Meldung

Identität als neuer Perimeter

Der Netzwerkperimeter hat für die Sicherheit in einer Zeit der verstärkten Nutzung von Cloud-Services und Automatisierungslösungen sowie der Remote-Arbeit an Bedeutung verloren. Der neue Perimeter ist die Identität. Folglich sollte jedes Unternehmen eine Identity-Security-Strategie umsetzen. CyberArk empfiehlt dabei eine stufenweise Vorgehensweise.
Die Identität der Nutzer steht im Zentrum der IT-Sicherheit.
Identitäten dienen der Authentifizierung für den Zugriff auf vertrauliche Systeme, Geschäftsprozesse und Daten. Jede Identität, gleichgültig, ob Administrator, Remote-Mitarbeiter, Drittanbieter oder auch Gerät und Anwendung kann privilegierte Rechte besitzen. Damit steigen die Gefahren für die IT-Sicherheit drastisch.

Um Identitäten zu schützen, empfiehlt Sicherheitsspezialist CyberArk [1] ein schrittweises Vorgehen. Ein Blueprint soll Unternehmen dabei helfen, ihre Sicherheitslage zu verbessern, indem sie wie ein Angreifer denken und sich gegen die drei Techniken verteidigen, die typischerweise verwendet werden, um auf privilegierte Identitäten zuzugreifen, Daten zu stehlen und Systeme außer Betrieb zu setzen.

Konkret basiert der Blueprint auf drei Leitprinzipien: der Verhinderung des Diebstahls von Anmeldeinformationen, dem Stoppen von lateralen und vertikalen Bewegungen und der Begrenzung des Privilegienmissbrauchs. Zur Verhinderung des Credential-Diebstahls empfiehlt CyberArk folgende Maßnahmen:
  1. Beseitigung manueller Prozesse zur Verwaltung von Zugangsdaten und Secrets, Einführung eines gehärteten und sicheren digitalen Tresors zur zentralen Speicherung von Anmeldedaten für privilegierte Konten und automatische Rotation von Passwörtern und Schlüsseln auf der Basis von Richtlinien.
  2. Verwendung eines sicheren Proxy-Servers, um Endpunkte von Zielsystemen zu entkoppeln, den Datenverkehr von privilegierten Sitzungen zu isolieren und die Übertragung von Anmeldeinformationen zu vermeiden. Bei diesem Ansatz authentifizieren sich die Benutzer beim Proxy-Server und erhalten dann über eine separate Sitzung privilegierten Zugriff auf die Zielsysteme.
  3. Eliminierung von hartkodierten Anmeldeinformationen aus Anwendungen, RPA-Plattformen oder CI/CD-Tools und Einführung einer zentralisierten Application-Access-Management-Lösung, die es autorisierten Anwendungen ermöglicht, automatisch und in Echtzeit Secrets aus einem sicheren digitalen Tresor abzurufen.
  4. Aktive Überwachung von Credential-Speichern, Browser-Caches, Tools wie WinSCP oder VNC, Service Accounts und SAML-Key-Repositories.
Um Seitwärts- und vertikale Bewegungen von Angreifern zu unterbinden, sind laut CyberArk folgende Schritte hilfreich:
  1. Eliminierung von Shared-Credentials über alle Endpunkte hinweg.
  2. Einführung eines Zero-Trust-Modells mit Just-in-Time-Bereitstellung von Privilegien, sodass Benutzer nur bei Bedarf und vorübergehend auf privilegierte Konten zugreifen oder privilegierte Befehle ausführen können.
  3. Nutzung getrennter Accounts für die Verwaltung unterschiedlicher IT-Ressourcen.
Zur Begrenzung der fortgesetzten missbräuchlichen Nutzung von Privilegien könne ein Unternehmen folgende Maßnahmen ergreifen:
  1. Umsetzung eines Least-Privilege-Prinzips, um die Angriffsfläche zu verringern, und Implementierung von Zugriffskontrollen auf Betriebssystemebene bei Windows-, Unix- und Mac-Rechnern.
  2. Nutzung einer Threat-Analytics-Lösung, um die Aktivitäten privilegierter Sitzungen automatisch zu analysieren, verdächtige Aktionen zu identifizieren und laufende Angriffe zu erkennen. Best-of-Breed-Lösungen ergreifen automatisch Abhilfemaßnahmen bei besonders schwerwiegenden Sicherheitsvorfällen; so können Angriffe unmittelbar unterbunden werden.
"Ausgehend von einer detaillierten Bestandsaufnahme sollte ein Unternehmen einen mehrschichtigen Identity-Security-Ansatz verfolgen", betont Michael Kleist, Regional Director DACH bei CyberArk. "Unser Blueprint für die Umsetzung einer Identity-Security-Strategie kann Unternehmen eine erste Hilfestellung geben, wie sie ihr Sicherheitsrisiko sukzessive deutlich reduzieren können."
24.11.2021/dr

Tipps & Tools

Naturkatastrophen treffen auf Disaster Recovery [12.05.2022]

Der Klimawandel macht auch vor Deutschland keinen Halt. Ob Flut, Waldbrand oder Tornado – derartige Naturkatastrophen lassen sich immer öfter beobachten und können für Unternehmen schwerwiegende Folgen nach sich ziehen. Besonders wenn das eigene Rechenzentrum oder das des Cloudanbieters betroffen ist, droht Datenverlust. Wie Disaster-Recovery-Pläne und darauf abgestimmte Backupsysteme bei einem Ernstfall helfen können, erläutert unser Fachartikel. [mehr]

Exchange verabschiedet Basic-Auth-Anmeldung im Herbst [10.05.2022]

Microsoft schaltet zum 1. Oktober das Basic-Auth-Verfahren zur Anmeldung an Exchange-Online-Postfächern ab. Das Authenifizierungsverfahren gilt als äußerst unsicher, da eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert sind, stattfindet. Diese Maßnahme war überfällig, denn laut Microsoft ist Basic-Auth eine der am häufigsten genutzten Schwachstellen zur Kompromittierung der Nutzerdaten – wobei die Anzahl der Angriffe darauf noch laut Redmond noch immer ansteigt. [mehr]

Fachartikel

Pass-the-Hash-Angriffe vermeiden (3) [16.05.2022]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im dritten und letzten Teil der Workshopserie geht es unter anderem darum, warum sie überflüssiges Clientgeschwätz abschalten und generell die Anzahl der Konten reduzieren sollten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen