Die Zahl der menschlichen und nicht-menschlichen Identit\u00e4ten in Unternehmen w\u00e4chst schnell, und jede dieser Identit\u00e4ten ben\u00f6tigt fr\u00fcher oder sp\u00e4ter Zugriff auf kritische Ressourcen. Das macht sie f\u00fcr Cyberkriminelle extrem attraktiv. CyberArk erkl\u00e4rt, mit welchen intelligenten Berechtigungskontrollen sich die privilegierten Zugriffe aller Identit\u00e4ten absichern lassen.<\/p>\n
Die Zeiten, in denen nur wenige Administratoren \u00fcber weitreichende Berechtigungen in den IT-Infrastrukturen von Unternehmen verf\u00fcgten, sind l\u00e4ngst vorbei. Inzwischen ben\u00f6tigen auch die meisten Mitarbeiter, Anwendungen und Ger\u00e4te solche Rechte, um auf kritische Ressourcen zuzugreifen, die sie im Arbeitsalltag ben\u00f6tigen. Die klassische Definition von privilegierten Identit\u00e4ten greift daher nicht mehr, denn letztlich kann jede Identit\u00e4t privilegiert sein und bedarf eines besonderen Schutzes.\u00a0Um alle Identit\u00e4ten \u00fcber s\u00e4mtliche Infrastrukturen, Systeme und Anwendungen hinweg zuverl\u00e4ssig zu sch\u00fctzen, ben\u00f6tigen Unternehmen die folgenden f\u00fcnf intelligenten Berechtigungskontrollen:<\/p>\n
Viele Unternehmen statten Anwender dauerhaft mit weitreichenden Berechtigungen aus, auch wenn diese die Rechte nur selten oder niemals ben\u00f6tigen. Die Identit\u00e4ten werden nicht konsequent \u00fcber ihren gesamten Lebenszyklus verwaltet und Berechtigungen daher bei Nichtbenutzung auch nicht entzogen. Besser ist es, die privilegierten Zugriffsrechte Just-in-Time zuzuweisen, sodass Anwender nur mit erweiterten Berechtigungen ausgestattet werden, wenn sie diese tats\u00e4chlich f\u00fcr eine bestimmte Aufgabe ben\u00f6tigen. Die Herausforderung liegt darin, die Berechtigungen nur f\u00fcr eine definierte Zeit zu vergeben und anschlie\u00dfend wieder zu entfernen. Andernfalls kommt es zu Rechteanh\u00e4ufungen, durch die Anwender im Laufe der Zeit zu \u201eSuper-Usern\u201c werden. Die modernste Art der Berechtigungszuweisung ist es daher, Anwender standardm\u00e4\u00dfig mit Zero Standing Privileges auszustatten, sodass sie \u00fcber keinerlei Berechtigungen in den Zielapplikationen verf\u00fcgen. Anhand von attributbasierten Zugriffskontrollrichtlinien (ABAC) werden erweiterte Berechtigungen beim Zugriff des Anwenders zur Laufzeit zugewiesen und nach der Session automatisch wieder entfernt.<\/p>\n
Eine Session-Isolierung sch\u00fctzt den privilegierten Zugriff, indem der Datenverkehr zwischen dem Endger\u00e4t des Anwenders und den kritischen Ressourcen, auf die er zugreift, \u00fcber einen Proxy-Server geleitet wird. Dadurch besteht keine direkte Verbindung und bei einem Angriff auf den Anwender ist das Risiko, dass auch das entfernte System kompromittiert wird, verringert.<\/p>\n
Der Proxy-Server kann als zus\u00e4tzlicher Kontrollpunkt dienen, der die Session \u00fcberwacht und aufzeichnet. Dabei werden alle Aktivit\u00e4ten erfasst \u2013 bis hin zu einzelnen Mausklicks innerhalb einer Webanwendung oder auf einem Server. Die Aktivit\u00e4ten lassen sich automatisiert analysieren, um ungew\u00f6hnliche Aktivit\u00e4ten zu erkennen, die auf eine Bedrohung hindeuten. In einem solchen Fall wird die Session sofort unterbrochen.<\/p>\n
Eine umfassende, richtlinienbasierte Anwendungskontrolle hilft, Endger\u00e4te zu sch\u00fctzen und eine sichere Arbeitsumgebung f\u00fcr jede Benutzergruppe zu schaffen. Sie setzt Least-Privilege-Prinzipien auf Endpoints durch und ber\u00fccksichtigt den Anwendungskontext und verschiedenste Parameter, um zu entscheiden, ob das Ausf\u00fchren von Anwendungen, Skripten und anderen Aktivit\u00e4ten zugelassen oder blockiert wird.<\/p>\n
Credentials wie Benutzernamen und Passw\u00f6rter sind notwendig, um Identit\u00e4ten zuverl\u00e4ssig zu identifizieren. Ein Credential Management \u00fcbernimmt nicht nur die Verwaltung von Passw\u00f6rtern, Schl\u00fcsseln und anderen Credentials, sondern wacht auch \u00fcber die Einhaltung von Passwortrichtlinien und rotiert Passw\u00f6rter beziehungsweise Keys nach definierten Vorgaben, etwa nach einem Zeitplan oder nach bestimmten Ereignissen. Ein Secrets Management erlaubt es, \u00e4hnliche Sicherheitsrichtlinien f\u00fcr nicht-menschliche Identit\u00e4ten durchzusetzen, die beispielsweise in Bots, Skripten, Cloud-Anwendungen und IoT-Ger\u00e4ten zum Einsatz kommen.<\/p>\n
\u201eCyberangriffe auf alle Arten von Identit\u00e4ten nehmen kontinuierlich zu und werden immer raffinierter\u201c, betont Fabian Hotarek, Solutions Engineering Manager bei CyberArk. \u201eDeshalb ben\u00f6tigen Unternehmen eine durchdachte Identity-Security-Strategie mit intelligenten Berechtigungskontrollen, um menschliche und nicht-menschliche Identit\u00e4ten zu sch\u00fctzen und das Risiko, das mit dem Diebstahl von Anmeldedaten und Missbrauch von Privilegien einhergeht, zu minimieren.\u201c<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Zahl der menschlichen und nicht-menschlichen Identit\u00e4ten in Unternehmen w\u00e4chst schnell, und jede dieser Identit\u00e4ten ben\u00f6tigt fr\u00fcher oder sp\u00e4ter Zugriff auf kritische Ressourcen. Das macht sie f\u00fcr Cyberkriminelle extrem attraktiv. CyberArk erkl\u00e4rt, mit welchen intelligenten Berechtigungskontrollen sich die privilegierten Zugriffe aller Identit\u00e4ten absichern lassen. Die Zeiten, in denen nur wenige Administratoren \u00fcber weitreichende Berechtigungen in […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"class_list":["post-963","post","type-post","status-publish","format-standard","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=963"}],"version-history":[{"count":1,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/963\/revisions"}],"predecessor-version":[{"id":964,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/963\/revisions\/964"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}