Sicherer Remote-Zugriff durch Dritte mit Sicherheitslösungen für privilegierte Accounts

Transkript

1 Sicherer Remote-Zugriff durch Dritte mit Sicherheitslösungen für privilegierte Accounts

2 Inhalt Privilegierter Remote-Zugriff durch Dritte: eine Einführung 2 Kennen Sie alle Ihre Lieferanten mit Remote-Zugriff? 2 Das Risiko: nicht verwaltete Anmeldedaten in den falschen Händen 3 Anmeldedaten sperren und Aktivitäten im Auge behalten 3 Anmeldedaten verwalten und sichern 3 Sessions isolieren und überwachen 4 Verdächtige Aktivitäten ermitteln 5 Geschäftsprozesse sicher beschleunigen 6 Fazit 6

3 Privilegierter Remote-Zugriff durch Dritte: eine Einführung Neben Ihren internen Benutzern in der Regel Mitarbeiter müssen auch zahlreiche externe Benutzer im Zuge des normalen Geschäftsbetriebs auf Ihr Netzwerk zugreifen. Tatsächlich gestatten 60 Prozent aller Unternehmen Dritten den Remote-Zugriff auf ihre internen Netzwerke 1. Diese Dritten, zu denen Lieferanten, Auftragnehmer, Berater und andere Dienstleister gehören, besitzen autorisierten Zugriff auf Ihr Netzwerk und können so unbefugt Einfluss auf Ihren Geschäftsbetrieb nehmen. Da es sich hierbei um einen privilegierten Zugriff handelt, bedarf es eines mindestens genauso umfangreichen Tatsächlich gestatten 60 Prozent aller Unternehmen Dritten den Remote-Zugriff auf ihre internen Netzwerke. Schutzes wie beim privilegierten Zugriff durch interne Benutzer. Jedoch übersehen Unternehmen bei der Sicherung ihrer Netzwerke häufig die Tatsache, dass privilegierte Remote-Zugriffe durch Lieferanten strenge Sicherheitskontrollen erfordern. Als unbeabsichtigte Folge dieser Achtlosigkeit entsteht eine äußerst bedenkliche Sicherheitsschwachstelle, die Angreifer nur allzu oft ausnutzen, um unbeschränkten Zugriff auf das Netzwerk eines Unternehmens zu erhalten. Dieses Whitepaper beleuchtet die Konsequenzen des Zugriffs durch Dritte für die Netzwerksicherheit und empfiehlt eine Reihe von Best Practices, um diese Schwachstelle in der IT-Sicherheit zu beheben. Kennen Sie alle Ihre Lieferanten mit Remote-Zugriff? Um das Ausmaß des Problems richtig einschätzen zu können, gilt es zunächst, sämtliche externen Benutzer und Eintrittspunkte zu ermitteln, die zwar autorisiert sind, aber von der IT-Abteilung nicht vollständig kontrolliert und verwaltet werden. Diese Aufgabe gestaltet sich für IT- und Sicherheitsteams indes oftmals schwierig, unterhalten die meisten führenden Unternehmen doch fortlaufend risikobehaftete Geschäftsbeziehungen zu 200 bis 300 Drittanbietern 2. Die zugehörigen Accounts können von den Dritten selbst eingerichtet worden oder in Systeme eingebettet sein, die sich dem Einflussbereich der IT entziehen. Die lange Liste möglicher Drittanbieter mit Netzwerkzugriff lässt sich in folgende allgemeine Kategorien unterteilen: Drittanbieter von Hardware und Software Support-Techniker greifen auf in Hardware- und Softwarelösungen integrierte Accounts zu, um Systeme vertragsgemäß aus der Ferne zu warten. Fernwartungs-Accounts für große Storage-Systeme in Unternehmen etwa werden statt von dem Unternehmen, in dessen Umgebung das System installiert ist, vom Anbieter erstellt und verwaltet. IT-Dienstleister Anbieter ausgelagerter IT-Services, wie beispielsweise Helpdesk-Support, und deren Mitarbeiter benötigen Zugriff auf Netzwerkressourcen, um Passwörter zurücksetzen und weitere administrative Aufgaben ausführen zu können. Anbieter in der Lieferkette Anbieter von Dienstleistungen, Produkten und Infrastruktur für die Herstellung und Lieferung von Waren benötigen unter Umständen Zugriff auf das Netzwerk, um Aufträge auszuführen, Systeme zu warten oder Bestände zu überwachen. Hierzu zählen beispielsweise Anbieter von POS-Lösungen, die Systeme für Einzelhandelsunternehmen implementieren und pflegen. 1 Studie Global Advanced Threat Landscape, CyberArk, Managing third-party risk in a changing regulatory environment, McKinsey & Company, Mai 2013 CyberArk Software Ltd. 2

4 Sicherer Remote-Zugriff durch Dritte mit Sicherheitslösungen für privilegierte Accounts Dienstleistungsunternehmen Anbieter geschäftlicher Dienstleistungen, etwa in den Bereichen Recht und PR, müssen häufig auf das Netzwerk eines Unternehmens zugreifen, um ihre Arbeit möglichst effektiv erledigen zu können. Ein Webdienstleister benötigt beispielsweise Netzwerkzugriff, um eine neue Website erstellen und online stellen zu können. Die meisten führenden Unternehmen unterhalten fortlaufend risikobehaftete Geschäftsbeziehungen zu 200 bis 300 Drittanbietern. Externe Berater Externe Business- und IT-Consultants benötigen für die Projektdurchführung Zugriff auf Netzwerkressourcen. Die entsprechenden Accounts werden von der IT-Abteilung erstellt, die Anmeldedaten allerdings vom jeweiligen Dritten verwaltet. Ein Beispiel hierfür sind Unternehmensberater, die im Zuge eines langfristigen strategischen Projekts zu Analysezwecken auf Daten und Berichte zugreifen. Unabhängig davon, ob Drittanbieter mit Remote-Zugriff die Accounts für ihre Benutzer selbst erstellen oder die interne IT dies übernimmt, gerät es für Letztere zu einer wahren Herausforderung, Benutzer und deren Anmeldedaten unter Kontrolle zu halten. Nicht kontrollierte privilegierte Accounts stellen ein erhebliches Sicherheitsrisiko für ein Unternehmen dar und öffnen entschlossenen Angreifern Tür und Tor, sodass diese sich unbemerkt ins Netzwerk einschleichen können. Das Risiko: nicht verwaltete Anmeldedaten in den falschen Händen Um die Sicherheit beim Netzwerkzugriff durch externe Remote-Benutzer zu gewährleisten, sichern viele Unternehmen in erster Linie die Verbindung selbst mithilfe von Virtual Private Networks (VPNs) oder Virtual Desktop Infrastructure (VDI). Während solche Sicherheitsmaßnahmen an sich sinnvoll sind, werden die Anmeldedaten für VPN oder VDI häufig den externen Benutzern überlassen und entziehen sich somit Sicherheitsrichtlinien und Einflussbereich des Unternehmens. Ohne Möglichkeit zur Kontrolle von Anmeldedaten oder Durchsetzung entsprechender Richtlinien kann ein Unternehmen nichts ausrichten, wenn ein Benutzer mit seinen Anmeldedaten nachlässig umgeht und sie womöglich in einer Datei speichert, aufschreibt oder (aus Versehen) an nicht zugriffsberechtigte Benutzer weitergibt. Eine weitere Gefahrenquelle besteht in der eventuell nicht vorhandenen Sicherheit der Endgeräte von Benutzern. Beim Zugriff durch Dritte wird der Endpunkt nicht von der IT-Abteilung des Unternehmens verwaltet, sodass Status und Sicherheit des Endgeräts unbekannte Größen sind. Dadurch entsteht ein nicht kalkulierbares Risiko der Einschleusung von Schadsoftware, der ein Unternehmen nur in geringem Maße vorbeugen und später oftmals nichts entgegensetzen kann. Das vielleicht größte Risiko stellen indes von Dritten erstellte Accounts dar, die vom Unternehmen unbemerkt für den Zugriff auf sein Netzwerk verwendet werden. Schließlich lässt sich nicht schützen, was nicht bekannt ist. Angreifer kennen die Sicherheitsschwachstellen in Zusammenhang mit dem Zugriff auf Netzwerkressourcen durch Dritte. Sie kompromittieren mühelos nicht verwaltete Anmeldedaten oder nutzen ungesicherte Endpunkte, um sich Zugang zu Ihrem Netzwerk zu verschaffen. Ist dies gelungen, bewegen sie sich lateral durch das Netzwerk bis zu den gesuchten Ressourcen, um sie zu entwenden. Die Möglichkeit zur Sperrung der von externen Benutzern verwendeten privilegierten Accounts ist daher entscheidend, um Ihr Netzwerk vor unbefugten Zugriffen und Datendiebstahl zu schützen.. Anmeldedaten sperren und Aktivitäten im Auge behalten Mit den Risiken in Verbindung mit dem Zugriff durch Dritte vor Augen können Unternehmen verschiedene Maßnahmen zum Schutz ihrer Netzwerke ergreifen. Durch geeignete Mittel für Kontrolle und Überwachung können Dritte den benötigten Zugriff erhalten und Unternehmen zugleich ihre Sicherheitsstandards wahren. Anmeldedaten verwalten und sichern Um das Risiko missbräuchlich verwendeter Anmeldedaten zu senken, müssen zunächst zwingend alle externen Benutzer und ihre Anmeldedaten ermittelt werden. Neben von Ihrem Unternehmen bereitgestellten Accounts betrifft dies auch von Ihren Dienstleistern und Lieferanten erstellte und in Systeme eingebettete Accounts, von denen Sie möglicherweise nicht einmal Kenntnis besitzen. Diese Bestandsaufnahme sollte einerseits alle Benutzern zugewiesenen Accounts und Anmeldedaten umfassen, andererseits aber auch Application-to-Application-Accounts, auf die mittels in der Anwendung eingebetteter Passwörter oder lokal auf dem Server gespeicherter SSH-Keys zugegriffen wird. CyberArk Software Ltd. 3

5 Sicherer Remote-Zugriff durch Dritte mit Sicherheitslösungen für privilegierte Accounts Eine effektive Vorgehensweise besteht darin, zunächst das Netzwerk mithilfe eines Tools zu scannen, das privilegierte Accounts identifiziert. Hierzu bietet sich das kostenlose, eigenständige Tool CyberArk Discovery & Audit an, das zum Lokalisieren von privilegierten Benutzer- und Anwendungskonten sowie von Anmeldedaten entwickelt wurde. Das Tool erstellt einen vollständigen Bericht mit einer Auflistung aller Accounts, der zugehörigen Anmeldedaten (Passwörter und SSH-Keys) und des Account-Status im Hinblick auf die Sicherheitsrichtlinien des Unternehmens. Anhand dieses Berichts erhalten Unternehmen eine erste Übersicht über alle privilegierten Accounts, auf die interne und externe Benutzer zugreifen. Nach der Ermittlung aller Accounts und Anmeldedaten sollten mögliche Schwachstellen und gefährdete Bereiche abgesichert werden. Zusammengefasst geht es darum, ungeachtet aktueller Praktiken die von Dritten verwendeten privilegierten Accounts und Anmeldedaten wieder vollständig unter die Kontrolle der IT-Abteilung zu stellen. Hierzu empfiehlt es sich, die Anmeldedaten zentral in einem sicheren digitalen Tresor zu speichern und Zugriffskontrollen für Remote-Benutzer einzurichten, die Zugriff auf privilegierte Accounts benötigen. Sind die Anmeldedaten sicher abgelegt, melden Benutzer sich beim Tresor an, um die Anmeldedaten zu erhalten, zu deren Nutzung sie berechtigt sind. Daraufhin können sie das Passwort oder den SSH-Key sicher abrufen oder eine direkte Verbindung zum Account anfordern. Dieser Prozess ermöglicht ein zentralisiertes Provisioning und De-Provisioning von Accounts ohne Einfluss auf die Endgeräte ein wichtiger Vorteil im Umgang mit Remote-Benutzern, deren Rollen sich häufig ändern. In einem digitalen Tresor gespeicherte und verwaltete Anmeldedaten sollten ferner regelmäßig automatisiert vom System durchgewechselt werden, um Risiken durch abgelaufene Anmeldedaten zu verringern. Durch die Rotation von Anmeldedaten nach ihrer Benutzung lässt sich die Verwendung von Einmalpasswörtern umsetzen. Diese automatisierte Rotation von Passwörtern und SSH-Key-Paaren ist zudem häufig Bestandteil von Compliance-Vorschriften und entspricht Best Practices für die Sicherung privilegierter Accounts. Zusätzlich schützen lässt sich der Zugriff auf Accounts durch eine Multifaktor-Authentifizierung für den Tresor, für den Abruf hochsensibler Anmeldedaten können außerdem Workflow-Genehmigungsverfahren festgelegt werden. Werden diese Sicherheitsmaßnahmen ergriffen, können externe (und interne) Benutzer, die Zugriff auf ein System haben müssen, bequem und sicher auf die im Tresor gespeicherten Anmeldedaten zugreifen, während deren Verwaltung und Kontrolle wieder in den Händen der IT liegt. Neben der Sicherung und Kontrolle des Zugriffs auf Anmeldedaten bringt der Einsatz eines digitalen Tresors auch persönliche Verantwortlichkeit mit sich. Da Benutzer sich beim digitalen Tresor anmelden müssen, wird die gemeinsame Nutzung von Accounts transparent, und dank der Nachverfolgung und Protokollierung der Aktivitäten einzelner Benutzer werden Audit- und Forensikprozesse unterstützt. Dies ist vor allem bei der gemeinsamen Nutzung von Anmeldedaten durch interne und externe Benutzer von Bedeutung, da so stets ersichtlich ist, ob Ihr eigener Mitarbeiter oder der eines Lieferanten für eine mögliche Kompromittierung verantwortlich ist. Die Sicherheitslösung für Privileged Accounts von CyberArk umfasst verschiedene integrierte Komponenten für einen digitalen Tresor, mit dem Sie Anmeldedaten für externe Benutzer verwalten und sichern können: Enterprise Password Vault zur Sicherung, Rotation und Kontrolle des Zugriffs auf privilegierte Passwörter SSH Key Manager zur Sicherung und Kontrolle des Zugriffs auf private SSH-Keys und zur Rotation von SSH-Key-Paaren Application Identity Manager zur Entfernung in Anwendungen eingebetteter Passwörter und lokal gespeicherter SSH-Keys sowie zu deren zentraler Sicherung, Verwaltung und Rotation Die Komponenten dieser Lösung lassen sich beliebig kombinieren, um alle von Drittanbietern für den Netzwerkzugriff verwendeten Anmeldedaten zu sichern und zu verwalten. Sessions isolieren und überwachen Nicht verwaltete Endpunkte mit Netzwerkzugriff bieten Angreifern Gelegenheit, Schadsoftware zu installieren und zu nutzen. So können sie mithilfe von Keyloggern und anderen Tools direkten Zugang zu sensiblen Ressourcen erhalten. Die wichtigste Taktik, um dieses Risiko zu senken und Remote-Sessions zu sichern, ist die Isolierung aller Sessions mit Ursprung außerhalb des Netzwerks und auf nicht verwalteten Geräten. Eine Methode für diese Isolierung besteht darin, Verbindungen ausnahmslos über einen Jump-Server zu leiten, der privilegierte Sessions überwacht und protokolliert. CyberArk Software Ltd. 4

6 Sicherer Remote-Zugriff durch Dritte mit Sicherheitslösungen für privilegierte Accounts Für einen optimalen Schutz lässt sich der Jump-Server in ein bestehendes VPN integrieren. Verbindet sich ein Remote-Benutzer über das VPN, meldet er sich zunächst über ein sicheres Webportal beim Jump-Server an. Im Webportal wählt er dann das gewünschte Zielsystem aus, woraufhin mittels eines Standardprotokolls wie RDP oder SSH eine direkte Verbindung über den Jump-Server hergestellt wird. Das Endgerät des Benutzers und das Zielsystem sind somit vollständig voneinander isoliert. Der Jump-Server kommuniziert dabei mit dem digitalen Tresor, um Zugriffsberechtigungen für einzelne Systeme zu verwalten, und kann den Zugriff auf bestimmte Anwendungen gestatten. So fungiert er als zentraler Kontrollpunkt zwischen allen externen Benutzern und Zielsystemen im Netzwerk. Der Jump-Server schützt Zielsysteme und Netzwerke auf dreierlei Weise: Verhinderung der Ausbreitung von Desktop-Schadsoftware: Bei Nutzung eines Jump-Servers wird die Session nicht auf dem Endgerät des Benutzers, sondern auf dem isolierten Proxy-Server ausgeführt. Versucht ein Angreifer, durch die Installation von Schadsoftware auf dem Endgerät eines Lieferanten oder externen Benutzers Zugriff auf ein internes Netzwerk zu erhalten, fängt der Jump-Server das schädliche Programm ab und verhindert so eine Infektion des Netzwerks. Senkung des Risikos gestohlener Anmeldedaten: Da der Jump-Server die Anmeldedaten aus dem digitalen Tresor abruft und die Session startet, gibt der Benutzer sein Passwort nicht selbst ein. Remote-Benutzer müssen somit keine Kenntnis ihres Passworts haben. Auf einem Endgerät installierte Keylogger bleiben wirkungslos, während das Passwort nicht der Gefahr ausgesetzt ist, von unachtsamen externen Benutzern weitergegeben, aufgeschrieben oder in einer Datei gespeichert zu werden. Überwachung und Protokollierung aller Sessions: Nach Herstellung der Verbindung kann eine Session in Echtzeit angezeigt und beendet und für spätere forensische Analysen aufgezeichnet werden. Zusätzlich überwacht und protokolliert der Jump-Server als zentraler Zugriffskontrollpunkt sämtliche Sessions. Angreifer, die versuchen, mittels der Anmeldedaten externer Benutzer in ein internes Netzwerk einzudringen, können diese Sicherheitskontrolle nicht überwinden. Durch die Unterstützung der Zwei-Faktor- Authentifizierung, die Durchsetzung von Beschränkungen der Sessiondauer und die Integration in Ticketing-Systeme lassen sich mithilfe dieses zentralen Kontrollpunkts auch die Befugnisse und Möglichkeiten eines Remote-Benutzers einschränken. Der CyberArk Privileged Session Manager, Teil der Sicherheitslösung für Privileged Accounts, ist eine agentenlose Zero-Footprint-Lösung, die als sicherer Jump-Server fungiert. Dank vorbeugender Maßnahmen wie Isolierung und Account- Kontrolle gelangen Anmeldedaten niemals in fremde Hände. Das Risiko, dass Angreifer mittels gestohlener Anmeldedaten auf das Netzwerk zugreifen, wird dadurch erheblich gesenkt. Erkennungsfunktionen mit Echtzeit-Überwachung und Videoaufnahmen sowie detaillierte, durchsuchbare Audit-Protokolle von Benutzeraktivitäten helfen Unternehmen, verdächtiges Verhalten aufzudecken, das auf eine Kompromittierung von Anmeldedaten externer Benutzer hinweist. So bietet dieser Jump-Server zusammen mit digitalen Tresoren oder als eigenständige Lösung einen effektiven Schutz vor Angriffen, die von Accounts Dritter oder externen Benutzern ausgehen. Verdächtige Aktivitäten ermitteln Die Ergänzung von Sicherheitslösungen für den Zugriff durch Dritte um Funktionen zur Bedrohungserkennung ist unerlässlich, um Kompromittierungen von Accounts rechtzeitig zu erkennen. Im Wesentlichen basiert die Erkennung von Bedrohungen auf der Feststellung ungewöhnlichen Verhaltens von Benutzern und Ressourcen, das darauf hindeutet, dass ein autorisierter Benutzer keine Kontrolle über seinen Account besitzt. Praktischerweise zeigen externe Benutzer bestimmbare Aktivitätsmuster, die als Grundlage für die Ermittlung verdächtiger Aktivitäten dienen können. Gelingt es einem Angreifer, die Anmeldedaten eines Remote-Benutzers zu kompromittieren oder über einen gekaperten Account auf Ihr Netzwerk zuzugreifen, äußert sich dies somit durch Unregelmäßigkeiten im Benutzerverhalten. Analyse-Tools, die Aktivitäten von Benutzern und Accounts fortlaufend überwachen und dadurch typische Aktivitätsmuster kennen, können verdächtige Aktivitäten feststellen und melden. IT- und Sicherheitsteams wiederum können anhand dieser Warnmeldungen laufende Angriffe aufdecken und unterbrechen und damit den Schaden für das Unternehmen beträchtlich eindämmen. CyberArk Privileged Threat Analytics integriert sich nahtlos in die Komponenten der Sicherheitslösung für Privileged Accounts und in vorhandene SIEM-Lösungen, um Daten zur Nutzung privilegierter Accounts zu erfassen und zu analysieren. Diese Daten werden fortlaufend mit dem normalen Verhalten verglichen; im Falle einer Abweichung werden Warnmeldungen an das CyberArk-Dashboard oder die SIEM-Lösung gesendet und ermöglichen so eine unmittelbare Reaktion. Durch diese zielgerichteten Warnmeldungen zu Anomalien bei privilegierten Accounts darunter auch die von Drittanbietern bietet CyberArk Privileged Threat Analytics Schutz vor dem am häufigsten verwendeten Angriffsvektor überhaupt. CyberArk Software Ltd. 5

7 Sicherer Remote-Zugriff durch Dritte mit Sicherheitslösungen für privilegierte Accounts Geschäftsprozesse sicher beschleunigen Externen Benutzern von Lieferanten, Partnern und Auftragnehmern den Zugriff auf Ihr Netzwerk zu gestatten, ist in der heutigen Geschäftswelt unumgänglich. Er ermöglicht externen und internen Benutzern die effiziente Zusammenarbeit an Projekten, die schnelle Behebung von Wartungsproblemen und die Bereitstellung nahtloser Services in Ihrer Umgebung, wodurch letztlich die Produktivität gesteigert wird. Ohne einen solchen Zugriff entgehen Ihnen Ertragsmöglichkeiten, zudem werden Projektfortschritte verlangsamt und die Wahrscheinlichkeit von Ausfallzeiten Ihrer Systeme nimmt zu. Mit einem sicheren, geschützten und überwachten Zugriff auf Ihr Netzwerk durch externe und interne Benutzer kann Ihre IT-Abteilung Zugang zu benötigten geschäftlichen Ressourcen bieten, ohne dass weitreichende neue Risiken entstehen. Fazit Externe Remote-Benutzer, die auf Ihr Netzwerk zugreifen, stellen ein Risiko dar, das sich leicht entschärfen lässt. Geeignete Lösungen für den Schutz von Anmeldedaten, die Kontrolle von Accounts und die Erkennung von Bedrohungen können das Risiko minimieren, dass nicht autorisierte Benutzer mit Accounts von Auftragnehmern, Dienstleistern oder Leiharbeitnehmern unbeschränkten Zugriff auf interne Netzwerke erlangen. So können Unternehmen mithilfe dieser Kontrollmaßnahmen effektiv mit externen Partnern zusammenarbeiten und gleichzeitig einheitliche Sicherheitsstandards gewährleisten. CyberArk Software Ltd. 6

8 Alle Rechte vorbehalten. Dieses Dokument enthält Informationen und Konzepte, die alleiniges Eigentum der CyberArk Software Ltd. sind. Ohne vorausgehende schriftliche Genehmigung der CyberArk Software Ltd. ist es nicht gestattet, diese Publikation ganz oder in Auszügen zu vervielfältigen, in einem Datenabfragesystem zu speichern oder zu verbreiten. Dies gilt für jedes Format und jede Methode, ob elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen, Scannen oder sonstige Verfahren. Copyright CyberArk Software Ltd. Alle Rechte vorbehalten. cyberark.com