Erfolgsmethoden für Privileged Identity Management in modernen Unternehmen

Transkript

1 WHITE PAPER Erfolgsmethoden für Privileged Identity Management in modernen Unternehmen

2 Erfolgsmethoden für Privileged Identity Management in modernen Unternehmen Inhalt Einführung 4 Trends 5 Datenpannen 5 Big Data 6 Das moderne Hybrid-Unternehmen 7 Erfolgsmethoden 7 Identity Consolidation 7 Privileged Session Management (PSM) 9 SuperUser Privilege Management (SUPM) 10 Shared Account Password Management (SAPM) 12 Integration der Lösung 14 Fazit 15 Bei den Informationen in diesem Dokument, einschließlich der URL-Angaben und anderer Internetseitenhinweisen, sind Änderungen vorbehalten. Sofern nicht anders bestimmt, sind die Beispielunternehmen, Organisationen, Produkte, Domainnamen, -Adressen, Logos, Menschen, Orte und Ereignisse, die in diesem Dokument dargestellt werden, fiktiver Natur und jegliche Verbindungen mit oder Schlussfolgerung auf echte Unternehmen, Organisationen, Produkte, Domainnamen, -Adressen, Logos, Menschen, Orte und Ereignisse unbeabsichtigt. Die Einhaltungspflicht aller zutreffenden Urheberrechte obliegt dem Nutzer. Ohne Einschränkungen des Urheberrechts ist die Reproduktion, Speicherung oder Einführung jeglicher Teile dieses Dokuments in Datenabfragesysteme, sowie die Verbreitung in jeglicher Form (elektronisch, mechanisch, Fotokopie, Aufnahme, oder andere Methode) oder für jeglichen Zweck ohne die ausdrückliche schriftliche Genehmigung der Centrify Corporation untersagt. Unter Umständen befinden sich in diesem Dokument Patente, Patentanmeldungen, Schutzmarken, oder anderes geistiges Eigentumsrecht in Besitz von Centrify. Sofern nicht durch ein ausdrückliches, schriftliches Lizenzabkommen von Seiten Centrifys genehmigt, erhalten Sie durch die Bereitstellung dieses Dokuments keinerlei Lizenz in Bezug auf diese Patente, Schutzmarken, Urheberrechte, oder anderen geistigen Eigentums. Bei Centrify, DirectControl und DirectAudit handelt es sich um registrierte Schutzmarken und Centrify Suite, DirectAuthorize, DirectSecure und Direct- Manage sind Schutzmarken der Centrify Corporation in den Vereinigten Staaten von Amerika und/oder anderen Ländern. Microsoft, Active Directory, Windows, Windows NT und Windows Server sind entweder registrierte Schutzmarken oder Schutzmarken der Microsoft Corporation in den Vereinigten Staaten von Amerika und/oder anderen Ländern. Bei den Namen der in diesem Dokument aufgeführten Unternehmen und Produkte handelt es sich unter Umständen um Schutzmarken der entsprechenden Eigentümer CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.

3 WHITE PAPER Kurzzusammenfassung Datenpannen stehen weiterhin ganz oben auf der Liste von sowohl kleinen, als auch großen Organisationen. Insbesondere zwei Entwicklungen verstärken diese Herausforderung die Cloud, sowie die stetig wachsende Raffinesse der Angreifer. In diesem Paper widmen wir uns dem modernen Unternehmen einer Hybrid-Organisation, deren Infrastruktur sich über Rechenzentren vor Ort, sowie auf die Cloud erstreckt und deren IT-Funktionen auf interne und außenstehende Administratoren verteilt ist. Wir betrachten sowohl diese, als auch ähnliche Trends mit Einfluss auf unsere Datensicherheit und besprechen insbesondere Erfolgsmethoden zum Management und zur Verwaltung von Privileged User Accounts, um die Risiken so zu minimieren CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.

4 Erfolgsmethoden für Privileged Identity Management in modernen Unternehmen Einführung Wir sind unglaublich dankbar dafür, dass uns eine PIM-Lösung zur Verfügung steht, welche der IT- und Risk & Compliance-Abteilung den nötigen Schutz vor Datenpannen und die Möglichkeit zur Überwachung bietet, sowie unseren Endnutzern und Administratoren eine einfache Handhabung ermöglicht und dabei gleichzeitig unser Unternehmensziel des fortschreitenden Geschäftswachstums in der Cloud unterstützt. Hierbei handelt es sich wohl um die Art von Ich kann nachts endlich ruhig schlafen -Aussage, von der jeder C-Level IT-, Risk-, oder Compliance-Manager träumt. Die traurige Wahrheit ist jedoch, dass die heutige Generation an Privileged Identity Management (PIM) Lösungen noch immer ausgesprochen kurzsichtig mit Bezug auf Geschäftsentwicklungen und insbesondere die IT ist. IT-Sicherheit wird dabei stets nur aus der Perspektive des traditionellen Rechenzentrums betrachtet; eine Ansammlung von Servern, die viele der sensiblen Informationen der Organisationen speichern und Netzwerkgeräte, die diese Infrastruktur zur Verfügung stellen alles vor Ort von einer internen IT-Abteilung verwaltet. Wenn dann eine Lösung zur Anwendung in der Cloud und andere Hybrid-Anforderungen benötigt wird, geht der typische Ansatz dahin, alte Technologie vor Ort umzuwandeln, indem der selbe Code einfach im virtuellen Umfeld angewandt und auf einer Cloud-IaaS gehostet wird. Designs der vorherigen IT-Generation werden einfach weiterhin genutzt und dabei die tausenden, ständig wachsenden Arbeitsbelastungen der Cloud, sowie die neuen Geschäfts- und Operationsabläufe, die damit einhergehen, ignoriert. In der heutigen Geschäftswelt ist es unmöglich, eine IT-Organisation zu finden, die KEINE Cloud nutzt, dort KEINE sensiblen Daten speichert und KEINE gemeinsamen Privileged Accounts für ihre Administratoren bereitstellt. Ein vergebliches Unterfangen. Das moderne Unternehmen ist eine vielschichtige Hybrid-Konstruktion und ein Hybrid-Unternehmen bedarf moderner Lösungen, um es vor der wachsenden Raffinesse von Cyber-Kriminellen zu schützen, denen die Schwachstellen bekannt sind. Die Cloud ist ohne Zweifel von Dauer das Urteil ist gefallen. Ein neuer PIM-Ansatz ist daher nötig, ein Ansatz, der sich dem modernen Unternehmen anpasst. Genauso, wie die Cloud für ihre Anpassungsfähigkeit gepriesen wird die Flexibilität, sich an wechselnde Geschäftsbedürfnisse anpassen zu können muss sich auch das PIM an die Herausforderungen der Hybridisierung der IT-Infrastruktur anpassen, wobei Admin-Teams aus sowohl internen, als auch externen Nutzern bestehen und Zugänge vor Ort und aus der Ferne zu lokalen und Cloud-Quellen zur Verfügung gestellt werden müssen. In diesem Paper werden PIM-Erfolgsmethoden beschrieben, bei welchen die neuen Entwicklungen in modernen Unternehmen Berücksichtigung finden CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.

5 WHITE PAPER Trends Die Makro-Trends haben sich in den letzten Jahren nicht wirklich geändert, sind in ihrer Entwicklung jedoch schneller geworden. Cloud (*aas), Mobile, Big Data, BYOD alle wachsen in Anwendung und Investment. Selbst der relative Neuankömmling Big Data ist, laut der Analystengruppe Gartner, über den sprichwörtlichen Zenit der aufgeblähten Erwartungen hinausgewachsen. Digitales Business ist daher zwingend notwendig. Gewaltige und fundamentale Änderungen in den Bereichen Technologie, Kaufverhalten und Lieferung/Verbrauch von Business-Leistungen werden dadurch angetrieben. Anbieter von Anwendungsservices, Infrastruktur und Support, sowie Geschäftsablauf-Dienstleistungen erfinden sich neu, um diesen Bedürfnissen gerecht zu werden und sich selbst ein nachhaltiges und profitables Wachstum zu sichern. Aus einer allgemeinen Sicherheitsperspektive heraus und insbesondere mit Bezug auf Privileged Identity Management (PIM) stehen Datenpannen noch immer ganz oben auf der Liste. Diese sind weiterhin in aller Munde, bestimmen die Schlagzeilen und tragen wohl am häufigsten die Schuld, wenn es um Schlaflosigkeit im C-Level geht. Im Folgenden sind einiger der anderen großen Trends und deren Bedeutung für PIM aufgeführt, welche das Geschäft unserer Kunden beeinflussen. Datenpannen In dieser neuen Hybrid-Welt mit dezentralisierten Quellen und Verwaltungen gewinnt PIM zunehmend an Bedeutung. Historisch gesehen haben bisher nicht viele Unternehmen PIM als ein drängendes Problem betrachtet. Man dachte gemeinhin, dass alles im Reinen ist, so lange sich meine Root- und Admin-Passwörter, sowie meine Passwörter für Servicekonten im Tresor befinden. Wenn man das Pflaster jedoch abzieht, tun sich fundamentale Sicherheitsprobleme auf, die immer wieder durch Datenpannen, bei welchen diese Privileged Accounts als Schwachstellen ausgenutzt werden, bestätigt werden. Es bedarf daher einer modernen, umfassenden Lösung, anstelle eines Ansatzes in Einheitsgröße. Abbildung 1: Gartner IT-Ausgaben IT-Outsourcing nimmt zu und die Sicherung und Überwachung der Zugänge dieser externen Nutzer zu unseren sensibelsten Konten wird zur höchsten Priorität CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.

6 Erfolgsmethoden für Privileged Identity Management in modernen Unternehmen Bei Cyberkriminalität handelt es sich heutzutage um eine hochgradig organisierte und professionelle kriminelle Handlung; in einigen Fällen sogar von Regierungen finanziert. Die US- Regierung hat diese Gefahr erkannt und den Cyberspace zusammen mit Land, See, Luft und All als den 5. Bereich der Kriegsführung eingestuft. In gewissem Maße spielen moderne Hybrid-Organisationen den Cyber-Kriminellen unfreiwillig in die Hand. Indem die Infrastruktur vor Ort und auf die Cloud verteilt und Verwaltung und Betrieb an externe Anbieter ausgelagert wird, bieten diese Unternehmen eine größere Angriffsfläche, wodurch sich das Risiko erhöht. Verizon warnt in seinem jährlichen Data Breach Investigations Report daher vor den verstärkten Folgen von Datenpannen mit Involvierung externer Parteien, im Vergleich zu solchen mit internen Angestellten. Privileged Identities sind dabei eindeutig das Hauptziel professioneller Cyber-Krimineller. Wenn Root- oder Administrator-Konten auf einem Kernserver offengelegt werden, erlangt man den Schlüssel zum Königreich. Alles, was sich auf diesem Server befindet, kann dann leicht genutzt werden, um weitreichendere Angriffe durchzuführen und Privileged Identities innerhalb des gesamten Netzwerkes zu kapern. Big Data Organisationen arbeiten unter Hochdruck daran, ihre Big Data-Laborexperimente zur Produktion zu führen. Welche Auswirkungen hat dies auf identitätsbezogene Sicherheitsrisiken für die Organisation? Die Art von Rechenleistung, die für große Big Data-Projekte auf Unternehmensniveau nötig ist, kann jenseits von Gut und Böse liegen. Ein einfacher Lab-Cluster mit 4 oder 5 Netzwerkknoten kann sich schnell in Dutzende Cluster mit hunderten oder sogar tausenden von benötigten Netzwerkknoten entwickeln. Aus einer Sicherheitsperspektive heraus, sind Hadoop-Entwicklungen wie MapR, Cloudera, HortonWorks und andere ohne Sicherheiten für Identität und Autorisierung voreingestellt. Die Freigabe des Sicherheitsmodus von Hadoop erfordert die Konfiguration einer Kerberos- Infrastruktur, um so die verschiedenen Geschäfts- und Servicenutzer/Konten innerhalb des Systems zu autorisieren. Das ist kein geradezu leichtes Unterfangen, weshalb viele Unternehmen diesen Schritt aufschieben, bis das Lab das Konzept bestätigt. Ohne Frage führt dies anschließend zu einer übereilten Einführung, um die Produktion so schnell anlaufen lassen zu können, was unter Umständen weitreichende neue Sicherheitsrisiken für das Unternehmen zur Folge hat. Die Zeit und den Aufwand, den die Einführung eines sicheren Hadoop bedarf, ist bedeutend. Bedenkt man die Komplexität, die mit der Installation eines Kerberos-Bereichs einhergeht (Key Distribution Center (KDC), Identitätsspeicher, Management von Keytab-Dateien, etc.), wird deutlich, dass die Produktionsphase zur Einführung deutlich ungeeignet ist. Darüber hinaus besteht eine weitere Herausforderung darin, dass Hadoop-Umgebungen für gewöhnlich mit einem Sicherheits- und Vertrauensmodel ausgestattet sind, welches leicht von herkömmlichen Server-Infrastrukturen abweicht. Analytische Aufgaben verteilen sich bei der Ausführung auf mehrere Netzwerkknoten. Andere Netzwerkknoten sind für die Ortung und Reduktion von Funktionen, die Ausführung und Verfolgung verantwortlich. Diese kommunizieren miteinander und müssen ihre gemeinsamen Aufgaben im Auftrag des Nutzers, CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.

7 WHITE PAPER der den Auftrag erteilt, erfüllen. Bedenkt man das Potential der darin enthaltenen sensiblen Informationen, ist es zwingend notwendig, geeignete, Rollen-basierte Zugangskontrollen für die Verwaltung, den Analystenzugang und das Auditing zu implementieren. Jeder Big Data-Einsatz geht mit erheblichen Herausforderungen in den Bereichen Sicherheit, Risiko und Compliance einher, insbesondere mit Bezug auf Identity. Wenn sich all dies dann auch noch außerhalb Ihres Rechenzentrums vor Ort auf der Cloud, außerhalb Ihrer traditionellen PIM- und IAM-Lösungen abspielt, wird das Risiko in der Tat sehr groß. Das moderne Hybrid-Unternehmen Nutzer befinden sich nicht länger nur innerhalb der Firewall, ebenso wie Ihre Infrastruktur. Organisationen verlagern bestehende Anwendungen, entfernen diese von veralteter Hardware mit schlechter Leistungsfähigkeit vor Ort und laden diese stattdessen über IaaS-Provider auf brandneue Ausstattung bei Anbietern wie Amazon, CenturyLink/Savvis, Azure und anderen. Die Verlagerung von Anwendungen ist dabei kein simpler Transfer von einem Server auf den anderen. Es gibt einiges zu bedenken, darunter die Sicherheit und Privileged Access. Zwar scheinen die Probleme dabei auf den ersten Blick denen vor Ort zu ähneln, doch im Allgemeinen lässt sich die lokale PIM-Technologie nicht für die Cloud verwenden. Sie benötigen daher eine PIM-Lösung, die ebenfalls hybrid ist; eine Lösung, die speziell zur Sicherung von Hybrid-IT-Anwendungen entwickelt wurde. IT-Admins mit Privilegien müssen Zugriff auf die Cloud-Service-Admin-UI (z.b. AWS Console) haben und ihre Infrastruktur und Server verwalten. Dies betrifft jedoch nicht nur Administratoren. Die Server dienen der Unterstützung von Anwendungen wie sichern wir den Zugang zu diesen Anwendungen? Wünschen Sie einen SAML-basierten Login von Ihrem IDP aus? Wollen Sie Active Directory Gruppen nutzen, um die Rolle und Privilegien der Administratoren nach dem Login ins AWS zu bestimmen? Darüber hinaus gibt es eine Verbindung zwischen der OS-Sicherheit und der Sicherheit von Anwendungen, welche Organisationen in Betracht ziehen müssen. Mit wachsenden Datenmengen, die innerhalb von SaaS-Anwendungen gespeichert werden und Organisationen, die Login-Accounts für Anwendungen innerhalb des gesamten Unternehmens (wie beispielsweise Facebook und Twitter) erstellen, muss jeder Nutzer als Privileged User betrachtet werden es ist nur eine Frage des Grades. Die IT muss dabei sicherstellen, dass sowohl Privileged, als auch normale User Zugang zu ihrer Infrastruktur, Servern und Anwendungen haben und dass beiden der sichere Zugang von überall her und mit jedem Gerät gewährt wird. Erfolgsmethoden Um die vielen Aspekte einer umfassenden PIM-Einführung zu verstehen, ist es sinnvoll, diese in verschiedene Funktionsuntergruppen aufzuteilen. Unsere Aufteilung in diesem Paper ist die Folgende: Identity Consolidation Management von Identitäten, Rollen und Privilegien in verschiedenen heterogenen Quellen Privileged Session Management der Service, der die Privileged Sessions verwaltet, während der Videorekorder alles aufzeichnet CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.

8 Erfolgsmethoden für Privileged Identity Management in modernen Unternehmen SuperUser Privilege Management die Privilege Elevation Tools, mit welchen spezielle administrative Tätigkeiten für autorisierte Nutzer bestimmt werden können Shared Account Password Management in veralteten oder Notfallsituationen, bei welchen Privilege Elevation nicht möglich ist und Sie den direkten Login zum (beispielsweise) Root-Zugang genehmigen müssen Secure VPN-Less Remote Access Cloud-basierter Remote-Zugang zu Quellen vor Ort und auf der Cloud-IaaS ohne VPN Identity Consolidation Bringen Sie Nutzer dazu, sich als sich selbst einzuloggen Nutzer sind zugleich ein zentrales Element der Herausforderung und der Lösung; genauer gesagt die Verwaltung von Nutzeridentitäten und deren Rollen und Berechtigungen. Das Ziel ist hierbei klar die Identitätsvereinheitlichung in allen Geschäftsplattformen (Windows, UNIX, Linux und Mac), damit so Identitätssilos und der allgemeine Umfang reduziert werden kann. Häufig wieder dieser Aspekt des PIM wenig beachtet. Als eine der ursprünglichen Fähigkeiten des PIM-Mikrokosmos wird dies mittlerweile als Tischlimit für jede brauchbare PIM-Lösung angesehen. Zwar wird es nicht per-se ignoriert; es wird jedoch schlichtweg nicht maximal ausgenutzt und erhält häufig nicht die verdiente Aufmerksamkeit. Definitionsgemäß ermöglicht das Active Directory Bridging der PIM-Lösung, als Brücke zwischen einer nicht-windows-umgebung und dem Active Directory zu agieren. Warum? Um so die vielen Vorteile des Active Directory mit Bezug auf Identitätsmanagement auszunutzen. Kerberos-basierte Autorisierungsprozesse und rollenbasiertes Pivilege Management auf all Ihren Plattformen. Auf Basisebene bedeutet dies, dass all Ihre Identitäten innerhalb von UNIX, Linux, Mac und Windows im Active Directory zusammengeführt werden, wodurch enormer administrativer Aufwand entfällt und das Sicherheitsrisiko von Identitätssilos (z.b. /etc/passwd) an jedem Endpunkt reduziert wird. Wichtiger ist darüber hinaus, dass sich Nutzer als sich selbst (sprich mit ihrer Active Directory ID), anstatt über ein gemeinsamen Konto einloggen, um so eine erhöhte Verantwortbarkeit innerhalb Ihrer OS, Anwendungslogs und Auditing-Systeme zu garantieren. Die Wahl des Active Directory als Hauptrepositorium ist sinnvoll für die meisten Unternehmen, die bereits viel Kapital und Arbeitsaufwand in die Technologie investiert haben. Dadurch wird ein paralleles Identitätssilo (z.b. Oracle OID) und die damit verbundenen Herausforderungen vermieden, welche durch das Synchronisieren der Passwörter mit dem neuen Silo, der Installation der Agenten auf dem Domänencontroller und dem sich ändernden Datenbankschema entstehen. Häufig ändert sich dadurch auch das Nutzerverhalten, da Passwörter nun mit einem neuen Programm, anstatt auf dem gewohnten Laptop-Login-Screen zurückgesetzt werden müssen. Erfolgsmethode: Führen Sie UNIX, Linux und Mac Identitäten zu einer einzelnen, einmaligen ID im Active Directory zusammen, um so Identität, Rolle und Privilegien durch einen Kerberos-basierten Autorisierungsprozess zentral verwalten zu können. Bei Datenpannen geht es darum, bestehende Privileged Accounts zu gefährden und sich mit diesen von Server zu Server durch das Netzwerk zu bewegen; immer auf der Suche nach lukrativen Daten. Vor der Zusammenführung, insbesondere des Host-basierten SuperUser Privilege Management (siehe unten), lohnt es sich daher, sich auf so wenige Privileged CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.

9 WHITE PAPER Accounts wie möglich zu beschränken, um so den Verwaltungsprozess zu vereinfachen und die Angriffsfläche zu minimieren. Erfolgsmethode: Löschung oder Deaktivierung so vieler Privileged Accounts wie möglich, um so die Angriffsfläche zu minimieren. Der Nutzen des Active Directory ist damit jedoch nicht beendet. Sehen Sie sich nach Lösungen um, mit welchen sowohl Computer, als auch Nutzer zentral verwaltet werden können. Indem Sie von einer Erweiterung des Active Directory Group Policy Models Gebrauch machen, können Sie weiteren Nutzen aus Ihren Investitionen ins Active Directory und den administrativen Fähigkeiten des Active Directory ziehen, indem Sie die Gruppenrichtlinie auch für UNIX, Linux und Macs anwenden. Beispiele dieser Art von Richtlinie sind: Host-basierte Firewall-Richtlinien (iptables), Netzwerkzugangsrichtlinien (openssh) oder Computer-Zertifikatverwaltung (automatische Ausstellung/Erneuerung) zur Nutzung durch die Anwendungen, die darauf laufen. Erfolgsmethode: Neben der Verwaltung von Identitäten im Active Directory, sollten Sie sich nach einer Lösung umsehen, die Maschinen unterstützt und welche Gruppenrichtlinien auch auf nicht-windows Nutzer übertragen kann. Doch es gibt noch mehr! Sobald Sie noch mehr aus dem Einheiten-Management-Framework des Active Directory rausholen, haben Sie die Möglichkeit, Maschinen, Nutzer und Rollen noch effizienter zusammenzuführen, Aufgaben zu delegieren, Arbeit aufzuteilen und Mehrnutzer- UNIX-Profile für kurze Zeit in der Übergangsphase zum erfolgsversprechenden Einzelprofil zu unterstützen. Diese hierarchisch aufgebaute zoning -Fähigkeit kann zur deutlichen Verbesserung der Produktivität und Compliance beitragen (z.b. den administrativen Zugang zu einer Reihe von PCI -Maschinen einschränken). Die perfekte Lösung zur Identity Consolidation ermöglicht all dies, ohne dabei in das Active Directory einzugreifen, sprich ohne Änderungen am Schema vorzunehmen und ohne Software- Abhängigkeit an den Domänencontrollern. Erfolgsmethode: Sehen Sie sich nach Erweiterungen um, die das Active Directory Model in seiner Effizienz und Sicherheit verbessern (wie besipielsweise hierarchisch aufgebaute Zonen) und welche keiner Veränderungen am Schema des Active Directory oder Agenten an Domänencontrollern bedürfen. Ein Wort zum Schluss. Bei der Suche nach der perfekten Identity Consolidation Lösung sollten Sie fragen, ob der Hersteller sowohl den Anwendungs-, als auch Nutzer-Login auf allen nicht-windows-plattformen unterstützt. Wenn Ihr UNIX-Entwickler also beispielsweise eine App entwickelt, besteht ein typischer Ansatz häufig darin, Nutzerautorisierung und Autorisierungslogin direkt in den Code zu schreiben und die Identitätsinformationen in einem getrennten Silo zu verwalten (beispielsweise Oracle OID). Darüber hinaus besteht das Problem der Passwortänderung und die Synchronisierung zwischen den beiden; auf jedem Domänencontroller muss dann ein Agent angebracht werden, um die Passwortrücksetzung mit dem Arbeitsplatz des Nutzers zu synchronisieren CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.

10 Erfolgsmethoden für Privileged Identity Management in modernen Unternehmen Versuchen Sie stattdessen, bereits Vorhandenes besser auszunutzen. Verbinden Sie den Server mit dem Active Directory, sodass der Code beim OS zur Autorisierung des Nutzers anfragt und alles Überflüssige vermieden wird. Dieses Model lässt sich durch PAM, LDAP, GSSAPI, oder SAML auch auf UNIX, Linux und sogar Mac-Apps übertragen. Erfolgsmethode: Stellen Sie den Entwicklern von Anwendungen eine zentrale (Active Directory) Möglichkeit zur Verfügung, um Nutzerauthentifizierung, Autorisierung und Identity Management zu externalisieren. Privileged Session Management (PSM) Vertrauen ist gut, Kontrolle ist besser Ein wichtiges Element aller PIM-Bereitstellungen ist das Aufzeichnen von Sessions. In Anbetracht der Macht von Privileged Accounts und der Sensibilität des Systems, der Anwendungen und der Daten, auf die zugegriffen werden kann, ist es von absoluter Wichtigkeit, deren Aktivitäten zu kontrollieren und zu überwachen. Beim Protokollieren der Session wird die eigentliche Session aufgezeichnet und die Playback-Funktion für Nachforschungen im Falle von Compliance-Unstimmigkeiten und Datenpannen genutzt. Wie bei jeder Art von Sicherheitskontrollen in einer komplexen Umgebung besteht auch hier die Frage, was als Erstes eingesetzt werden soll. Auch wenn sich Ihre individuellen Umstände unterscheiden, sollten Sie bedenken, dass PSM von einigen Organisationen als erste Sicherheitsinstanz in ihren PIM-Projektplan integriert wurde. Verglichen mit anderen PIM-Fähigkeiten, kann dieses relativ einfach und schnell gewinnbringend eingesetzt werden. Während sich die Implementierung Ihres Kern-SuperUser Privilege Management also noch in der Entwicklung befindet und Sie Ihre Nutzeridentitäten zusammenfassen, können Sie durch die Aufzeichnung von Sessions auf Ihren Privileged Servern einen direkten Einblick in die Tätigkeiten Ihrer Privileged User erhalten und Ihre Audit- und Compliance-Aktivitäten auf diese Weise schnell unterstützen. Erfolgsmethode: Zunächst bietet die Anwendung von PSM wertvolle Einblicke. Bedenken Sie die potentiellen Vorteile, die durch die direkte Einführung von PSM für Ihr Unternehmen entstehen. Anbieteroptionen teilen sich für gewöhnlich in zwei Parteien auf: zentralisierte Aufzeichnung auf einem Gateway oder Proxy oder Session-Recording auf jeder Host-Maschine. Als Erfolgsmethode gilt die letztere Methode als sicherste und effektivste Option. Um es sinngemäß darzustellen: wenn Sie lediglich an Ihrer Haustür eine Sicherheitskamera anbringen und ich dann durch Ihr Küchenfenster ins Haus einbreche, habe ich mir ohne Ihr Wissen Zugang zum Haus verschafft. Für ausgelagerte oder Remote-Angestellte ist die Haustür der einzige Weg, um sich (legitimen) Zugang zu verschaffen. Bösartige Angreifer werden jedoch eine Möglichkeit finden, um die zentrale Überwachung zu umgehen. Die Erfolgsmethode besteht daher darin, eine Sicherheitskamera auf jedem sensiblen Posten zu installieren. Außerdem werden zwar bei beiden Methoden Informationen der Session aufgezeichnet, detailliertere und umfassendere Informationen können jedoch über ein Gateway auf dem Host erlangt werden (insbesondere in Kombination mit einem Least-Privilege-Ansatz zum SuperUser-Privilege-Management, bei welchem Aktivitäten echten Nutzern, anstelle von gemeinsamen/anonymen IDs, zugeschrieben werden). Mit dem Host sind Sie dann in der Lage, die ausgeführten Befehle und Aktionen im Detail nachzuvollziehen. Dadurch wird eine CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.

11 WHITE PAPER äußerst detaillierte Übertragung der Session mit akkuraten Metadaten ermöglicht, sodass Sie Aufzeichnungen durchsuchen und Aktivitäten genau und schnell bestimmen können. Mit einem Gateway ist Ihnen ein derartiger Zugang nicht möglich, sodass Sie für gewöhnlich nicht die selbe Qualität an Metadaten wie bei einem Host-basierten Überwachungsagenten erhalten. Sie können den visuellen Datenstrom für Management-Sessions auf dem Server oder dem Gateway aufnehmen. Videoaufnahme-Lösungen können und sollten unbedingt für beide Systeme vergleichbar sein; es wird die selbe Technologie zur Videoaufnahme verwandt. Manche Lösungen fertigen lediglich Schnappschüsse von Daten in relativ niedriger Qualität an, sodass es schwierig sein kann, Sessions zu überwachen und im schlimmsten Fall sogar wichtige Informationen ganz entfallen können. Bei den besten Lösungen werden für jede Pixeländerung Aufnahmen gemacht, wodurch unterschiedliche Frames akkurater dargestellt werden als bei Schnappschuss -Lösungen. Erfolgsmethode: Nutzen Sie PSM-Lösungen, welche auf Pixeländerungen basieren, um so die maximale Abdeckung, beste Stabilität und feinere Details zu garantieren. Durch Host-basierte PSR können Sie unter Umständen weitere Informationen, bessere Suchund Indexfunktionen, sowie einen weitläufigeren Aktivitätsverlauf erhalten. SuperUser Privilege Management (SUPM) Verteilen Sie Rechte, wo möglich und gemeinsame Konten, wo nötig Mit SUPM wird das Vorgehen beschrieben, das Ausmaß an Privilegien für einen bestimmten Account auf ein Minimum zu beschränken; typischerweise für UNIX, Linux und Windows- Systeme. Wie bereits beschrieben, haben es Hacker darauf abgesehen, hochgradige Privileged Accounts anzugreifen, um so die Maschine zu kontrollieren und dies als Startpunkt zu nutzen, um weitere hochgradige Privileged Accounts innerhalb des Netzwerkes zu finden. Wenn Konten von Anfang an mit nur wenigen Privilegien ausgestattet sind, können Kriminelle diese nicht zum Angriff auf Ihre Infrastruktur nutzen. Sicherheitsanbieter lassen sich für gewöhnlich in zwei Parteien aufteilen. Die eine Seite wirbt damit, die Privileged Accounts bestehen zu lassen und verwaltet lediglich den Zugang zu deren Passwörtern. Dadurch wird die Angriffsfläche jedoch kaum minimiert. Auf einem zentralen Gateway oder Proxy installiert, können Nutzer darüber in einen Server eingeloggt werden, deren individuelle privilegierte Aktivitäten auf diesem Server entziehen sich anschließend jedoch der Kontrolle. Sobald Sie eingeloggt sind, sind Sie dann mit allen Privilegien des (zum Beispiel) Root-Zugangs ausgestattet. Auf diesem Weg werden all Ihre Aktivitäten auf diesem Server anonym eingepflegt als Root-Account. Selbst unter Einbezug von Privileged Shells oder White Listing wird der Server nur dann vor Angriffen geschützt, wenn der Zugang über den Proxy erfolgte. Die wohl größte Herausforderung bei diesem Ansatz besteht in der Gefahr, dass Admins einen Weg finden, um den Proxy zu umgehen und direkt auf den Server zugreifen, wodurch jegliche potentielle Schutzmechanismen der Lösung nichtig ist. Die andere Seite wirbt mit einem Least Privilege -Ansatz auf Host-Level, sofern dies möglich ist, sowie einem Passwort-Management-Ansatz am Gateway, wo ein Least-Privilege-Mechanismus schlichtweg nicht funktionieren würde (für gewöhnlich auf Grund technischer Probleme). Dabei wird kein direkter Login über Privileged Accounts genutzt (diese werden entfernt oder deaktiviert und dadurch die Angriffsoberfläche minimiert). Sie loggen sich mit CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.

12 Erfolgsmethoden für Privileged Identity Management in modernen Unternehmen Ihrem eigenen Konto mit geringen Privilegien ein. Wenn Sie dann eine privilegierte Aufgabe ausführen müssen (wie beispielsweise das Aufhalten eines Web-Server- Hintergrundprogrammes), müssen Sie direkt nach diesen Privilegien fragen. Sobald Ihnen diese Privilegien zugeteilt wurden (über die Rolle), wird die Aufgabe über den (z.b.) Root-Account ausgeführt; um vollständige Verantwortbarkeit zu garantieren, werden jedoch alle Audit-Spuren mit der wirklichen Nutzer-ID verbunden. Darüber hinaus kann der Account auch nicht durch Malware angegriffen und das gesamte System gefährdet werden. Dies stimmt mit Richtlinien wie PCI und NIST SP überein, welche den stark eingeschränkten Zugang zu einer Reihe von Servern nach Bedarf, sowie Least-Privilege-Ansätze empfehlen, um erlaubte Aktivitäten zu bestimmen. Jeder Ansatz, der Passwörter, Server-Login und Session-Recording zentral über ein Gateway verwaltet, setzt sich der potentiellen Gefahr einer Haustür -Umgehung aus, welche weiter oben beschrieben wurde. Host-basierte Lösungen sind dieser potentiellen Gefahrenstelle nicht ausgesetzt. Erfolgsmethode: Minimieren Sie die Anzahl gemeinsamer Accounts. Reduzieren/ deaktivieren Sie die Anzahl an Privileged Accounts. Setzen Sie auf Host-basiertes SUMP, um auf diese Art so häufig wie möglich Least-Privilege-Login mit einer einzigartigen ID und Privilegiengestattung in ausschließlich bestimmten Situationen zu verwenden. Setzen Sie SAPM dort ein, wo SUPM nicht möglich ist. Nahezu ein Kollateralschaden bei der Einführung eines echten SUPM besteht darin, dass Sie die Möglichkeit haben, Wissen oder den Gebrauch von Passwörtern von Privileged Accounts zu löschen. Sie können so zu Beginn weitreichende Rechte verteilen und diese anschließend nach und nach einschränken, sobald Sie sich einen Überblick über die für eine bestimmte Aufgabe notwendigen Rechte verschafft haben. Erfolgsmethode: Einsatz des SUPM, um Ihr Privilegien-Model zu verfeinern. Erfolgsmethode: Die Verbindung dessen mit Identity Consolidation im Active Directory führt zu weiteren Effizienzsteigerungen, da Sie auf diese Art Rollen und Privilegien für Nutzer zentral verwalten und globale Änderungen schnell und konsequent in Windows, Linux und UNIX durchführen können. Für welchen Ansatz Sie sich auch entscheiden sollten, es geht darum, eine Lösung zu finden, welche kontextbezogene Identity-Garantien bietet wenn Nutzer auf Privileged Accounts und sensible Systeme zugreifen. Dies bedarf Multi-Factor Authentication (MFA), sowie Nutzerkontextualisierung, um so Risiken einschätzen zu können und bessere Identity-Garantien zu bieten; so kann ein Mobiltelefon beispielsweise die GPS-Koordinaten dokumentieren und zur verbesserten Sicherheit ein einmaliges Passwort erstellen. Beachten Sie, dass dieses Vorgehen darüber hinaus auch äußerst effektiv ist, um sogenannten Pass the Hash -Attacken zu begegnen, bei welchen Server gefährdet werden, ohne das dabei zum Erraten der Passwörter grobe Gewalt nötig wäre CENTRIFY CORPORATION ALLE RECHTE VORBEHALTEN.