Whitepaper: Verhinderung der Übernahme von privilegierten Konten

[fs-toc-omit]Bewältigung der Bedrohungen durch privilegierte Identität und privilegierten Zugang in Organisationen

Einführung

Im heutigen digitalen Zeitalter ist die Sicherung von Identitäten für jede Organisation von größter Bedeutung. Angesichts der zunehmenden Raffinesse von Cyberangriffen ist es von entscheidender Bedeutung, die Kompromittierung von privilegierten Identitäten und den Missbrauch von privilegiertem Zugriff zu verhindern. Dieses Whitepaper befasst sich mit den kritischen Aspekten des unbefugten Zugriffs durch effektive Identitäts- und Zugriffsverwaltungsstrategien und konzentriert sich dabei auf die zentrale Rolle von Privileged Identity Management (PIM) und Privileged Access Management (PAM).

Verständnis von Identitätskompromittierung

Eine Identitätsgefährdung liegt vor, wenn sich Unbefugte Zugang zu den Daten einer Person oder eines Unternehmens Anmeldedaten verschaffen. Dies kann schwerwiegende Folgen haben, darunter Datendiebstahl, finanzielle Verluste und Rufschädigung. Einem Bericht von IBM aus dem Jahr 2023 zufolge belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf 4,45 Millionen US-Dollar, wobei die Kompromittierung von Anmeldedaten der häufigste erste Angriffsvektor ist.

Gängige Methoden der Identitätskompromittierung

1. Phishing: Betrügerische Versuche, an vertrauliche Informationen zu gelangen, indem sie sich als vertrauenswürdige Einrichtungen ausgeben. Im Bericht von Verizon über die Untersuchung von Datenschutzverletzungen 2024 wurde festgestellt, dass bei 68 % der Datenschutzverletzungen das menschliche Element (Phishing) eine Rolle spielte. Das Ziel von Phishing ist es, Menschen dazu zu bringen, ihre Anmeldedaten preiszugeben. Das ist für Cyberkriminelle einfacher als das Brute-Force-Verfahren Anmeldedaten.
2. Diebstahl von Zugangsdaten: Unbefugter Zugang zu Passwörtern und anderen Authentifizierungsdaten, oft durch Lücken in den Diensten Dritter. Eine Studie von Microsoft hat ergeben, dass 73 % der Passwörter für mehrere Konten doppelt vergeben werden, was das Risiko des Diebstahls von Anmeldedaten erhöht. Im IBM 2024 Threat Intelligence Report wurden 85 % der Angriffe durch Phishing und den Diebstahl gültiger Kontodaten verursacht. Darüber hinaus wurde Anmeldedaten im Google 2024 Threat Horizons Report mit 47 % der Angriffe auf Cloud-Umgebungen als "wichtigster anfänglicher Zugangsvektor" genannt. Damit ist Anmeldedaten der "häufigste Einstiegspunkt" für Cyberkriminelle in ein Unternehmen.
3. Adversary-in-the-Middle-Angriffe: Abfangen und Manipulieren der Kommunikation zwischen zwei Parteien, wodurch sich Angreifer Zugang zu Anmeldedaten und anderen sensiblen Informationen verschaffen können. Dies wurde von Cyberkriminellen ausgenutzt, um die herkömmliche Multifaktor-Authentifizierung (MFA 1.0) zu umgehen, einschließlich PUSH, QR-Code, SMS und MFA auf der Grundlage von Einmal-Passwörtern. Bei Adversary-in-the-Middle-Angriffen (AITM) wird MFA vollständig umgangen, so dass die Bedrohungsakteure Zugriff auf sensible Systeme des Unternehmens erhalten. Dies war der Fall bei Microsoft , wo der Angreifer AITM nutzte, um mehrere Organisationen zu kompromittieren, die sich auf Microsoft Authenticator verlassen.

Die Kompromittierung von Identitäten ist für Cyberkriminelle die zuverlässigste Methode, um Organisationen zu infiltrieren - Stichwort: Kontoübernahme.

Die Herausforderungen des Privileged Identity and Access Management

Phishing und gestohlene oder kompromittierte Anmeldedaten sind die beiden häufigsten Angriffsvektoren, die Unternehmen im Jahr 2024 durchschnittlich 4,88 Millionen Dollar pro Verstoß kosten werden. Wie aus dem Bericht von Verizon zur Untersuchung von Datenschutzverletzungen 2024 hervorgeht, waren gestohlene Anmeldedaten für mehr als 31 % aller Datenschutzverletzungen in den letzten 10 Jahren verantwortlich. Darüber hinaus dauerte es laut dem IBM-Bericht 2024 über die Kosten von Datenschutzverletzungen am längsten (292 Tage), um gestohlene oder kompromittierte Anmeldedaten zu identifizieren und einzudämmen. All dies ist darauf zurückzuführen, dass jeder (ob echter Benutzer oder Angreifer) mit der richtigen Anmeldedaten auf alles zugreifen kann, da solche detektivischen Kontrollen in den Unternehmen versagt haben.

Privilegierte Konten haben oft Zugang zu kritischen Systemen und sensiblen Daten, was sie zu bevorzugten Zielen für Angreifer macht. Eine Kompromittierung von privilegierten Konten Anmeldedaten führt zu unbefugtem privilegierten Zugriff, der dann katastrophale Folgen hat. Ein typisches Beispiel ist der Angriff auf SolarWinds, bei dem kompromittierte privilegierte Identitäten zu weitreichenden Sicherheitsverletzungen führten. Bei diesem Angriff verschafften sich die Angreifer Zugang zu privilegierten Konten und nutzten diese, um Malware zu verbreiten, von der Tausende von Unternehmen weltweit betroffen waren. Wie in der IBM-Studie 2024 über die Kosten von Datenschutzverletzungen festgestellt wurde, verursachten böswillige Angriffe von privilegierten Insidern die höchsten durchschnittlichen Kosten von 4,99 Millionen US-Dollar. Kompromittierte privilegierte Identitäten können zu erheblichen Datenschutzverletzungen und Ransomware führen, sensible Informationen offenlegen und einem Unternehmen erheblichen Schaden zufügen. Vertrauen ist für Unternehmen von entscheidender Bedeutung, und eine Verletzung von privilegierten Konten kann den Ruf eines Unternehmens schwer schädigen und zum Verlust von Kunden und Geschäftsmöglichkeiten führen.

Um die Übernahme von Privilegienkonten einzuschränken oder zu verhindern, benötigen Unternehmen eine Verwaltung privilegierter Identitäten.

Privilegierte Identitätsverwaltung (PIM)

PIM umfasst die Verwaltung von Identitäten mit erhöhtem Zugriff, um sicherzustellen, dass sie ordnungsgemäß kontrolliert und überwacht werden. Es konzentriert sich auf den Lebenszyklus privilegierter Identitäten, von der Erstellung bis zur Deaktivierung, um sicherzustellen, dass diese Konten sicher und verantwortungsvoll genutzt werden.

Hauptmerkmale von PIM

• Verwaltung des Lebenszyklus von Identitäten: Sicherstellen, dass die Identitäten von der Erstellung bis zur Deaktivierung verwaltet werden. Dazu gehören regelmäßige Überprüfungen und Aktualisierungen, um sicherzustellen, dass die Zugriffsrechte angemessen bleiben.
• Multi-Faktor-Authentifizierung (MFA): Hinzufügen einer zusätzlichen Sicherheitsebene für privilegierte Konten.
• Just-in-Time-Zugriff: Gewährung des Zugriffs nur bei Bedarf, um das Risiko des Missbrauchs von Privilegien zu verringern Anmeldedaten. Dieser Ansatz minimiert die Angriffsfläche, indem er die Dauer der Gewährung von Privilegien begrenzt.
• Rollenbasierte Zugriffskontrolle (RBAC): Durch die Zuweisung von Zugriffsrechten auf der Grundlage von Rollen wird sichergestellt, dass die Benutzer nur den für die Ausführung ihrer Aufgaben erforderlichen Mindestzugang erhalten. Dieses Prinzip der geringsten Privilegien hilft, übermäßige Zugriffsrechte zu vermeiden.
• Prüfung und Einhaltung: Regelmäßige Audits zur Gewährleistung der Einhaltung von Richtlinien und Vorschriften. Die Prüfung des privilegierten Zugriffs hilft Organisationen, die unangemessene Nutzung von Privilegien zu erkennen und darauf zu reagieren.

Vorteile von PIM

• Bessere Kontrolle über privilegierte Identitäten: Durch die Verwaltung des Lebenszyklus von privilegierten Identitäten können Unternehmen sicherstellen, dass diese Konten angemessen und sicher genutzt werden.
• Geringeres Risiko des unbefugten Zugriffs: Just-in-Time-Zugriff und RBAC verringern das Risiko eines unbefugten Zugriffs, indem sie die Verfügbarkeit und den Umfang von privilegierten Konten einschränken.
• Verhindern Sie Verstöße: MFA trägt dazu bei, die Übernahme von Konten zu verhindern, und verringert somit die Wahrscheinlichkeit eines Verstoßes.
• Bessere Compliance mit Identity Governance: Regelmäßige Audits und Compliance-Prüfungen helfen Unternehmen, gesetzliche Vorschriften zu erfüllen und sicherzustellen, dass privilegierte Identitäten verantwortungsvoll verwaltet werden.

Privilegierte Zugriffsverwaltung (PAM)

PAM konzentriert sich auf die Sicherung und Kontrolle des Zugangs zu Systemen mit privilegierten Konten. Es umfasst den Schutz der Anmeldedaten von privilegierten Systemen und die Überwachung ihrer Nutzung, um Missbrauch zu verhindern und verdächtige Aktivitäten zu erkennen.

Hauptmerkmale von PAM

1. Berechtigungsnachweis-Vaulting: Sichere Speicherung der Berechtigungsnachweise Anmeldedaten zum Schutz vor Diebstahl. Anmeldedaten wird in einem verschlüsselten Tresor gespeichert, wodurch das Risiko eines unbefugten Zugriffs verringert wird.
2. Sitzungsverwaltung: Überwachung und Kontrolle privilegierter Sitzungen, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren. Dazu gehört auch die Aufzeichnung von Sitzungen zu Prüfzwecken.
3. Zugangskontrolle: Beschränkung des Zugangs zu kritischen Systemen auf autorisierte Benutzer. PAM stellt sicher, dass nur authentifizierte und autorisierte Benutzer auf sensible Systeme zugreifen können.
4. Prüfung und Berichterstattung: Nachverfolgung und Berichterstattung von Zugriffsaktivitäten, um Verantwortlichkeit und Transparenz zu gewährleisten. Detaillierte Protokolle des privilegierten Zugriffs helfen Organisationen, potenzielle Sicherheitsvorfälle zu erkennen und zu untersuchen.

Vorteile von PAM

• Erhöhte Sicherheit für sensible Systeme: Durch die Sicherung privilegierter Anmeldedaten und die Überwachung ihrer Nutzung erhöht PAM die Sicherheit kritischer Systeme.
• Verhinderung des Missbrauchs von Zugangsdaten: PAM reduziert das Risiko des Missbrauchs von Zugangsdaten, indem es diese sicher speichert und ihre Verwendung überwacht.
• Überwachung von privilegierten Aktivitäten: Die kontinuierliche Überwachung von privilegierten Aktivitäten hilft Unternehmen, verdächtiges Verhalten zu erkennen und darauf zu reagieren.
• Einhaltung von Zugangskontrollvorschriften: PAM unterstützt Unternehmen bei der Einhaltung gesetzlicher Vorschriften, indem es sicherstellt, dass der Zugriff auf sensible Systeme ordnungsgemäß kontrolliert und überwacht wird.

Hauptunterschiede zwischen PIM und PAM

PIM zielt auf die Verwaltung von Identitäten mit privilegiertem Zugang ab und konzentriert sich auf die Sicherheit des Identitätslebenszyklus von der Erstellung, Einrichtung, Speicherung, Nutzung, Widerruf und Beendigung. PAM hingegen konzentriert sich auf die Sicherung und Überwachung des Zugangs zu privilegierten Systemen und verhindert den Missbrauch autorisierter Privilegien. Mit anderen Worten: PAM konzentriert sich auf die Aktionen, die mit privilegierten Identitäten auf einem privilegierten System durchgeführt werden, um sicherzustellen, dass das privilegierte System angemessen genutzt wird.

Durch die Verwaltung des Lebenszyklus von privilegierten Identitäten stellt PIM sicher, dass privilegierte Identitäten nicht gefährdet werden. PAM stellt sicher, dass der autorisierte privilegierte Zugriff nicht missbraucht wird, wie es bei böswilligen privilegierten Insidern der Fall ist. PAM verhindert, dass privilegierte Insider ihre Privilegien missbrauchen und dass externe Bedrohungsakteure, denen es gelingt, privilegierte Anmeldedaten zu kompromittieren, größeren Schaden anrichten. Bei PAM geht es also um die Einhaltung von Richtlinien für den autorisierten Zugriff, während sich PIM mit den Identitäten befasst.

Wie PIM und PAM zusammenarbeiten

PIM und PAM ergänzen sich gegenseitig, indem sie einen umfassenden Ansatz zur Sicherung privilegierter Identitäten und des privilegierten Zugriffs auf wichtige Systeme bieten. Die Integration beider Systeme gewährleistet robuste Sicherheit und Compliance und schützt Unternehmen vor Identitätskompromittierung und unbefugtem Zugriff auf kritische Systeme.

Beispiel-Szenarien

• Szenario 1: Verwendung von PIM zur Verwaltung privilegierter Identitäten und PAM zur Kontrolle des Zugriffs auf kritische Systeme. PIM stellt sicher, dass privilegierte Identitäten ordnungsgemäß authentifiziert und überprüft werden, während PAM den Zugriff und die mit diesen Identitäten durchgeführten Aktionen absichert.
• Szenario 2: Kombination von Identitäts-Lebenszyklus-Management und Sitzungsüberwachung für mehr Sicherheit. PIM verwaltet den Lebenszyklus privilegierter Identitäten, und PAM überwacht ihre Nutzung, um sicherzustellen, dass privilegierte Aktivitäten sicher sind und ordnungsgemäß genutzt werden.

Vorteile der Kombination von PIM und PAM

• Umfassende Sicherheit: Die Integration von PIM und PAM bietet einen ganzheitlichen Ansatz zur Verwaltung und Sicherung privilegierter Identitäten und des Zugriffs auf wichtige Systeme.
• Verbessertes Risikomanagement: Durch die Kombination der Stärken von PIM und PAM können Unternehmen die mit privilegierten Identitäten und Zugängen verbundenen Risiken besser verwalten.
• Verbesserte Compliance: Gemeinsam sorgen PIM und PAM dafür, dass Unternehmen die gesetzlichen Anforderungen an das Identitäts- und Zugriffsmanagement erfüllen.

Auswahl der richtigen Lösung für Ihr Unternehmen

Zu berücksichtigende Faktoren

• Organisatorische Erfordernisse: Bewerten Sie die spezifischen Anforderungen an die Identitäts- und Zugriffsverwaltung. Berücksichtigen Sie Faktoren wie die Größe des Unternehmens, die Anzahl der privilegierten Konten und die Sensibilität der Daten und Systeme.
• Zeitplan für die Implementierung: Bestimmen Sie den Zeitpunkt für die Implementierung von PIM und PAM auf der Grundlage der Sicherheitsprioritäten. Berücksichtigen Sie die Dringlichkeit, die Herausforderungen des Identitäts- und Zugriffsmanagements anzugehen, und die Verfügbarkeit von Ressourcen für die Implementierung.
• Integrations-Szenarien: Evaluieren Sie mögliche Szenarien für die gemeinsame Implementierung beider Lösungen. Überlegen Sie, wie PIM und PAM integriert werden können, um umfassende Sicherheit und Compliance zu gewährleisten.

Wann sollte PIM implementiert werden?

• Szenario 1: Wenn die Organisation den Lebenszyklus von privilegierten Identitäten verwalten muss. PIM ist wichtig, um sicherzustellen, dass privilegierte Identitäten sicher erstellt, verwendet und deaktiviert werden.
• Szenario 2: Wenn die Einhaltung gesetzlicher Vorschriften eine strenge Verwaltung privilegierter Identitäten erfordert. PIM hilft Unternehmen dabei, die gesetzlichen Anforderungen an die Identitätsverwaltung und das Lebenszyklusmanagement zu erfüllen.

Wann sollte PAM implementiert werden?

• Szenario 1: Wenn die Organisation den Zugang zu kritischen Systemen sichern und überwachen muss. PAM ist unerlässlich, um privilegierte Systeme Anmeldedaten zu schützen und sicherzustellen, dass der Zugang zu sensiblen Systemen sicher ist und ordnungsgemäß genutzt wird.
• Szenario 2: Wenn das Risiko des Missbrauchs von Zugangsdaten oder der Bedrohung durch Insider hoch ist. PAM hilft Organisationen, den Missbrauch von privilegierten Anmeldedaten zu verhindern und verdächtige Aktivitäten zu erkennen.

Mögliche Szenarien für die Umsetzung von beidem

• Szenario 1: Große Organisationen mit komplexen IT-Umgebungen. Die Implementierung von PIM und PAM gewährleistet eine umfassende Verwaltung und Sicherheit von privilegierten Identitäten und privilegiertem Zugriff auf kritische Systeme.
• Szenario 2: Organisationen, die mit sensiblen Daten oder kritischer Infrastruktur arbeiten. Die Integration von PIM und PAM bietet robusten Schutz für sensible Daten und Systeme und gewährleistet, dass privilegierte Identitäten und Zugriffe sicher verwaltet werden.

MFA 2.0: Fortgeschrittener Authentifizierungsansatz zur Verhinderung der Kompromittierung privilegierter Identitäten

MFA 2.0 ist die fortschrittliche Authentifizierung von AuthN by IDEE, die einen vielschichtigen Ansatz zur Verhinderung von Identitätskompromittierung nutzt. Im Gegensatz zu MFA 1.0 (z. B. PUSH, QR-Code, SMS und Einmal-Passwörter) ist MFA 2.0 nicht nur phishing-resistent, sondern auch phish-proof und kann nicht durch ausgeklügelte Angriffsmethoden wie AitM umgangen werden. Zu den einzigartigen Merkmalen von MFA 2.0 gehören ein starker Identitätsnachweis, MFA mit demselben Gerät, Identitätsbindung und transitives Vertrauen, um einen robusten Schutz vor unbefugtem Zugriff zu gewährleisten.

‍

‍

Starker Identitätsnachweis

MFA2.0 verwendet robuste Mechanismen zur Überprüfung der Benutzeridentität während des Anmeldevorgangs, wodurch das Risiko betrügerischer Konten verringert wird.

MFA für dasselbe Gerät

MFA 2.0 findet auf demselben Gerät statt und verhindert das Abfangen von Authentifizierungsdaten Anmeldedaten und/oder Token.

Identitätsbindung

MFA 2.0 bindet Benutzeridentitäten an bestimmte vertrauenswürdige Geräte und stellt sicher, dass nur vertrauenswürdige Geräte für die Authentifizierung verwendet werden können.

Transitives Vertrauen

MFA 2.0 nutzt explizites transitives Vertrauen, indem es Vertrauen zwischen einem verifizierten Benutzer und vertrauenswürdigen Geräten herstellt, um unbefugten Zugriff zu verhindern.

MFA 2.0 hat sich bei der Sicherung von Unternehmensnetzwerken als wirksam erwiesen, da es sicherstellt, dass nur befugte Personen auf kritische Systeme zugreifen können. Durch die Kombination mehrerer Sicherheitsebenen verringert MFA 2.0 das Risiko der Kompromittierung von Identitätsprivilegien erheblich. Die Verwendung von MFA für das gleiche Gerät und Identitätsbindung vereinfacht den Authentifizierungsprozess, ohne die Sicherheit zu beeinträchtigen. Sie kann nahtlos in bestehende Systeme integriert werden und bietet eine skalierbare Lösung für Unternehmen jeder Größe. Auf diese Weise können Unternehmen die Bedrohung durch die Übernahme von Konten wirksam eindämmen.

Dieser mehrschichtige Ansatz stellt sicher, dass nur der Inhaber der privilegierten Identität auf ein privilegiertes System auf einem vertrauenswürdigen Gerät mit einem vertrauenswürdigen Berechtigungsnachweis und unter der vollständigen Kontrolle des Inhabers zugreifen kann. Damit wird die Übernahme eines privilegierten Kontos verhindert.

Verbesserung von PIM und PAM mit MFA 2.0

MFA 2.0 stellt sicher, dass der gesamte Lebenszyklus der Benutzeridentität immun gegen Phishing und nachweisbar ist und nicht von einem privilegierten Insider unterlaufen werden kann. Sie verbessert PIM und PAM erheblich, indem sie einen stärkeren Identitätsnachweis gewährleistet und eine unveränderliche Identität Anmeldedaten einrichtet, die nicht gestohlen, gefälscht oder von Insidern oder externen Bedrohungsakteuren umgangen werden kann. MFA 2.0 verbessert den gesamten Lebenszyklus der digitalen Identität, um die Kompromittierung privilegierter Identitäten zu verhindern, was wiederum den unbefugten Zugriff auf privilegierte Systeme verhindert. Die Integration von MFA 2.0 mit PIM stellt sicher, dass privilegierte Identitäten mit phish-proof MFA angemessen geschützt sind und PAM (falls erforderlich) Insider-Bedrohungen überwacht und aufdeckt.

Durch den Einsatz von MFA 2.0 zum Schutz des ersten Zugangspunkts kann ein ganzheitlicher Ansatz zur Sicherung privilegierter Identitäten und des Zugangs erreicht werden.

Schlussfolgerung

AuthN von IDEE bietet robuste MFA 2.0, um Identitätskompromittierung zu verhindern und privilegierten Zugang zu sichern. Die Integration von PIM und PAM, verstärkt durch die phish-sichere MFA von IDEE, bietet einen umfassenden Ansatz für moderne Cybersicherheit, der auch anspruchsvollen Angriffen standhält.

IDEE IAM Spickzettel: Bewerten Sie Ihre bestehenden Identitäts- und Zugriffsmanagement-Praktiken, um Lücken und verbesserungswürdige Bereiche zu identifizieren.

Implementieren Sie MFA 2.0: Erwägen Sie die Integration der phishing-sicheren MFA 2.0 von AuthN by IDEE, um die Sicherheit Ihrer privilegierten Identitäten und der Verwaltung privilegierter Zugriffe zu erhöhen.