8 Must-haves für robustes, nachhaltiges PAM

Thycotic beschreibt, welche Funktionen eine Privileged Access Management Lösung mitbringen sollte, damit sie die potenziellen Cyber-Einfallstore schließt und die Angriffsfläche des Unternehmens nachhaltig reduziert. [...]

Stefan Schweizer ist Regional Vice President Sales DACH bei Thycotic. (c) Thycotic

Die MoSCoW-Priorisierung ist eine Methode, die im Projektmanagement – u.a. im IT- und Software-Bereich – Verwendung findet und von den verantwortlichen Projektleitern herangezogen wird, um Anforderungen anhand ihrer Wichtigkeit sowie Auswirkung zu priorisieren. Das Akronym MoSCoW steht dabei für Must have, Should have, Could have und Won’t have. Bei der Beschaffung und Evaluierung von Security-Software hat sich die Methode als besonders wirksam erwiesen, hilft sie den Verantwortlichen doch, sichtbar zu machen und nachzuvollziehen, welche Anforderungen sicherheitskritisch sind und gleichzeitig den größten Business Impact haben.

Gerade in kritischen Security-Bereichen wie dem Privileged Access Management (PAM), dessen Umsetzung nach wie vor für Unternehmen eine große Herausforderung darstellt, ist das Priorisieren von Funktionen und Technologien bei der Auswahl einer geeigneten PAM-Lösung essenziell. Durch immer neue Anwendungsfälle wie Zugriffe auf SaaS-Anwendungen, Cloud-Infrastrukturen und Datenbanken sowie immer mehr Fernzugriffe, ist die Zahl administrativer und mit umfassenden Rechten ausgestatteter Accounts stark gewachsen. Eine solide PAM-Basis zu schaffen, die potenzielle Einfallstore schließt und die Angriffsfläche des Unternehmens nachhaltig reduziert, kann nur gelingen, wenn die wichtigsten PAM-Must-haves erfüllt sind. Folgende acht Features sind bei der Auswahl einer Privileged Access Management-Lösung dabei unverzichtbar:

Effektives Passwortmanagement: Automatische Generierung und Workflow-Genehmigung

Passwörter sind eines der wichtigsten Mittel gegen unberechtigte Zugriffe auf Systeme. PAM-Tools sollten daher den gesamten Prozess der Erstellung und Gewährung von privilegierten Passwörtern automatisieren und kontrollieren. Jedes Mal, wenn ein privilegierter Benutzer Zugriff anfordert, kann vom PAM-System automatisch ein neues Passwort generiert werden, um eine riskante Wiederverwendung oder Weitergabe von Passwörtern zu unterbinden und gleichzeitig eine Übereinstimmung zwischen den aktuellen Zugangsdaten und den Zielsystemen sicherzustellen. Die Gewährung äußerst kritischer und sensibler Berechtigungsnachweise muss dabei gemäß eigens dafür festgelegter Richtlinie erfolgen. Eine effektive PAM-Software sollte es den Teams ermöglichen, eine feste Anzahl von Parametern zu definieren, die Administratorzugriffe steuern und gleichzeitig den Zugriff auf bestimmte Funktionen und Ressourcen einschränken.

Multi-Faktor-Authentifizierung

Selbst wenn mehrere Sicherheitsprotokolle im Einsatz sind, besteht dennoch immer das Risiko, dass privilegierte Konten kompromittiert werden. Eine zusätzliche Sicherheitsebene in Form eines Multi-Faktor-Authentifizierungsprotokolls (MAP) ist deshalb unumgänglich, wenn ein Nutzer Zugang zu einem privilegierten Konto beantragt. OATH-Authentifizierung und proprietäre Token können dabei auch als Teil des MAP integriert werden.

Zugriff für Remote-Arbeiter und Drittanbieter

Immer häufiger greifen Mitarbeiter auch aus der Ferne, sei es im Homeoffice oder unterwegs, auf die Unternehmenssysteme und damit sensible Daten zu. Umso wichtiger ist es, dass Identitäten über alle Betriebssysteme und Umgebungen hinweg konsolidiert werden – sowohl on-premises als auch in der Cloud –, damit die Verantwortlichen jederzeit den Überblick haben, welche Personen mit welchen Konten verbunden sind. PAM-Software muss Remote-Mitarbeitern aber auch Drittanbietern einen rollenbasierten Zugriff auf Systeme gewähren, und zwar ohne die Notwendigkeit von Domänen-Anmeldeinformationen, und so den Zugriff auf privilegierte Ressourcen sinnvoll beschränken.

Session-Management

Privilegierte Sitzungen bedürfen einer besonderen Kontrolle, weshalb für jeden einzelnen privilegierten Benutzer eigene Sessions eingerichtet und automatisiert überwacht werden sollten. PAM-Lösungen müssen in der Lage sein, alle privilegierten Sitzungen, live sowohl über die Befehlszeile als auch auf Video aufzuzeichnen – und zwar in einer durchsuchbaren und umfassenden Weise. Dies hilft den Teams, einerseits nachzuweisen, welche Vorschriften und Sicherheitsrichtlinien (etwa ISO 27001, SOC2, SOX, PCI DSS 3.2, HIPAA) korrekt umgesetzt werden, und andererseits, nicht-autorisierte und auffällige Sitzungen frühzeitig und noch bevor Schaden entsteht zu beenden.

Echtzeit-Transparenz und -Alarmierung

Wird eine potenzielle Bedrohung identifiziert, müssen augenblicklich vorbeugende und eindämmende Maßnahmen ergriffen werden. Eine effektive PAM-Lösung versetzt IT-Abteilungen in die Lage, unmittelbare Warnmeldungen zu erstellen und jegliche Abweichungen bei der Account-Nutzung schnell zu untersuchen und zu blockieren.

Desaster Recovery

Da trotz des Einsatzes fortschrittlicher Sicherheitstechnologien und vorsichtiger, aufgeklärter Mitarbeiter Sicherheitsvorfälle niemals zu hundert Prozent ausgeschlossen werden können, sollten PAM-Systeme über Failover-Mechanismen verfügen, die verhindern, dass ein Single-Point-of-Failure kritische Zugriffe während eines System- oder Netzwerkausfalls verhindert. Um Daten etwa im Falle eines Ransomware-Angriffs zu schützen und deren Verfügbarkeit zu gewährleisten, sollten außerdem automatisch Datenbank- und IIS-Backups sowie SQL-Datenbankspiegelungen erstellt werden.

Notfallzugriffe

Darüber hinaus sollten PAM-Lösungen die Konfiguration von speziellen Zugangskontrollen und Genehmigungs-Workflows für sogenannte „Break Glass“-Szenarien unterstützen. Im Falle eines massiven Notfalls ist ein Benutzer dann in der Lage, in den Systemen zu kennzeichnen, dass bestimmte Checkouts keine Genehmigungen erfordern. All dies läuft automatisiert ab, bedarf aber dennoch einer Auditierung. Die Verantwortlichen müssen dementsprechend vorab definieren, wer einen solchen Zugang beantragen kann, wer für die Genehmigung verantwortlich ist und auf welche Systeme zugegriffen werden kann.

Auditierung und Reporting

Wer bei der Erfassung von Audit- und Compliance-Informationen Ressourcen und vor allem Zeit sparen möchte, sollte auf PAM-Lösungen setzen, die risikobasierte Scorecards bereitstellen, aus denen hervorgeht, wer Zugriff auf welche Ressourcen hat. Dies ist vor allem im Fall eines Angriffs auf privilegierte Konten von großem Nutzen, denn die erforderliche forensische Untersuchung verlangt dann eine vollständige Transparenz. Die Verantwortlichen brauchen einen 360°-Überblick darüber, wann und von welchem Nutzer Passwörter für privilegierte Konten genutzt oder geändert wurden, sowie über alle von diesem Konto durchgeführten Aktionen.

Jenseits der PAM Must-haves

Mit einer effektiven PAM-Lösung im Einsatz, die die wichtigsten Must-haves abdeckt, sind IT-Abteilungen in der Lage, Zugriffskontrollen für sämtliche privilegierte Konten inklusive Superuser-Accounts durchzusetzen, ihre Sicherheitsmaßnahmen und -kontrollen zu optimieren und gleichzeitig alle relevanten Audit- und Compliance-Anforderungen zu erfüllen. Ist diese PAM-Basis umgesetzt und unternehmensweit gut akzeptiert, können in einem zweiten Schritt gemäß der individuellen Bedürfnisse, Arbeitsprozesse und Sicherheitsrisiken eines Unternehmens die Listen der PAM-Should-haves und Could-haves definiert und das Privileged Access Management auf diese Weise schließlich perfektioniert werden.

Stefan Schweizer ist Regional Vice President Sales DACH bei Thycotic.


Mehr Artikel

News

Jeder dritte US-Arbeitnehmer ist ein Freelancer

In der Coronavirus-Krise wurde mehr als ein Drittel der US-Arbeitskräfte zu freien Mitarbeitern. Vor allem junge Talente prägen diesen Trend. Freelancer haben seit dem Ausbruch der Pandemie etwa 1,2 Bio. Dollar (rund eine Bio. Euro) zur amerikanischen Wirtschaft beigetragen, wie eine Studie von Upwork zeigt. Dieser Trend wird sich voraussichtlich nach dem Ende der Pandemie fortsetzen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*