Traditionelle PAM-Lösungen dominieren seit Jahren den Markt. Tatsächlich benötigen Sie jedoch wahrscheinlich keine solche Lösung, um die häufigsten Anwendungsfälle für privilegierten Zugriff in Ihrer Umgebung abzudecken.
PAM Lösungen sind in der Regel komplex, zeitaufwändig zu implementieren und schwer durchzusetzen. Die dadurch veränderten Arbeitsabläufe bei Benutzern wie IT-Administratoren und Entwicklern führen oft zu Frustration – und erfordern kreative Wege, diese zu umgehen. Dadurch sind Ihre kritischen Benutzer bis zur vollständigen Implementierung Ihres PAM-Projekts anfällig für Kompromisse.
Sogar traditionelle PAM-Anbieter werden sich dieser Realität bewusst und denken darüber nach, von ihren Tresor-zentrierten Lösungen zu einem dynamischeren und moderneren Ansatz zur Sicherung zu wechseln privilegierte BenutzerWarum? Der alte Ansatz, jeden Benutzer zu schützen, ist schlichtweg nicht mehr nötig. Es ist an der Zeit, proaktiver zu handeln und Ansätze und Lösungen zu nutzen, die auf die heutigen Bedrohungen zugeschnitten sind.
In diesem Blog erklären wir, warum Unternehmen traditionelle PAM-Angebote zugunsten eines moderneren Ansatzes aufgeben, um Identity-Security-Lücken.
Warum traditionelles PAM in Ungnade fällt
Jahrelang zeichneten sich PAM-Lösungen dadurch aus, dass sie mehrere Benutzer in einem einzigen generischen oder gemeinsamen Konto zusammenfassten und gleichzeitig die Sitzungsaufzeichnung über einen Sitzungsproxy erzwangen. Dieser Ansatz war in einer Zeit sinnvoll, in der das integrierte Administratorkonto die Standardeinstellung für die Verwaltung von Assets war. Doch die Dinge haben sich geändert. Angesichts der heutigen hybriden Umgebungen und der sich entwickelnden Bedrohungslandschaft genügen traditionelle PAM-Best Practices modernen Sicherheitsanforderungen nicht mehr.
Das ist wegen:
- Kompatibilitätsprobleme mit AD-Tiering: Der Zugriff auf eine privilegierte Ebene über PAM von einem weniger privilegierten Endpunkt aus unterbricht das AD-Tiering-Modell. PAM-Proxy-Zugriff hingegen, der Anmeldeinformationen aus einem Tresor abruft, ohne den Endpunkt zu erreichen, bietet eine sichere, ebenenkonforme Lösung. Dies beeinträchtigt jedoch die Effektivität herkömmlicher PAM-Lösungen. Eine dedizierte PAM-Bereitstellung für jede Ebene im Tiering-Modell, auf die von einer Privileged Access Workstation (PAW) für diese Ebene zugegriffen wird, ist die einzige konforme Methode, bietet aber kaum Mehrwert, da sie eigentlich nur für die Sitzungsaufzeichnung oder die Zugriffsverfolgung auf gemeinsam genutzte Konten benötigt wird. Angesichts des zusätzlichen Infrastruktur- und Verwaltungsaufwands ist dies daher ein wenig attraktives Angebot.
- Ineffektivität der Sitzungsaufzeichnung: Sitzungsaufzeichnungen erscheinen zwar als effektive Lösung für Audits, sind für PAM-Administratoren, die diese Funktion nutzen, jedoch meist überflüssig. Mit einer ordnungsgemäßen Protokollierung der verwalteten Ressource wird die Sitzungsaufzeichnung unnötig. Darüber hinaus verfügen die meisten Organisationen nicht über die Zeit und die Ressourcen, um diese Aufzeichnungen zu überprüfen. Ihr Wert beschränkt sich daher auf die gelegentliche Analyse nach einem Sicherheitsverstoß im Rahmen der Vorfallsuntersuchung.
- Begrenzte Abdeckung: PAM-Lösungen konzentrieren sich auf die Sicherung bekannt privilegierte Benutzer, aber nicht auf unüberwachte Konten, wodurch Unternehmen blinde Flecken haben. Erkennungsfunktionen basieren oft auf Namenskonventionen und Gruppenmitgliedschaften, können aber keine Bypass-Konten erkennen, die absichtlich verborgen bleiben und von IT-Administratoren verwendet werden, um PAM-Kontrollen zu umgehen. Darüber hinaus sind Desktop-Benutzer (Tier 2), die sich häufig direkt mit Passwörtern anmelden, dem höchsten Risiko ausgesetzt und können durch einen Passwort-Tresor-Ansatz nicht ausreichend geschützt werden.
- Nicht verwalteter NHI-ZugriffViele privilegierte Computerkonten werden ohne direkte Interaktion über Sitzungsproxys betrieben, sodass PAM keine Echtzeittransparenz und Sicherheitskontrollen für diese Konten gewährleisten kann. Stattdessen setzt es auf Passwortrotation über APIs und eingeschränkte Aktivitätsprotokollanalyse. Dieser Mangel an ordnungsgemäßer Erkennung bedeutet, dass Unternehmen nicht vollständig nachvollziehen können, wo die NHI verwendet wird, während die Rotation der Anmeldeinformationen zu Systemstörungen führen kann. Daher vermeiden viele Unternehmen die Verwaltung von NHIs über PAM und stellen damit einen weiteren Sicherheitslücken dar.
- Persönliche Administratorkonto-Überwachung: Prüfer und Regulierungsbehörden empfehlen die Verwendung persönlicher Administratorkonten für eine klare Verantwortlichkeit durch die Zuordnung aufgezeichneter Aktionen zu einzelnen Benutzern. PAM-Lösungen können die Nutzung gemeinsam genutzter Administratorkonten verfolgen und bestimmten Benutzern zuordnen. Persönliche Konten bieten jedoch mehr Sicherheit, da der Zugriff auf weniger Personen beschränkt bleibt. Darüber hinaus können gemeinsam genutzte Konten problematisch sein, wenn Mitarbeiter das Unternehmen verlassen, was häufig zu Zugriffslücken führt. PAM hat Schwierigkeiten, persönliche Konten im Vault-Modell zu verwalten.
Traditionelle PAM-Praktiken sind veraltet und mit der Komplexität moderner Sicherheitsumgebungen nicht vereinbar. Angesichts der oben beschriebenen Herausforderungen und Sicherheitslücken setzen Unternehmen nun aktiv auf die Umstellung von traditionellen PAM-Ansätzen auf einen effektiveren Ansatz, der die heutigen Sicherheitsanforderungen deutlich effizienter erfüllt.
Der moderne Ansatz zur Sicherung privilegierter Benutzer
Traditionelles PAM basierte auf einem einfachen Ansatz: Privilegierte Anmeldeinformationen in einem Tresor sichern, ihre Nutzung protokollieren und davon ausgehen, dass Angreifer abgeschreckt würden. Diese Strategie war in einer Zeit statischer Umgebungen und zentralisierter Infrastruktur vor Ort effektiv, als privilegierte Benutzer auf eine kleine Gruppe von IT-Administratoren beschränkt waren. Die heutige Identitätslandschaft ist jedoch dynamisch, verteilt und Cloud-nativ. Privilegien sind allgegenwärtig – über Tausende von Identitäten, Maschinen und Diensten hinweg – und passen nicht mehr in einen Tresor.
Stattdessen benötigen wir einen modernen PAM-Ansatz, der über Tresore hinausgeht und sich stärker auf Identität, Zugriff und Kontext in Echtzeit konzentriert. Er sollte kontinuierlich Transparenz darüber bieten, wer (oder was) zu einem bestimmten Zeitpunkt privilegierten Zugriff hat, erkennen, wann dieses Privileg genutzt wird, und Sicherheitskontrollen dynamisch durchsetzen – unabhängig davon, wo der Zugriff erfolgt, welche Anmeldeinformationen (falls vorhanden) verwendet werden oder auf welcher Plattform er läuft.
Sichtbarkeit: Kartierung der wahren Angriffsfläche
Sichtbarkeit ist das Herzstück von Sicherung des privilegierten ZugriffsFür ein effektives Privileged Access Management ist eine kontinuierlich aktualisierte und umfassende Übersicht aller Identitäten – ob menschlich oder nicht – erforderlich, die über erhöhte Berechtigungen verfügen oder diese erhalten können. Dies umfasst nicht nur traditionelle Administratorkonten, sondern auch delegierten Zugriff über Gruppenmitgliedschaften, übernommene IAM-Rollen, Cloud-native Berechtigungen und Service Accounts eingebettet in Automatisierungspipelines oder Skripte.
Die Realität der heutigen Bedrohungslandschaft ist krass: Angreifer müssen nicht mehr in den Tresor eindringen, wenn sie eine Cloud-Workload-Identität mit API-Berechtigungen auf Administratorebene ausnutzen können. Daher ist die Abbildung und Verwaltung der vollständigen Berechtigung Angriffsfläche ist für proaktive Sicherheit und Risikominderung unerlässlich.
Durchsetzung in Echtzeit über alle Zugriffspfade hinweg
Im Gegensatz zu herkömmlichem PAM, das erst nachträglich reagiert, sollte dieser neue Ansatz für privilegierten Zugriff mit Echtzeit-Sicherheitskontrollen ausgestattet sein. Durch die direkte Integration mit Authentifizierungsprotokollen – wie beispielsweise Kerberos-, NTLM, LDAP, SAML und mehr – es sollte eine Rechteausweitung sofort erkennen und Kontrollen proaktiv durchsetzen, bevor eine Sitzung beginnt.
Dieser proaktive Ansatz kann MFA, riskante Zugriffsanfragen basierend auf Kontextsignalen blockieren oder Sitzungsgrenzen dynamisch durchsetzen, um Missbrauch einzuschränken. Anstatt sich bei der Überprüfung nach Vorfällen auf Sitzungsprotokolle zu verlassen, werden Bedrohungen bereits am Zugriffspunkt unterbunden und Missbrauch nicht nur dokumentiert, sondern verhindert.
Durchsetzung des Least-Privilege-Modells
Kontinuierliche Durchsetzung von Least-Privilege-Prinzip ist ein wesentlicher Bestandteil dieses neuen Ansatzes. Anstatt sich auf statische Rollenzuweisungen zu verlassen und zu hoffen, dass diese nicht kompromittiert werden, sollte eine moderne PAM-Lösung kontinuierlich Verhalten, Nutzungstrends und Berechtigungen analysieren, um übermäßige Berechtigungen zu identifizieren und zu eliminieren.
Durch rollen- und attributbasierte Zugriffskontrollen werden Berechtigungen präzise angepasst und minimiert – auch für Servicekonten und andere Computerkonten. Auftretende Anomalien werden schnell erkannt und in Echtzeit behoben. Sicherheitskontrollen werden durchgesetzt und Maßnahmen zur Risikominderung umgehend umgesetzt.
Just-in-Time-Zugriff: Beenden Sie das ständige Privileg
Um das Risiko wirklich zu minimieren, sollte dieser Ansatz Just-in-Time-Zugriff (JIT) erzwingen. Anstatt dauerhafte Berechtigungen zu gewähren, erweitern Benutzer den Zugriff nur bei Bedarf durch zeitgebundene Genehmigungen oder automatisierte Workflows.
Sobald die Aufgabe erledigt ist, wird die Berechtigung automatisch widerrufen. Dies minimiert das Zeitfenster für Angreifer und begrenzt den Angriffsradius, falls ein Konto kompromittiert wird. JIT-Zugriff gewährleistet temporäre und nachvollziehbare Berechtigungen und reduziert lateraler Bewegung ausnutzen Anschläge.
Über den Tresor hinausgehen
Bei diesem neuen und modernen Ansatz zur Sicherung privilegierter Zugriffe geht es nicht mehr darum, wo Anmeldeinformationen gespeichert werden, sondern wie Berechtigungen im gesamten Ökosystem erkannt, überwacht und kontrolliert werden. Dies stellt eine grundlegende Abkehr von der veralteten Praxis dar, alle Benutzer in einem Tresor zu speichern. Dies führt zu einer komplexen und zeitaufwändigen Implementierung von Sicherheitskontrollen und berücksichtigt moderne Sicherheitsherausforderungen nicht.
Stattdessen liegt der Fokus auf der dynamischen und Echtzeitverwaltung privilegierter Zugriffe, die maßgeschneiderte Zugriffskontrollen ohne komplexe Vaulting-Benutzer ermöglicht. Dies ist ein großer Schritt in die richtige Richtung – vom präventiven Ansatz hin zu einer proaktiveren Sicherheitsdurchsetzung in Echtzeit, die darauf ausgelegt ist, die Komplexität der aktuellen Identitätsinfrastrukturen zu bewältigen und der Angriffslandschaft entgegenzuwirken. Auch traditionelle PAM-Lösungen entwickeln sich weiter, um diese fortschrittlichen Praktiken zu übernehmen und sich besser an die organisatorischen Anforderungen in einer sich schnell verändernden Sicherheitslandschaft anzupassen.
Um zu lernen wie SilverfortPrivileged Access Security (PAS) von kann Ihnen helfen, die Art und Weise zu ändern, wie Sie privilegierten Zugriff sichern. Laden Sie unsere eBook zum Thema „Privilegierten Zugriff sichern“ or Kontaktieren Sie noch heute einen unserer Experten.