Defense in Depth Die Rolle privilegierter Accounts im Rahmen von Cyber Defense

Transkript

1 Defense in Depth Die Rolle privilegierter Accounts im Rahmen von Cyber Defense Dr. Ralf Stodt Executive Solution Manager Secure Identity, CISSP

2 Agenda Under Attack Welches Risiko beinhalten administrative Accounts? Wie verwalten wir diese Accounts heute? Lessons learned - Blindflug für privilegierte Konten Was ist PIM? (Privileged Identity Management) Lösungsvorstellung PIM Was macht ein PIM wirklich wertvoll? 2014_10_13 Defense in depth - Public - Approved - v1.0 2

3 Under Attack! Welche Rolle spielen Administratoren? APT Angreifer nutzen bevorzugt privilegierte Konten, wie z.b. Domain Administratoren, Service Konten mit Domain Privilegien, lokale Administratoren Konten und privilegierte Benutzerkonten. bei 100% der Verstöße waren gestohlene Zugangsdaten involviert. Mandiant, M-Trends and APT1 Report 2014_10_13 Defense in depth - Public - Approved - v1.0 3

4 Under Attack! > Ausweitung von Rechten ausgehend von internen Systemen ist eine Komponenten jedes Angriffes 2014_10_13 Defense in depth - Public - Approved - v1.0 4

5 Privilegierte Accounts privilegiertes Schadenspotenzial Privileged Accounts 2014_10_13 Defense in depth - Public - Approved - v1.0 5

6 Privilegierte Accounts privilegiertes Schadenspotenzial Compromised Privileged Accounts 2014_10_13 Defense in depth - Public - Approved - v1.0 6

7 Privilegierte Accounts privilegiertes Schadenspotenzial Compromised Privileged Accounts Kompromittierte administrative Kennungen sind ein massives Risiko: Deaktivierung von Sicherheitssystemen und Controls Zugriff auf Daten des kompromittierten Systems Modifikation der betroffenen Systeme Sprungbrett für weitere Aktionen 2014_10_13 Defense in depth - Public - Approved - v1.0 7

8 Privilegierte Accounts privilegiertes Schadenspotenzial > Was verstehen wir unter privilegierten Accounts Anwendungskennungen - Scheduled Tasks - Softwareverteilung - Remotemanagement - Batch-Jobs - Test-Skripte - App2App - M2M Administrative Konten Shared Build-In - Unix Root - Windows Administrator - Cisco Enable - Datenbank sa Shared - Helpdesk - Notfallpassworte - Entwicklerzugänge Cloud-Management - Externe Dienstleister - Cloud Verwaltung - Lokale Admin-Konten - POS Systeme - Terminals 2014_10_13 Defense in depth - Public - Approved - v1.0 8

9 Privilegierte Accounts privilegiertes Schadenspotenzial Versäumnisse in der Verwaltung privilegierter Kennungen > Verwendung von shared Accounts > Identische Kennungen auf einer Vielzahl an Systemen und Diensten > Fehlende Nachvollziehbarkeit > Keine einheitliche Durchsetzung von Richtlinien > LifeCycle für privilegierte Konten nicht vorhanden > Keine Integration in Identity Management (IDM) Prozesse > Verteilung des Wissens aufgrund technischer oder organisatorischer Unzulänglichkeiten > Konsequente Verletzung von need to know und least privilege 2014_10_13 Defense in depth - Public - Approved - v1.0 9

10 Privilegierte Accounts privilegiertes Schadenspotenzial Vergleich von Anwendern und privilegierten Kennungen Authentifizierung Password Komplexität Regelmäßige Passwortänderung Kenntnis über den Zugang Anwender Account Username/Passwort One Time Passwort Smartcard Biometrie Zwingend gemäß Passwortrichtlinie Zwingend gemäß Passwortrichtlinie Nur betreffender Anwender Privilegierter Account Username/Passwort Optional Selten IDM Prozessintegration Ja Selten In der Regel größere Mitarbeiterkreise Risikopotenzial bei Missbrauch Gering/Mittel Hoch 2014_10_13 Defense in depth - Public - Approved - v1.0 10

11 Privilegierte Accounts privilegiertes Schadenspotenzial Die Risiken sind bekannt > Alle regulatorischen Vorschriften beinhalten Vorgaben zur Verwaltung von privilegierten Accounts (SOX, PCI-DSS, Basel II, MARisk, Finma) 2014_10_13 Defense in depth - Public - Approved - v1.0 11

12 Privileged Identity Management Best Practice Empfehlungen > Vermeidung von nicht personalisierte Kennungen > Konsequente Fortführung der formellen Verfahrens im IDM-Umfeld zur Registrierung von privilegierten Kennungen sowie deren Rechtevergabe > Regelmäßige Überprüfung auf redundante Benutzerkennungen und Konten (Re-Zertifizierung) > Einschränkung und Kontrolle der Vergabe von privilegierten Rechten > Protokollierung der Verwendung von privilegierten Rechten > Schutz administrativer Kennungen und Systeme über starke Authentifizierung (Administrationskonzept) > Härtung kritischer Systeme und Built-In Accounts 2014_10_13 Defense in depth - Public - Approved - v1.0 12

13 Privileged Identity Management Anforderungen an PIM Lösungen > Speicherung und Management der privilegierten Accounts > Discovery von Accounts > Nachvollziehbarkeit für Shared Accounts > Sitzungsüberwachung, -aufnahme und -terminierung > Verwaltung von Funktionskennungen (in Anwendungen, Skripten und Diensten) > Verwaltung von Privilegien und Rechten für Administratoren mit Unterstützung von Workflows und 4-Augen Prinzip > Erfassung und Kontrolle von SSH-Keys 2014_10_13 Defense in depth - Public - Approved - v1.0 13

14 Privileged Identity Management Vorstellung CyberArk Auditors IT IT Systeme Vault (HA Cluster) Hauptstandort Auditors/IT Auditors/IT IT Systeme IT Systeme Niederlassung #1 DR Site Niederlassung #2 2014_10_13 Defense in depth - Public - Approved - v1.0 14

15 Privileged Identity Management Vorstellung CyberArk PIM. Der Password Safe (Vault) > Sicherer Speicher von Passwörtern > Zugriffsmodellierung > Generator für sichere Kennwörter > Verwalten von Zugriffen auf Kennwörter > Freigabe nach Autorisierung > Starke Authentifizierung möglich > Anbinden an vorhandenen Verzeichnisdienste 2014_10_13 Defense in depth - Public - Approved - v1.0 15

16 Privileged Identity Management Vorstellung CyberArk PIM. Der Password Manager (CPM) > Erneuern aller Kennwörter gemäß Kennwortrichtlinie > Erneuern von Kennwörtern nach Verwendung > Agentenlose Unterstützung verschiedenster Zielsysteme und Anwendungen > Alarmierung bei Kennwortänderungen außerhalb von PIM > Revisionssichere Versionierung 2014_10_13 Defense in depth - Public - Approved - v1.0 16

17 Privileged Identity Management Vorstellung CyberArk PIM. Das Managementfrontend (PVWA) > Zugriff auf alle Accountinformationen über Webfrontend (verschiedene Browser unterstützt, mobile Ansicht möglich) > Integration von Workflows > Direkte Verbindung zu Zielsystemen über Plugins ohne Kenntnis von Passwörtern 2014_10_13 Defense in depth - Public - Approved - v1.0 17

18 Privileged Identity Management Vorstellung CyberArk PIM. Der Videorekorder (PSM) > Direkter Aufruf von Sitzungen zu Zielsystemen über Sessionproxy (RDP oder SSH) > Monitoring live mit Terminierungsoption > Steuerung und Analyse auf Kommandoebene 2014_10_13 Defense in depth - Public - Approved - v1.0 18

19 Privileged Identity Management Vorstellung CyberArk Databases 1 HTTPS PSM 4 Windows/UNIX Servers 2 RDP over HTTPS 3 5 Web Sites 1. Anmeldung am Portal 2. Verbindung zum Sprung-Server 3. Zugriff auf Credentials im Vault 4. Verbindung über native Protokolle Vault 6 Routers and Switches 5. Session Recording 6. Logging in SIEM ESX\vCenters SIEM/Syslog 2014_10_13 Defense in depth - Public - Approved - v1.0 19

20 Privileged Identity Management Vorstellung CyberArk PIM. Die Account Analyse (PTA) > Erweiterung zu SIEM/Syslog-Integration als zusätzlicher Sensor > Analyse von Accountaktivitäten aus Zielsystemen und CyberArk EPV SIEM Solutions Privileged Threat Analytics (VM) 2014_10_13 Defense in depth - Public - Approved - v1.0 20

21 Privileged Identity Management Vorstellung CyberArk PIM. Die Account Analyse (PTA) 2014_10_13 Defense in depth - Public - Approved - v1.0 21

22 Privileged Identity Management Von der Idee zum Projekt Betrifft uns dieses Thema überhaupt? > Untersuchung im Rahmen von OffSec Audits > Accountanalyse durch DNA Tool mit Überprüfung auf Pass-the-Hash 2014_10_13 Defense in depth - Public - Approved - v1.0 22

23 Privileged Identity Management Von der Idee zum Projekt NTT Com Security Projektansatz Analyse Verwaltung Accounts Verwaltung Zugriffe Monitoring Wo finden sich die Accounts? Gibt es einen Lifecycle? Wer ist verantwortlich? Überführung in zentrales Management Kontrolle der Zugriffe auf Accounts Automatisiertes Verwalten Isolierung Kontrolle Überwachung Unregelmäßigkei ten im Zugriff Zeiten Anzahl an Abrufen Nicht autorisierte Systeme > Zielvorgaben und Definition der Erfolgsfaktoren für Phase I IV des PIM Projekts > Spezifikation der Lösungsarchitektur > Standarisierte Implementierung > Überführung in Betrieb oder Managed Service 2014_10_13 Defense in depth - Public - Approved - v1.0 23

24 Integration mit SIEM PIM. Der Teamplayer für das SIEM > Ein SIEM System bietet: Alarmierung von Events Valides Reporting für IT-Management und Security Management Erkennung von komplexen Angriffen Analyse von Angriffen und Einleiten von Responses > Ein PIM System bietet: Personalisierung von shared Accounts Nachvollziehbarkeit in der Verwendung von privilegierten Accounts Automatische Verwaltung von sensitiven Konten und Zustandsüberwachung Effektive Informationsquelle für SIEM-Systeme Ein PIM-System hilft effektiv in der Erkennung von Angriffen! 2014_10_13 Defense in depth - Public - Approved - v1.0 24

25 Defense in depth Die Rolle privilegierter Accounts im Rahmen von Cyber Defense > Privileged Identity Management bietet Mehrwerte Zugriff auf privilegierte Kennungen beinhalten enormes Schadenspotenzial Gegenmaßnahmen bei einem Angriff lassen sich in infiltrierten Netzen nicht umsetzen Privileged Identity Management schützt effektiv vor dem Missbrauch dieser Kennungen (durch interne oder externe Angreifer) PIM sichert die Handlungsfähigkeit im Falle eines Angriffes > Privileged Identity Management ist ein Baustein Einführung eines PIM als Lösungsbaustein muss Siloisierung (destruktive Abgrenzung) vermeiden Zusammenspiel mit weiteren Defense in depth -Baustein erst schafft Mehrwerte Kombination mit Technologien wie Vulnerability Management oder ausgefeilten Detektionsmechanismen unter der Intelligenz eines SIEM vereint schafft Klarheit über den Status ihres Netzwerks 2014_10_13 Defense in depth - Public - Approved - v1.0 25

26 Vielen Dank! 2014_10_13 Defense in depth - Public - Approved - v1.0