PAM: Der Turbo für Privileged-Access-Management-Implementierungen 

Illustration: Absmeier

Der Schutz privilegierter Konten ist aktuell wichtiger denn je. Cyberangreifer unterschiedlichster Couleur haben ihre Techniken angepasst und nutzen privilegierte Konten als einen ihrer Hauptangriffsvektoren. Eine Taktik, die aufgeht. Die immens gestiegene Zahl von Angriffen basiert nicht zuletzt auf Tools und Techniken, die privilegierte Konten für ihre Zwecke missbrauchen. Sie erlauben es Angreifern beispielsweise, sich schnell und unauffällig durch die Umgebung ihrer Opfer zu bewegen. Nicht selten bleiben sie dabei für lange Zeit unentdeckt. Das bestätigen auch jüngste Ergebnisse einer Untersuchung der Enterprise Strategy Group: Der Diebstahl von Anmeldeinformationen aus dem Systemspeicher ist die am häufigsten verwendete Angriffstechnik, um Identitäten zu kompromittieren.

Der Markt bietet eine ganze Reihe von PAM-Lösungen zum Schutz privilegierter Konten. Sie spielen auch für die regulatorische und betriebliche Compliance eine nicht zu unterschätzende Rolle. Für Unternehmen, die bis jetzt noch keine PAM-Lösung implementiert haben, ist es angesichts der jüngsten Entwicklungen definitiv an der Zeit, sich mit dem Thema zu befassen. Firmen, die bereits in PAM investiert haben, sollten aber unbedingt validieren, wie effektiv die Lösung tatsächlich ist. Eine der wichtigsten Voraussetzungen dafür ist es, privilegierte Konten aufzuspüren, die bis dato nicht an einer PAM-Lösung registriert sind.

Anzeige

 

 

Voraussetzungen für eine effektive PAM-Lösung

»Man kann nur das schützen, von dem man weiß, dass es existiert« – ein Satz, der in der Cybersicherheit häufig fällt. Aktuelle, weit verbreitete Tools und Techniken versetzen Angreifer allerdings in eine komfortable Ausgangsposition. Sie sind in der Lage, solche Lücken schneller aufzudecken, als PAM-Lösungen gemeinhin in der Lage sind, darauf zu reagieren.

Best Practices empfehlen beispielsweise, lokale Administratorkonten an einer PAM-Lösung zu registrieren. Nur gibt es in jeder Organisation eine Vielzahl nicht verwalteter Konten und »vergessener« lokaler Administratoren. Dass sie existieren, ist vielen Firmen nicht oder nicht ausreichend bewusst. Ein Plus für die Angreifer.

 

 

Tatsächlich hat eine Studie von Illusive ergeben, dass stolze 87 % der lokalen Administratorkonten nicht an einer PAM-Lösung registriert sind. Konkret fand Illusive beispielsweise bei der Analyse eines Finanzdienstleisters heraus, dass über 55 Prozent der lokalen Administratorkonten nicht bei Microsofts Local Administrator Password Solution (LAPS) angemeldet waren. Angreifer nutzen solche Konten, um Sicherheitsmaßnahmen für Endgeräte zu deaktivieren und eigene Tools zu installieren. Nicht selten, um sich Zugang zu privilegierten Domain-Konten zu verschaffen.

Auch die Geschwindigkeit, mit der sich der Wandel in der IT vollzieht, birgt das Risiko nicht verwalteter Konten. Nach wie vor kollidieren Produktivitäts- und Sicherheitsanforderungen miteinander. Das führt nicht selten dazu, dass IT-Administratoren Best Practices für die PAM-Registrierung übersehen oder sogar gänzlich außer Acht lassen – und das kommt häufiger vor als man annehmen möchte. Jeder von ihnen kennt vermutlich Szenarien wie diese: Ein Problem bei der Systemleistung macht eine dringende Änderung nötig. Die lässt sich am schnellsten bewältigen, indem man ein temporäres privilegiertes Konto anlegt. Es wird verwendet, das Problem meist in aller Eile gelöst – und das Konto vergessen.

Die Risiken in Zusammenhang mit privilegierten Konten benennen wir hier bewusst als Schwachstellen. Ein Begriff, der innerhalb der Cybersicherheit eher für Code-basierte Angriffe reserviert ist. Aber die Möglichkeit, dass Angreifer privilegierte Konten ausnutzen, um sich unentdeckt durch ein Netzwerk zu bewegen, kann man durchaus als Schwachstelle bezeichnen. Die Probe aufs Exempel kann man mit Tools wie solchen »View From The Attacker: TheTools« wagen. Anhand derer erkennt man sehr schnell, wie wichtig es ist, Identitätsschwachstellen zu beheben.

 

Den Turbo zuschalten: Automatisierte PAM-Erkennung

PAM-Lösungen funktionieren hervorragend, um Angriffe abzuwehren, die sich gegen die von ihnen verwalteten Konten richten. Für privilegierte Konten, die keiner kennt, gilt das naturgemäß nicht. Die meisten PAM-basierten Erkennungstools beschränken sich auf statische Schnappschüsse der Verzeichnisstrukturen und sind schnell veraltet – meist noch vor der Implementierung. Auch privilegierte Konten auf Endgeräten werden häufig übersehen und geben, wenn überhaupt, nur wenig Aufschluss darüber, wie und von wo aus privilegierte Konten in der Vergangenheit genutzt wurden.

Angreifer verfügen inzwischen über ausreichend automatisierte Tools, um Schwachstellen bei diesen Konten aufzudecken. Der Schlüssel zum Erfolg von Cybersicherheitsteams liegt darin, mit diesem Automatisierungslevel gleichzuziehen. Diejenigen, die bereits versucht haben, sämtliche privilegierte Konten in einer Umgebung zu identifizieren, wissen, dass es keine ganz triviale Aufgabe ist. Fehlende Automatisierung produziert Unmengen von zusätzlichen Arbeitsaufgaben. Dazu zählen endlose Teambesprechungen, es werden Skripte, Protokollierungstools und Tabellenkalkulationen nötig, um die Lücken manuell aufzudecken. Erschwerend kommt hinzu, dass die Daten, kaum erfasst, nahezu sofort veraltet sind.

 

Das Potenzial von PAM ausschöpfen: Die Unbekannte/n kennen

Die Einrichtung von nicht verwalteten privilegierten Konten, und sei es auch nur für einen kurzen Zeitraum, birgt für jede Firma Risiken. Vor allem angesichts der schnellen Änderungen bei Identitäten und Systemen braucht man zwingend eine kontinuierliche Erkennung, und dies so umfassend wie möglich. Es gibt eine Reihe von Identitätsrisiken und Managementproblemen, die nur mittels verbesserter Transparenz gelöst werden können:

  • Zwischengespeicherte Anmeldeinformationen – Privilegierte Konten und Anmeldeinformationen werden häufig auf Endgeräten und Serversystemen gespeichert, wo Angreifer sie leicht abgreifen können. Dazu gehören auch Anmeldeinformationen von End-Point-Anwendungen wie ftp, filezilla und Webbrowsern sowie RDP- und VPN-Sessions, die nicht ordnungsgemäß geschlossen wurden. Der Diebstahl von Anmeldeinformationen aus dem Systemspeicher ist inzwischen die am häufigsten verwendete Angriffstechnik, um Identitäten zu kompromittieren.
  • Schatten-Admins – Bei Schatten-Administratoren handelt es sich im Wesentlichen um Benutzerkonten, die außerhalb der empfohlenen Best Practices über erweiterte Rechte verfügen. Allerdings sind sie für IT- oder Sicherheitsteams nicht leicht zu erkennen. Schatten-Admin-Konten werden nicht von PAM-Lösungen verwaltet. Die IT weiß in der Regel nicht einmal, dass diese Konten existieren. Mehr Transparenz hilft, sie zu erkennen und an einer PAM-Lösung zu registrieren oder die Zugriffsberechtigungen anzupassen.
  • Kontext und Einblick – IT-Administratoren müssen wissen, wie und wo privilegierte Konten verwendet werden. Erst dann können sie die Auswirkungen beurteilen, die die Registrierung eines bestimmten privilegierten Kontos an einer PAM-Lösung auf die Integrität anderer Systeme oder Anwendungen hat oder haben kann.
  • Priorisierung – Schließlich trägt eine umfassende Erkennung dazu bei, sich auf die privilegierten Konten mit dem höchsten Risiko zu konzentrieren – d.h. diejenigen, die noch nicht an der PAM-Lösung registriert sind – was bei Tausenden von Konten eine enorme Zeitersparnis bedeutet.

Eine kontinuierliche und automatisierte Erkennung unterstützt außerdem andere Identitätskontrollen und -prozesse:

  • Multifaktor-Authentifizierung – Die kontinuierliche Erkennung von Schwachstellen innerhalb der Identität optimiert die MFA: es werden diejenigen privilegierte Konten identifiziert, die nicht an der MFA registriert sind.
  • Passwortverwaltung – Laut einer Studie von Illusive verwenden 21 % der Administratoren Standard-Kontonamen und 62 % der Befragten haben die Passwörter seit über einem Jahr nicht geändert. Solche Fehlkonfigurationen treten häufig auf, wenn Organisationen keinen Einblick in Richtlinienverstöße haben, obwohl sie leicht zu beheben wären.
  • Falsch konfigurierte Kontorichtlinien – Administratoren werden zu einem Risiko, wenn sie sich bei Dienstkonten anmelden, die nur für den nicht-menschlichen Gebrauch bestimmt sind. Naturgemäß ändern sich die Zugangsdaten dieser Konten eher selten – nicht einmal über Jahre. Sichtbarkeit/Transparenz deckt Risiken und wahrscheinliche Richtlinienverstöße auf. Man kann ein Konto problemlos so einstellen, dass es sich nicht für interaktive Logins verwenden lässt. Fehlt die Transparenz, lässt sich auch die Richtlinie nicht anpassen.

 

Lassen Sie PAM für sich arbeiten

Als zentrale und wertvolle Kontrolle von Sicherheit und Compliance ist PAM nur so effektiv wie die Bereitstellung erfolgreich ist. Ein kontinuierlicher, umfassender Einblick in die privilegierten Konten und wo sie verwendet werden, war in der Vergangenheit praktisch unmöglich. Inzwischen gibt es aber Lösungen, um privilegierte Identitäten sowie Sicherheits- und Compliance-Risiken, zu identifizieren und so letzten Endes die komplette PAM-Implementierung zu beschleunigen.

Jochen Rummel, Illusive