Diese fünf intelligenten Berechtigungskontrollen schützen Identitäten zuverlässig

März 20, 2024

Die Zahl der menschlichen und nicht-menschlichen Identitäten in Unternehmen wächst schnell, und jede dieser Identitäten benötigt früher oder später Zugriff auf kritische Ressourcen. Das macht sie für Cyberkriminelle extrem attraktiv. CyberArk erklärt, mit welchen intelligenten Berechtigungskontrollen sich die privilegierten Zugriffe aller Identitäten absichern lassen.

Die Zeiten, in denen nur wenige Administratoren über weitreichende Berechtigungen in den IT-Infrastrukturen von Unternehmen verfügten, sind längst vorbei. Inzwischen benötigen auch die meisten Mitarbeiter, Anwendungen und Geräte solche Rechte, um auf kritische Ressourcen zuzugreifen, die sie im Arbeitsalltag benötigen. Die klassische Definition von privilegierten Identitäten greift daher nicht mehr, denn letztlich kann jede Identität privilegiert sein und bedarf eines besonderen Schutzes. 

Um alle Identitäten über sämtliche Infrastrukturen, Systeme und Anwendungen hinweg zuverlässig zu schützen, benötigen Unternehmen die folgenden fünf intelligenten Berechtigungskontrollen: 

  1. Zero Standing Privileges (ZSP) und Just-in-Time Access (JIT)
    Viele Unternehmen statten Anwender dauerhaft mit weitreichenden Berechtigungen aus, auch wenn diese die Rechte nur selten oder niemals benötigen. Die Identitäten werden nicht konsequent über ihren gesamten Lebenszyklus verwaltet und Berechtigungen daher bei Nichtbenutzung auch nicht entzogen. Besser ist es, die privilegierten Zugriffsrechte Just-in-Time zuzuweisen, sodass Anwender nur mit erweiterten Berechtigungen ausgestattet werden, wenn sie diese tatsächlich für eine bestimmte Aufgabe benötigen. Die Herausforderung liegt darin, die Berechtigungen nur für eine definierte Zeit zu vergeben und anschließend wieder zu entfernen. Andernfalls kommt es zu Rechteanhäufungen, durch die Anwender im Laufe der Zeit zu „Super-Usern“ werden. Die modernste Art der Berechtigungszuweisung ist es daher, Anwender standardmäßig mit Zero Standing Privileges auszustatten, sodass sie über keinerlei Berechtigungen in den Zielapplikationen verfügen. Anhand von attributbasierten Zugriffskontrollrichtlinien (ABAC) werden erweiterte Berechtigungen beim Zugriff des Anwenders zur Laufzeit zugewiesen und nach der Session automatisch wieder entfernt.
  2. Session-Isolierung
    Eine Session-Isolierung schützt den privilegierten Zugriff, indem der Datenverkehr zwischen dem Endgerät des Anwenders und den kritischen Ressourcen, auf die er zugreift, über einen Proxy-Server geleitet wird. Dadurch besteht keine direkte Verbindung und bei einem Angriff auf den Anwender ist das Risiko, dass auch das entfernte System kompromittiert wird, verringert. 
  3. Schutz und Aufzeichnung von Sessions
    Der Proxy-Server kann als zusätzlicher Kontrollpunkt dienen, der die Session überwacht und aufzeichnet. Dabei werden alle Aktivitäten erfasst – bis hin zu einzelnen Mausklicks innerhalb einer Webanwendung oder auf einem Server. Die Aktivitäten lassen sich automatisiert analysieren, um ungewöhnliche Aktivitäten zu erkennen, die auf eine Bedrohung hindeuten. In einem solchen Fall wird die Session sofort unterbrochen.
  4. Anwendungskontrolle auf dem Endpoint
    Eine umfassende, richtlinienbasierte Anwendungskontrolle hilft, Endgeräte zu schützen und eine sichere Arbeitsumgebung für jede Benutzergruppe zu schaffen. Sie setzt Least-Privilege-Prinzipien auf Endpoints durch und berücksichtigt den Anwendungskontext und verschiedenste Parameter, um zu entscheiden, ob das Ausführen von Anwendungen, Skripten und anderen Aktivitäten zugelassen oder blockiert wird.
  5. Credentials und Secrets Management
    Credentials wie Benutzernamen und Passwörter sind notwendig, um Identitäten zuverlässig zu identifizieren. Ein Credential Management übernimmt nicht nur die Verwaltung von Passwörtern, Schlüsseln und anderen Credentials, sondern wacht auch über die Einhaltung von Passwortrichtlinien und rotiert Passwörter beziehungsweise Keys nach definierten Vorgaben, etwa nach einem Zeitplan oder nach bestimmten Ereignissen. Ein Secrets Management erlaubt es, ähnliche Sicherheitsrichtlinien für nicht-menschliche Identitäten durchzusetzen, die beispielsweise in Bots, Skripten, Cloud-Anwendungen und IoT-Geräten zum Einsatz kommen.

„Cyberangriffe auf alle Arten von Identitäten nehmen kontinuierlich zu und werden immer raffinierter“, betont Fabian Hotarek, Solutions Engineering Manager bei CyberArk. „Deshalb benötigen Unternehmen eine durchdachte Identity-Security-Strategie mit intelligenten Berechtigungskontrollen, um menschliche und nicht-menschliche Identitäten zu schützen und das Risiko, das mit dem Diebstahl von Anmeldedaten und Missbrauch von Privilegien einhergeht, zu minimieren.“

Related Articles

Alle News im Überblick

Alle News im Überblick

View Post 21.04.2024 NIS2: Tech-Experten kommentieren die neue EU-Richtlinie 21.04.2024 3M: Erstes selbstaufladendes Kommunikations- und Gehörschutz-Headset 20.04.2024 Forschende der FH St. Pölten publizieren neuen Artikel über audiovisuelle Datenanalyse 20.04.2024...

Vom Ohren öffnen und hinschauen

Vom Ohren öffnen und hinschauen

Forschende der FH St. Pölten publizieren neuen Artikel über audiovisuelle Datenanalyse Forschende der Fachhochschule St. Pölten publizierten einen State-of-the Art-Report für integrierte audiovisuelle Datenanalyse im Rahmen des Projekts SoniVis. Das Team von SoniVis...

Neueste Entwicklungen im Bereich des Flughafenmanagements

Neueste Entwicklungen im Bereich des Flughafenmanagements

SITA stellt neueste Entwicklungen im Bereich des Flughafenmanagements vor Markteinführung einer KI-gestützten Plattform nach Test mit GREATER TORONTO AIRPORTS AUTHORITY in Kanada vor SITA,Technologieunternehmen der Luftverkehrsbranche, hat auf der Passenger Terminal...

Share This