server durchgesetzt werden, global regeln.

Fazit

Der Missbrauch von Privilegien ist heute eine der größten Bedrohungen für die Cybersicherheit und führt häufig zu kostspieligen Verlusten und sogar zur Lähmung von Unternehmen. Er ist auch einer der beliebtesten Angriffsvektoren unter Cyberkriminellen, da er, wenn er erfolgreich durchgeführt wird, freien Zugang zu den Innereien eines Unternehmens verschafft, oft ohne Alarm zu schlagen, bis der Schaden angerichtet ist. Der Einsatz einer geeigneten Lösung zur Verwaltung von Zugriffsrechten ist ein Muss, wenn die Risiken des Missbrauchs von Kontoprivilegien schwer zu kontrollieren sind.

Als nächstes möchten Sie vielleicht wissen, was Privileged Identity Management ist und wie es Unternehmen hilft.