Report von CyberArk: Wie man privilegierte Accounts schützt

    Erste Stufe: Der Hacker verschafft sich Zugang zu Workstations.Wie sich Konten von Nutzern mit privile­gierten Zugriffs­rechten vor Angriffen schützen lassen, hat CyberArk im Report "Rapid Risk Reduction: A 30-Day Sprint to Protect Privileged Credentials" zusammen­gefasst.

    Er wurde von der CISO-Initiative (Chief Information Security Office) herausgegeben, der auch CyberArk angehört. In dem Dokument sind Maßnahmen aufgeführt, mit denen sich die gröbsten Nachlässigkeiten in den Bereichen IT-Sicherheit und Umgang mit privilegierten Nutzerkonten beseitigen lassen.

    Die Informationen sind allerdings mehr als ein schlichtes Werbe-Paper, auch wenn Interessenten vor dem Herunterladen ihre Kontaktdaten herausrücken müssen. Denn zu den Autoren, die Informationen und Praxis­erfahrungen beigesteuert haben, zählen unter anderem die IT-Sicherheitschefs von Unternehmen wie Starbucks, ING Bank und Rockwell Automation.

    In 30 Tagen die Security verbessern

    Der Report enthält eine Art von "Crash Course", mit dem IT-Sicherheits­fachleute Risiken durch "Privileged User" reduzieren können. Der Hintergrund: Die Account-Daten von Administratoren und "Power-Usern" sind aus nachvoll­ziehbaren Gründen bei Hackern besonders beliebt. Denn damit ist es einfacher, sich Zugang zu Netzwerksystemen, IT-Sicherheits­komponenten wie Firewalls oder Datenbank-Servern zu verschaffen.

    Im ersten Schritt rät der Report zu folgenden Maßnahmen:

    • einer schnellen Identifizierung von Accounts mit privilegierten Rechten. Das lässt sich ohne großen Zeitaufwand in Windows mithilfe von Active Directory und der lokalen Administrator-Gruppen bewerkstelligen;
    • der Konzentration auf Accounts mit dem größtem Risikopotenzial: Zunächst geht es um die Verwaltung und Sicherung der Accounts mit den umfangreichsten Rechten, etwa Domain-Administrator-Accounts und Administrator-Konten mit Zugriffsmöglichkeiten auf viele Systeme;
    • einer realistische Einschätzung der Zahl der Account: Zunächst sollten Kontrollmechanismen implementiert werden, die im Laufe der Zeit erweitert werden. Ein Beispiel: Zuerst werden die Rechte von Usern von Workstation reduziert, sodass diese "nur" normale Zugriffsrechte haben, keine Systemverwalter-Befugnisse.

    Feinschliff: Mehr-Faktor-Authentifizierung

    Schritt zwei: Der Angreifer arbeitet sich zu lohnenswerten Zielen vor, etwa Datenbanken und vielen Workstations.Im Anschluss an diese Vorarbeiten folgen die Feinarbeiten. Der CISO-Report rät beispielsweise dazu, Accounts, auch die von Administratoren, je nach Funktion zu trennen. Storage-Admins müssen nicht zwangsläufig Zugang zu Konfigurationseinstellungen des Netzwerks haben und umgekehrt. Allerdings lässt sich diese Trennung speziell in kleineren Unternehmen mit entsprechend kleineren IT-Abteilungen nur bedingt umsetzen.

    Zudem sollten Administrator-Passwörtern in einem Unternehmens-Vault abgelegt werden, das verschlüsselt und gegen Manipulationen abgesichert ist. Weiterhin ist eine Multi-Faktor-Authentifizierung für den Zugriff auf Administrator-Passwörter zu empfehlen, so der Report. Weitere Maßnahmen sind

    • ein Monitoring von User-Accounts mit privilegierten Rechten,
    • die Begrenzung solcher Nutzerkonten auf ein Minimum,
    • Maßnahmen, die eine Verwendung starker Passwörter sicherstellen, inklusive des regelmäßigen Tauschs dieser Passwords, sowie
    • die Begrenzung der Nutzung von Administrator-Accounts auf die Verwaltung "wichtiger" Systeme, etwa von Servern und Storage-Systemen. Workstations sollten mit speziellen Konten verwaltet werden, die eingeschränkte Rechte haben.

    Keine Kommentare