Lösung der größten Herausforderungen des Privileged Access Managements

Die Standardmethode zur Behebung von Sicherheitsproblemen, die sich aus den privilegierten Benutzerkonten einer Organisation ergeben, ist eine Privileged Access Management (PAM)-Lösung, die ein sehr wirksames Tool gegen Bedrohungen sein kann, die es auf Administratoranmeldeinformationen abgesehen haben. Wenn es jedoch um die vollständige Implementierung von PAM geht, gibt es oft erhebliche Herausforderungen bei der Einbindung, dem Betrieb und der Wartung der Lösung, die verhindern können, dass das Produkt sein volles Potenzial entfaltet.

In diesem Blogbeitrag besprechen wir die fünf größten Probleme, mit denen Identitätsteams bei der Durchführung eines PAM-Implementierungsprojekts konfrontiert sind, und schlagen Möglichkeiten vor, wie jedes dieser Probleme mit einem Unified angegangen werden kann Identitätsschutz Plattform.

Herausforderung Nr. 1: Unentdeckte Dienstkonten und Schattenadministratoren

Es mag offensichtlich erscheinen, aber bevor PAM-Schutz auf ein Administratorkonto angewendet werden kann, muss der PAM-Administrator zunächst über die Existenz dieses Kontos Bescheid wissen. In Wirklichkeit ist dies jedoch viel leichter gesagt als getan. Der Grund liegt darin, dass zwei Arten von Konten eine große Herausforderung hinsichtlich der leichten Auffindbarkeit darstellen:

1. Service Accounts – Diese Maschine-zu-Maschine-Konten verfügen häufig über privilegierten Zugriff, sodass sie wichtige Aufgaben in einem Netzwerk ausführen können, ohne dass eine menschliche Interaktion erforderlich ist. Das Problem ist, dass diese Konten werden oft ohne ordnungsgemäße Dokumentation erstellt, Dadurch werden sie den Identitätsteams, die an einem PAM-Projekt arbeiten, unbekannt. Außerdem, Es gibt kein Dienstprogramm, das alle Dienstkontoaktivitäten herausfiltern kann innerhalb eines Active Directory (AD)-Umgebung – diese Konten werden im Wesentlichen unsichtbar und somit nicht in die PAM-Lösung integriert.
2. Schattenadministratoren – Manchmal können Standardbenutzern versehentlich hohe Zugriffsrechte zugewiesen werden, ohne dass das Identitätsteam davon Kenntnis hat. Ein häufiges Beispiel ist a Benutzerkonto der kein Mitglied einer privilegierten Admin-AD-Gruppe ist, aber das Recht hat, das Passwort eines Admins zurückzusetzen. Da das Benutzerkonto jedoch nicht als privilegiert identifiziert wurde, wird es auch nicht in PAM aufgenommen.

Herausforderung Nr. 2: Dienstkonten mit nicht zugeordneten Abhängigkeiten

Der Grundstein einer PAM-Lösung ist sein Tresor, in dem die Anmeldeinformationen für alle privilegierten Konten gespeichert werden, und ein wichtiger Schutz, den PAM bietet, ist die Möglichkeit dazu Wechseln Sie regelmäßig die Passwörter aller Konten im Tresor gespeichert. Dadurch wird die Möglichkeit eines Angreifers eingeschränkt, kompromittierte Anmeldeinformationen zu verwenden, die er möglicherweise erworben hat, da die Gültigkeitsdauer dieser Anmeldeinformationen begrenzt wird.

Das Problem bei der Passwortrotation besteht jedoch darin, dass sie nicht effektiv angewendet werden kann Dienstkonten die hohe Privilegien haben. Der Grund dafür ist, dass diese Konten häufig auf ihre Zielcomputer zugreifen, indem sie ein Skript ausführen, in dem ihre Anmeldeinformationen gespeichert sind. Allerdings tEs gibt keine Möglichkeit, das Passwort in diesem Skript mithilfe von PAM automatisch zu aktualisieren (Dies kann auch nicht manuell erfolgen, da der genaue Speicherort des Skripts selbst normalerweise unbekannt ist).

Das Ergebnis ist, dass die Rotation der Passwörter dieser Dienstkonten mithilfe von PAM das Passwort im Skript tatsächlich ungültig machen würde, was dann dazu führen würde, dass das Konto seine beabsichtigte Aufgabe nicht mehr ausführen kann. Dies wiederum könnte zu einer Kaskade von Problemen im gesamten Netzwerk führen, da alle kritischen Prozesse, die davon abhängen, dass das Dienstkonto seine Aufgabe erledigt, ebenfalls fehlschlagen würden. Aufgrund dieses Risikos verzichten Identitätsteams oft darauf, stark privilegierte Dienstkonten in PAM zu integrieren, wodurch sie der Gefährdung ausgesetzt sind.

Herausforderung Nr. 3: Administratoren, die PAM umgehen

Wie das Sprichwort sagt: Eine Kette ist nur so stark wie ihr schwächstes Glied und das gilt auch für eine PAM-Lösung. Da es sich bei PAM-Produkten um robuste und hochentwickelte Tools handelt, die darauf ausgelegt sind, Administratorkonten durch Maßnahmen wie Passwortrotation, Verwendung von Tresoren und Sitzungsaufzeichnung vor Gefährdung zu schützen, kann die daraus resultierende Anmeldeerfahrung für Administratoren letztendlich umständlicher sein.

Das Problem ist, dass aus diesem Grund Aus Effizienzgründen entscheiden sich Administratoren manchmal dafür, PAM ganz zu umgehen – Sie verwenden die PAM-Lösung nur zum Extrahieren ihres neuen Passworts und melden sich dann direkt bei den verschiedenen Servern und Workstations an, auf die sie zugreifen müssen. Durch diese Praxis wird natürlich genau der Schutz, den PAM bieten sollte, völlig außer Kraft gesetzt und eine kritische Sicherheitslücke aufgedeckt.

Herausforderung Nr. 4: Schutz des Zugriffs auf PAM selbst

So leistungsstark PAM auch ist, es hat doch eine Achillesferse: Es kann sich nicht selbst schützen. Dies bedeutet natürlich, dass, wenn ein Gegner in der Lage wäre, die Anmeldeinformationen des zu kompromittieren PAM Sie hätten dann Zugriff auf die Anmeldeinformationen aller im Tresor gespeicherten privilegierten Konten und damit auf alle Ressourcen in der Umgebung – ein potenziell katastrophales Szenario für jedes Unternehmen.

Das Angriffsfläche für böswilligen Zugriff wird besonders deutlich, wenn man bedenkt, dass es mehrere Möglichkeiten gibt, auf eine PAM-Lösung zuzugreifen:

• über Webportal: Wird zum Abrufen von Anmeldeinformationen sowie für Verwaltungsaufgaben verwendet
• über Proxy-Zugriff: Wird von Netzwerkadministratoren verwendet, um mithilfe von Tresor-Anmeldeinformationen eine Verbindung zu verschiedenen Systemen herzustellen
• über API: Wird für automatisierte Aufgaben und von Dienstkonten verwendet

Bei so vielen verschiedenen Möglichkeiten, auf PAM zuzugreifen, bedeutet dies, dass jeder einzelne Angriffspunkt – beispielsweise ein Dienstkonto, dessen Anmeldeinformationen kompromittiert wurden – wiederum zu einer Kompromittierung des gesamten PAM-Systems selbst führen kann.

Herausforderung Nr. 5: Konten, die nicht sofort (oder überhaupt) gesichert werden können

Die vollständige Einführung einer umfassenden PAM-Lösung kann ein gewaltiges Unterfangen sein, ein Projekt, dessen Abschluss oft Monate oder manchmal sogar Jahre dauert. Und während dieses Prozesses bleiben alle privilegierten Konten, die noch in das PAM-Produkt integriert werden müssen, der Gefährdung ausgesetzt.

Da Dienstkonten außerdem häufig Abhängigkeiten aufweisen, die äußerst schwer abzubilden sind, sind diese Privilegierte Konten können auf unbestimmte Zeit außerhalb des PAM-Schutzes bleiben. aufgrund des zuvor erwähnten Problems, dass kritische Prozesse dieser Konten durch die Passwortrotation unterbrochen werden könnten. Dies bedeutet, dass auch diese privilegierten Konten weiterhin offengelegt würden.

Wie Unified Identity Protection PAM ergänzen kann

Einheitlicher Identitätsschutz ist eine neue Kategorie von Sicherheitsprodukten, die darauf ausgelegt sind, durch kontinuierliche Überwachung, Risikoanalyse und Durchsetzung von Zugriffsrichtlinien einen Echtzeitschutz der Identitätsangriffsfläche zu bieten. Durch die direkte Integration mit allen Identitätsanbietern ist die Plattform in der Lage, einen vollständigen Einblick in jeden eingehenden Vorgang zu erhalten Beglaubigung und Zugriffsanfragen innerhalb der Umgebung, ob vor Ort oder in der Cloud.

Dies bedeutet, dass eine Unified Identity Protection-Plattform die Herausforderungen von PAM durch drei Kernfunktionen lösen kann:

1. Kontoerkennung –Durch die vollständige Transparenz aller Authentifizierungen kann die Plattform jedes Konto analysieren, einschließlich seiner Privilegien und seines spezifischen Verhaltens – und so problemlos alle Dienstkonten erkennen (da diese ein sehr vorhersehbares Verhalten aufweisen) und alle Konten aufdecken Schattenadministratoren (durch Prüfung der von AD bereitgestellten Zugriffskontrolllisten).
2. Multifaktor-Authentifizierung (MFA) Richtliniendurchsetzung –Die Plattform kann auch Wenden Sie MFA-Richtlinien auf privilegierte Konten an um sämtliche Zugriffe in Echtzeit zu sichern. Dies bedeutet, dass Administratorkonten nur dann auf Ressourcen zugreifen können, wenn die Quelle des Ziels das PAM selbst ist (und darüber hinaus möglicherweise auch MFA für genau diese Verbindung erfordern könnte).
3. Sicherheit von Servicekonten – Durch die kontinuierliche Analyse der Aktivität jedes Dienstkontos in der Umgebung würden Zugriffsrichtlinien immer dann ausgelöst, wenn ein Dienstkonto (unabhängig davon, ob es sich um ein nicht gesichertes Konto handelt oder nicht) von seinem Standardverhalten abweicht, wodurch der vollständige Schutz auf alle erweitert wird privilegiertes Konto in der Umwelt.

Beschleunigen Sie Ihre PAM-Reise mit Silverfort

SilverfortDie Unified Identity Protection-Plattform von Unified Identity Protection schützt Unternehmen vor allen Bedrohungen Identitätsbasierter Angriff das kompromittierte Anmeldeinformationen verwendet und es Identitätsteams ermöglicht, durch die Lösung der inhärenten Sicherheitsherausforderungen mehr aus ihrer PAM-Investition herauszuholen.

Insbesondere Silverfort kann beim PAM-Onboarding helfen, indem es automatisch alle Dienstkonten und Schattenadministratoren erkennt und alle Abhängigkeiten von Dienstkonten abbildet. Sowie, Silverfort kann den Zugriff auf das PAM selbst besser schützen, indem Administratoren nur der PAM-Zugriff erzwungen wird und MFA erforderlich ist. Silverfort kann auch den PAM-Schutz ergänzen Sicherung von Dienstkonten durch die Konfiguration von Zugriffsrichtlinien und durch den Schutz aller Administratorkonten, die sich zufällig außerhalb des PAM befinden.

Bereit, mehr darüber zu erfahren, wie Silverfort kann Ihre PAM-Lösung stärken? Lesen Sie hier mehr darüber.