Whitepaper: Verhinderung der Übernahme privilegierter Konten

[fs-toc-omit] Bekämpfung der Bedrohungen durch privilegierte Identität und privilegierten Zugriff in Organisationen

Einführung

Im heutigen digitalen Zeitalter ist der Schutz von Identitäten für jedes Unternehmen von größter Bedeutung. Angesichts der zunehmenden Raffinesse von Cyberangriffen ist es unerlässlich, die Kompromittierung privilegierter Identitäten und den Missbrauch privilegierter Zugriffe zu verhindern. Dieses Whitepaper untersucht die kritischen Aspekte des unbefugten Zugriffs mithilfe effektiver Identitäts- und Zugriffsmanagement-Strategien und konzentriert sich dabei auf die zentralen Rollen von Privileged Identity Management (PIM) und Privileged Access Management (PAM).

Identitätskompromittierung verstehen

Eine Identitätskompromittierung liegt vor, wenn unberechtigte Personen Zugriff auf die Anmeldeinformationen einer Person oder einer Organisation erhalten. Dies kann schwerwiegende Folgen wie Datendiebstahl, finanzielle Verluste und Reputationsschäden nach sich ziehen. Laut einem Bericht von IBM für 2023, beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf 4,45 Millionen US-Dollar, wobei kompromittierte Anmeldeinformationen der häufigste erste Angriffsvektor waren.

Gängige Methoden der Identitätskompromittierung

1. Phishing: Betrügerische Versuche, vertrauliche Informationen zu erhalten, indem sie sich als vertrauenswürdige Personen tarnen. In dem Untersuchungsbericht von Verizon 2024 zu Datenschutzverletzungen Die menschliche Komponente (Phishing) war an 68% der Sicherheitslücken beteiligt. Das Endziel von Phishing besteht darin, Personen dazu zu bringen, ihre Zugangsdaten preiszugeben. Für Cyberkriminelle ist es einfacher als Brute-Forcing-Zugangsdaten.
2. Diebstahl von Zugangsdaten: Unberechtigter Zugriff auf Passwörter und andere Authentifizierungsdetails, häufig durch Verstöße gegen Dienste von Drittanbietern. Eine Studie von Microsoft ergab, dass 73% der Passwörter Duplikate für mehrere Konten sind, was das Risiko des Diebstahls von Zugangsdaten erhöht. Im IBM Threat Intelligence-Bericht 2024, wurden 85% der Angriffe durch Phishing und den Diebstahl gültiger Kontodaten verursacht. Darüber hinaus wurden Zugangsdaten als der "wichtigste Erstzugriffsvektor" genannt, auf den 47% der Angriffe auf Cloud-Umgebungen im Google Threat Horizons-Bericht 2024 zurückzuführen sind. Dies macht den Diebstahl von Zugangsdaten zum "häufigsten Einfallstor" für Cyberkriminelle in einem Unternehmen.
3. Angriffe des gegnerischen In-The-Middle: Abfangen und Manipulieren der Kommunikation zwischen zwei Parteien, sodass Angreifer Zugriff auf Anmeldeinformationen und andere vertrauliche Informationen erhalten. Dies wurde von Cyberkriminellen genutzt, um die herkömmliche Multifaktor-Authentifizierung (MFA 1.0) zu umgehen. Dazu gehören PUSH, QR-Code, SMS und MFA, die auf Einmalpasswörtern basiert. Bei Adversary-in-the-Middle-Angriffen (AITM) wird MFA vollständig umgangen, sodass die Bedrohungsakteure auf sensible Systeme des Unternehmens zugreifen können. Dies war der Fall von Microsoft-Verstoß , wo der Bedrohungsakteur AITM nutzte, um mehrere Organisationen zu kompromittieren, die sich auf Microsoft Authenticator verlassen.

Die Kompromittierung von Identitäten ist für Cyberkriminelle zum zuverlässigsten Ansatz geworden, um Organisationen durch Kontoübernahme zu infiltrieren.

Die Herausforderungen des privilegierten Identitäts- und Zugriffsmanagements

Phishing und gestohlene oder kompromittierte Zugangsdaten sind die beiden häufigsten Angriffsvektoren und kosten Unternehmen eine durchschnittliche 4,88 Millionen $ pro Sicherheitsverletzung im Jahr 2024. Wie in dem angegebenen Untersuchungsbericht zur Datenschutzverletzung bei Verizon 2024, gestohlene Zugangsdaten waren in den letzten 10 Jahren für mehr als 31% aller Sicherheitslücken verantwortlich. Darüber hinaus dauerte es laut dem IBM Report 2024 über die Kosten von Datenschutzverletzungen am längsten, alle Angriffsvektoren zu identifizieren und einzudämmen (292 Tage), bei denen "gestohlene oder kompromittierte Zugangsdaten zum Einsatz kamen". All dies ist darauf zurückzuführen, dass jeder (echter Benutzer oder Angreifer) mit den richtigen Anmeldeinformationen auf alles zugreifen kann, da eine solche Detektivkontrolle Unternehmen im Stich gelassen hat.

Privilegierte Konten haben oft Zugriff auf kritische Systeme und sensible Daten, was sie zu Hauptzielen für Angreifer macht. Eine Kompromittierung der Zugangsdaten privilegierter Konten führt zu unberechtigtem Zugriff, was wiederum katastrophale Folgen hat. Ein typisches Beispiel ist der SolarWinds-Angriff, bei dem kompromittierte privilegierte Identitäten zu weit verbreiteten Sicherheitsverletzungen führten. Bei diesem Angriff verschafften sich Angreifer Zugriff auf privilegierte Konten und nutzten sie zur Verbreitung von Schadsoftware, von der Tausende von Unternehmen weltweit betroffen waren. Wie in der identifizierten IBM 2024 - Kosten einer Datenschutzverletzung, böswillige Privilege-Insider-Angriffe führten zu den höchsten Durchschnittskosten von 4,99 Millionen USD. Kompromittierte vertrauliche Identitäten können zu erheblichen Datenschutzverletzungen und Ransomware führen, vertrauliche Informationen preisgeben und einem Unternehmen erheblichen Schaden zufügen. Vertrauen ist für Unternehmen von entscheidender Bedeutung, und ein Verstoß gegen privilegierte Konten kann den Ruf eines Unternehmens ernsthaft schädigen und zum Verlust von Kunden und Geschäftschancen führen.

Um die Übernahme von privilegierten Konten einzuschränken oder zu verhindern, benötigen Unternehmen ein privilegiertes Identitätsmanagement.

Verwaltung privilegierter Identitäten (PIM)

PIM beinhaltet die Verwaltung von Identitäten mit erhöhtem Zugriff, um sicherzustellen, dass sie ordnungsgemäß kontrolliert und überwacht werden. Es konzentriert sich auf den Lebenszyklus privilegierter Identitäten, von der Erstellung bis zur Deaktivierung, und stellt sicher, dass diese Konten sicher und verantwortungsbewusst verwendet werden.

Hauptmerkmale von PIM

• Verwaltung des Identitätslebenszyklus: Sicherstellen, dass Identitäten von der Erstellung bis zur Deaktivierung verwaltet werden. Dazu gehören regelmäßige Überprüfungen und Aktualisierungen, um sicherzustellen, dass die Zugriffsrechte weiterhin angemessen sind.
• Multifaktor-Authentifizierung (MFA): Hinzufügen einer zusätzlichen Sicherheitsebene für privilegierte Konten.
• Just-in-Time-Zugriff: Gewähren Sie Zugriff nur bei Bedarf, wodurch das Risiko des Missbrauchs privilegierter Anmeldeinformationen verringert wird. Dieser Ansatz minimiert die Angriffsfläche, indem die Dauer, für die Rechte gewährt werden, begrenzt wird.
• Rollenbasierte Zugriffskontrolle (RBAC): Durch die Zuweisung von Zugriffsrechten auf der Grundlage von Rollen wird sichergestellt, dass Benutzer über das für die Ausführung ihrer Aufgaben erforderliche Minimum an Zugriffsrechten verfügen. Dieses Prinzip der geringsten Rechte trägt dazu bei, übermäßige Zugriffsrechte zu verhindern.
• Prüfung und Einhaltung von Vorschriften: Regelmäßige Audits zur Sicherstellung der Einhaltung von Richtlinien und Vorschriften. Die Überwachung des privilegierten Zugriffs hilft Unternehmen dabei, eine unangemessene Nutzung von Zugriffsrechten zu erkennen und darauf zu reagieren.

Vorteile von PIM

• Bessere Kontrolle über privilegierte Identitäten: Durch die Verwaltung des Lebenszyklus privilegierter Identitäten können Unternehmen sicherstellen, dass diese Konten angemessen und sicher verwendet werden.
• Geringeres Risiko eines unbefugten Zugriffs: Just-in-Time-Zugriff und RBAC reduzieren das Risiko eines unbefugten Zugriffs, indem sie die Verfügbarkeit und den Umfang privilegierter Konten einschränken.
• Sicherheitslücken verhindern: MFA hilft dabei, Kontoübernahmen zu verhindern und verringert so die Wahrscheinlichkeit eines Verstoßes.
• Bessere Einhaltung von Identity Governance: Regelmäßige Audits und Compliance-Checks helfen Unternehmen dabei, regulatorische Anforderungen zu erfüllen und sicherzustellen, dass vertrauliche Identitäten verantwortungsbewusst verwaltet werden.

Verwaltung privilegierter Zugriffe (PAM)

PAM konzentriert sich auf die Sicherung und Kontrolle des Zugriffs auf Systeme mit privilegierten Konten. Es beinhaltet den Schutz der Anmeldeinformationen privilegierter Systeme und die Überwachung ihrer Verwendung, um Missbrauch zu verhindern und verdächtige Aktivitäten zu erkennen.

Hauptmerkmale von PAM

1. Tresor von Anmeldeinformationen: Sichere Speicherung der Anmeldeinformationen von Berechtigungssystemen, um sie vor Diebstahl zu schützen. Die Anmeldeinformationen werden in einem verschlüsselten Tresor gespeichert, wodurch das Risiko eines unbefugten Zugriffs verringert wird.
2. Verwaltung von Sitzungen: Überwachung und Steuerung privilegierter Sitzungen, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren. Dazu gehört auch das Aufzeichnen von Sitzungen zu Auditzwecken.
3. Zutrittskontrolle: Beschränkung des Zugriffs auf kritische Systeme auf autorisierte Benutzer. PAM stellt sicher, dass nur authentifizierte und autorisierte Benutzer auf sensible Systeme zugreifen können.
4. Prüfung und Berichterstattung: Verfolgung und Berichterstattung über Zugriffsaktivitäten, um Rechenschaftspflicht und Transparenz sicherzustellen. Detaillierte Protokolle über privilegierte Zugriffe helfen Unternehmen dabei, potenzielle Sicherheitsvorfälle zu erkennen und zu untersuchen.

Vorteile von PAM

• Verbesserte Sicherheit für sensible Systeme: Durch den Schutz privilegierter Zugangsdaten und die Überwachung ihrer Verwendung erhöht PAM die Sicherheit kritischer Systeme.
• Verhinderung des Missbrauchs von Zugangsdaten: PAM reduziert das Risiko des Missbrauchs von Zugangsdaten, indem es sie sicher speichert und ihre Verwendung überwacht.
• Überwachung privilegierter Aktivitäten: Die kontinuierliche Überwachung privilegierter Aktivitäten hilft Unternehmen, verdächtiges Verhalten zu erkennen und darauf zu reagieren.
• Einhaltung der Zutrittskontrollbestimmungen: PAM hilft Unternehmen dabei, regulatorische Anforderungen zu erfüllen, indem es sicherstellt, dass der Zugriff auf sensible Systeme ordnungsgemäß kontrolliert und überwacht wird.

Hauptunterschiede zwischen PIM und PAM

PIM zielt auf die Verwaltung von Identitäten mit privilegiertem Zugriff ab. Es konzentriert sich auf die Sicherheit des Identitätslebenszyklus von der Erstellung, Einrichtung, Speicherung, Verwendung, Sperrung und Kündigung. PAM hingegen konzentriert sich auf die Sicherung und Überwachung des Zugriffs auf privilegierte Systeme, um den Missbrauch autorisierter Rechte zu verhindern. Mit anderen Worten, PAM konzentriert sich auf die Aktionen, die auf einem privilegierten System unter Verwendung privilegierter Identitäten ausgeführt werden, um sicherzustellen, dass das privilegierte System angemessen verwendet wird.

Durch die Verwaltung des Lebenszyklus privilegierter Identitäten stellt PIM sicher, dass privilegierte Identitäten nicht gefährdet werden. PAM stellt sicher, dass autorisierter privilegierter Zugriff nicht missbraucht wird, wie dies bei böswilligen Insidern der Fall ist. PAM verhindert, dass Insider ihrer Rechte ihre Rechte missbrauchen, und externe Bedrohungsakteure, die es schaffen, privilegierte Zugangsdaten zu kompromittieren, daran, größeren Schaden anzurichten. Bei PAM dreht sich auch alles um die Einhaltung der Richtlinien für autorisierten Zugriff, während sich PIM um die Identitäten kümmert.

So arbeiten PIM und PAM zusammen

PIM und PAM ergänzen sich gegenseitig, indem sie einen umfassenden Ansatz zur Sicherung privilegierter Identitäten und des privilegierten Zugriffs auf kritische Systeme bieten. Die Integration beider gewährleistet robuste Sicherheit und Compliance und schützt Unternehmen vor Identitätsverlust und unberechtigtem Zugriff auf kritische Systeme.

Beispielszenarien

• Szenario 1: Verwendung von PIM zur Verwaltung privilegierter Identitäten und PAM zur Zugriffskontrolle auf kritische Systeme. PIM stellt sicher, dass privilegierte Identitäten ordnungsgemäß authentifiziert und verifiziert werden, während PAM den Zugriff und die mit diesen Identitäten durchgeführten Aktionen sichert.
• Szenario 2: Kombination von Identitätslebenszyklusmanagement mit Sitzungsüberwachung für erhöhte Sicherheit. PIM verwaltet den Lebenszyklus privilegierter Identitäten, und PAM überwacht deren Verwendung und stellt sicher, dass privilegierte Aktivitäten sicher sind und angemessen genutzt werden.

Vorteile der Kombination von PIM und PAM

• Umfassende Sicherheit: Die Integration von PIM und PAM bietet einen ganzheitlichen Ansatz für die Verwaltung und Sicherung privilegierter Identitäten und des Zugriffs auf kritische Systeme.
• Verbessertes Risikomanagement: Durch die Kombination der Stärken von PIM und PAM können Unternehmen die mit privilegierten Identitäten und Zugriffen verbundenen Risiken besser managen.
• Verbesserte Konformität: Zusammen stellen PIM und PAM sicher, dass Unternehmen die regulatorischen Anforderungen an das Identitäts- und Zugriffsmanagement erfüllen.

Auswahl der richtigen Lösung für Ihr Unternehmen

Zu berücksichtigende Faktoren

• Organisatorische Bedürfnisse: Beurteilen Sie die spezifischen Anforderungen an das Identitäts- und Zugriffsmanagement. Berücksichtigen Sie Faktoren wie die Größe des Unternehmens, die Anzahl der privilegierten Konten und die Vertraulichkeit der Daten und Systeme.
• Zeitplan für die Umsetzung: Legen Sie anhand der Sicherheitsprioritäten fest, wann PIM und PAM implementiert werden sollen. Berücksichtigen Sie die Dringlichkeit der Bewältigung der Herausforderungen im Identitäts- und Zugriffsmanagement und die Verfügbarkeit von Ressourcen für die Implementierung.
• Integrationsszenarien: Evaluieren Sie mögliche Szenarien für die gemeinsame Implementierung beider Lösungen. Überlegen Sie, wie PIM und PAM integriert werden können, um umfassende Sicherheit und Compliance zu gewährleisten.

Wann sollte PIM implementiert werden?

• Szenario 1: Wenn das Unternehmen den Lebenszyklus privilegierter Identitäten verwalten muss. PIM ist unerlässlich, um sicherzustellen, dass privilegierte Identitäten auf sichere Weise erstellt, verwendet und deaktiviert werden.
• Szenario 2: Wenn die Einhaltung gesetzlicher Vorschriften eine strikte Verwaltung privilegierter Identitäten erfordert. PIM hilft Unternehmen dabei, die regulatorischen Anforderungen in Bezug auf Identitätsmanagement und Lebenszyklusmanagement zu erfüllen.

Wann sollte PAM implementiert werden?

• Szenario 1: Wenn das Unternehmen den Zugriff auf kritische Systeme sichern und überwachen muss. PAM ist unerlässlich, um privilegierte Systemanmeldeinformationen zu schützen und sicherzustellen, dass der Zugriff auf sensible Systeme sicher ist und angemessen genutzt wird.
• Szenario 2: Wenn das Risiko eines Missbrauchs von Anmeldeinformationen oder Insiderbedrohungen hoch ist. PAM hilft Unternehmen, den Missbrauch vertraulicher Zugangsdaten zu verhindern und verdächtige Aktivitäten zu erkennen.

Mögliche Szenarien für die Implementierung beider

• Szenario 1: Große Organisationen mit komplexen IT-Umgebungen. Die Implementierung von PIM und PAM gewährleistet eine umfassende Verwaltung und Sicherheit von privilegierten Identitäten und privilegierten Zugriffen auf kritische Systeme.
• Szenario 2: Organisationen, die mit sensiblen Daten oder kritischer Infrastruktur umgehen. Die Integration von PIM und PAM bietet zuverlässigen Schutz für sensible Daten und Systeme und stellt sicher, dass privilegierte Identitäten und Zugriffe sicher verwaltet werden.

MFA 2.0: Erweiterter Authentifizierungsansatz zur Verhinderung der Kompromittierung privilegierter Identitäten

MFA 2.0 ist die fortschrittliche Authentifizierung von AuthN by IDEE, die einen vielseitigen Ansatz nutzt, um Identitätskompromittierungen zu verhindern. Im Gegensatz zu MFA 1.0 (wie PUSH, QR-Code, SMS und Einmalpasswörtern) ist MFA 2.0 nicht nur phishing-resistent, sondern auch phishing-sicher und kann nicht mit ausgeklügelten Angriffsmethoden wie AiTM umgangen werden. Zu den einzigartigen Merkmalen von MFA 2.0 gehören ein starker Identitätsnachweis, MFA für dasselbe Gerät, Identitätsbindung und transitives Vertrauen, um einen robusten Schutz vor unberechtigtem Zugriff zu gewährleisten.

‍

Starker Identitätsnachweis

MFA2.0 verwendet robuste Mechanismen zur Überprüfung der Benutzeridentitäten während des Registrierungsprozesses und reduziert so das Risiko betrügerischer Konten.

MFA für dasselbe Gerät

MFA 2.0 findet auf demselben Gerät statt und verhindert so das Abfangen von Authentifizierungsdaten und/oder Tokens.

Identitätsbindung

MFA 2.0 bindet Benutzeridentitäten an bestimmte vertrauenswürdige Geräte und stellt so sicher, dass nur vertrauenswürdige Geräte für die Authentifizierung verwendet werden können.

Transitives Vertrauen

MFA 2.0 nutzt explizites transitives Vertrauen, um Vertrauen zwischen vom Benutzer verifizierten und vertrauenswürdigen Geräten aufzubauen, um unbefugten Zugriff zu verhindern.

MFA 2.0 hat sich bei der Sicherung von Unternehmensnetzwerken als wirksam erwiesen, da sichergestellt wurde, dass nur autorisiertes Personal auf kritische Systeme zugreifen kann. Durch die Kombination mehrerer Sicherheitsebenen reduziert MFA 2.0 das Risiko einer Beeinträchtigung der Identität von Zugriffsrechten erheblich. Die Verwendung von MFA auf demselben Gerät und Identitätsbindung vereinfacht den Authentifizierungsprozess, ohne die Sicherheit zu beeinträchtigen. Es kann nahtlos in bestehende Systeme integriert werden und bietet eine skalierbare Lösung für Unternehmen jeder Größe. Somit können Unternehmen die Gefahren einer Kontoübernahme wirksam abwehren.

Dieser mehrschichtige Ansatz stellt sicher, dass nur der Besitzer der privilegierten Identität auf einem vertrauenswürdigen Gerät mit vertrauenswürdigen Anmeldeinformationen und unter der vollständigen Kontrolle des Besitzers auf ein privilegiertes System zugreifen kann. Somit wird die Übernahme privilegierter Konten verhindert.

Verbesserung von PIM und PAM mit MFA 2.0

MFA 2.0 stellt sicher, dass der gesamte Lebenszyklus der Benutzeridentität immun gegen Phishing ist, nachweisbar ist und nicht von einem Privilege-Insider unterlaufen werden kann. Es verbessert PIM und PAM erheblich, indem es für eine stärkere Identitätsüberprüfung sorgt und unveränderliche Identitätsdaten festlegt, die nicht von internen oder externen Bedrohungsakteuren gestohlen, mit Phishing verfolgt oder umgangen werden können. MFA 2.0 verbessert den gesamten Lebenszyklus digitaler Identitäten, um die Kompromittierung privilegierter Identitäten zu verhindern, was wiederum den unbefugten Zugriff auf privilegierte Systeme verhindert. Die Integration von MFA 2.0 mit PIM stellt sicher, dass privilegierte Identitäten durch phishingsichere MFA angemessen geschützt sind und PAM (falls erforderlich) interne Bedrohungen überwacht und erkennt.

Durch die Nutzung von MFA 2.0 zum Schutz des ersten Eingangspunkts kann ein ganzheitlicher Ansatz zur Sicherung privilegierter Identitäten und Zugriffe erreicht werden.

Fazit

AuthN von IDEE bietet robustes MFA 2.0, um Identitätskompromittierungen zu verhindern und privilegierten Zugriff zu sichern. Die Integration von PIM und PAM, verstärkt durch das phishing-sichere MFA von IDEE, bietet einen umfassenden Ansatz für moderne Cybersicherheit, der gegen ausgeklügelte Angriffe gewappnet ist.

IDEE-IAM-Spickzettel: Bewerten Sie Ihre bestehenden Identitäts- und Zugriffsmanagementpraktiken, um Lücken und Verbesserungsmöglichkeiten zu identifizieren.

Implementieren Sie MFA 2.0: Erwägen Sie die Integration von AuthN mit dem phishing-sicheren MFA 2.0 von IDEE, um die Sicherheit Ihrer privilegierten Identitäten und die Verwaltung privilegierter Zugriffe zu verbessern