Articles

Privileged Access Management

Privileged Access Management (PAM) bezieht sich auf eine Klasse von Lösungen, die den privilegierten Zugriff auf kritische Assets sichern, steuern, verwalten und überwachen.

Um diese Ziele zu erreichen, nehmen PAM–Lösungen in der Regel die Anmeldeinformationen privilegierter Konten – d. H. der Administratorkonten – und legen sie in einem sicheren Repository (einem Tresor) ab, das die Verwendung privilegierter Konten isoliert, um das Risiko eines Diebstahls dieser Anmeldeinformationen zu verringern. Sobald sie sich im Repository befinden, müssen Systemadministratoren das PAM-System durchlaufen, um auf ihre Anmeldeinformationen zuzugreifen. Wenn ein Berechtigungsnachweis wieder eingecheckt wird, wird er zurückgesetzt, um sicherzustellen, dass Administratoren das PAM-System das nächste Mal durchlaufen müssen, wenn sie den Berechtigungsnachweis verwenden möchten.

Durch die Zentralisierung privilegierter Anmeldeinformationen an einem Ort können PAM-Systeme ein hohes Maß an Sicherheit für sie gewährleisten, steuern, wer auf sie zugreift, alle Zugriffe protokollieren und verdächtige Aktivitäten überwachen.

Privileged Access Management by Gartner hat die folgenden Unterkategorien:

  • Shared Access Password Manager (SAPM)
  • Superuser Password Manager (SUPM)
  • Privileged Session Manager (PSM)
  • Application Access Password Manager (AAPM)

PAM Password Vaults (SAPM) bietet eine zusätzliche Ebene der Kontrolle über Administratoren und Passwortrichtlinien sowie die Überwachung von Pfaden des privilegierten Zugriffs auf kritische systeme .

Passwörter können einer Vielzahl von Passwortrichtlinien folgen und sogar wegwerfbar sein. Sitzungsbroker oder PSMs bringen PAM auf eine andere Ebene und stellen sicher, dass Administratoren die Kennwörter nie sehen, ihre gehärteten Proxyserver wie Jump-Server überwachen auch aktive Sitzungen und ermöglichen es Prüfern, Administratorsitzungen zu stoppen, wenn sie etwas Falsches sehen. In ähnlicher Weise können AAPMs Anmeldeinformationen Just-in-time für die Kommunikation zwischen Anwendungen freigeben und sogar Startskripte ändern, um fest codierte Kennwörter durch API-Aufrufe an den Kennworttresor zu ersetzen.

Erfahren Sie mehr darüber, wie Sie Ihre PAM-Benutzer schützen können

CyberArk, ein Marktführer im Bereich Privileged Account Management, gibt an, dass es sich um 7-Typen handelt PAM-Konten in einem Unternehmen:

  1. Notfallkonten : Geben Sie Benutzern im Notfall Administratorzugriff auf sichere Systeme. Der Zugriff auf diese Konten erfordert aus Sicherheitsgründen die Genehmigung des IT-Managements, es handelt sich in der Regel um einen manuellen Prozess, bei dem keine Sicherheitsmaßnahmen getroffen werden.
  2. Lokale Administratorkonten : Sind freigegebene Konten, die nur Administratorzugriff auf den lokalen Host oder die lokale Sitzung gewähren. Diese lokalen Konten routinemäßig von den IT-Mitarbeitern für die Wartung auf Workstations Zwecke verwendet und auch Server, Netzwerkgeräte, Server Mainframes und andere interne Systeme. In der Vergangenheit hat sich gezeigt, dass IT-Experten Kennwörter zur Vereinfachung der Verwendung unternehmensweit wiederverwenden müssen. Dieses gemeinsame Kennwort wird manchmal auf Tausenden von Servern und Diensten verwendet und ist ein Ziel, das Advanced Persistent Threats bekanntermaßen ausnutzt.
  3. Anwendungskonten : Diese Konten werden von Anwendungen verwendet, um auf Datenbanken zuzugreifen, Cron-Jobs oder Skripte auszuführen oder Zugriff auf andere Anwendungen zu gewähren. Diese privilegierten Konten haben normalerweise Zugriff auf sensible kritische Informationen, die sich in Anwendungen und Datenbanken befinden, z. B. Zapier Integrated Accounts. Kennwörter für diese Konten werden häufig eingebettet und in Nur-Text-Dateien gespeichert, eine Sicherheitsanfälligkeit, die über mehrere Kanäle und Server kopiert wird, um einen ererbten Fehler für Anwendungen bereitzustellen. Diese Sicherheitsanfälligkeit ist bekannt und wird von Advance Persistent Threats (APT) angegriffen .
  4. Active Directory- oder Windows-Domänendienstkonto : Sind eine Herausforderung für die Sicherheit Gelinde gesagt, Kennwortänderungen können noch schwieriger sein, da sie eine Synchronisierung über mehrere Ökosysteme und Anwendungen hinweg erfordern . Diese Herausforderung führt häufig dazu, dass die Kennwörter für Anwendungskonten selten geändert werden, um eine Zersiedelung des Verzeichnisses zu vermeiden, wodurch ein Single Point of Failure in einem kritischen System wie Active Directory entsteht.Dienstkonten : Sind lokale oder Domänenkonten, die von einer Anwendung oder einem Dienst zur Interaktion mit dem Betriebssystem verwendet werden. In einigen Fällen verfügen diese Dienstkonten über Administratorrechte für Domänen, abhängig von den Anforderungen der Anwendung, für die sie verwendet werden.
  5. Domänenadministratorkonten : Superadministratoren, die privilegierten Zugriff auf alle Workstations und Server innerhalb der Organisationsdomäne haben und den umfangreichsten Zugriff im gesamten Netzwerk bieten. Mit der vollständigen Kontrolle über alle Domänencontroller und der Möglichkeit, die Mitgliedschaft jedes Administratorkontos innerhalb der Domäne zu ändern, stellen sie eine ständige Bedrohung für Organisationen dar und werden häufig von Hackern angegriffen.
  6. Privilegierte Benutzerkonten : Sind Benutzer, denen Administratorrechte für Systeme gewährt werden. Privilegierte Benutzerkonten sind eine der häufigsten Formen des Kontozugriffs, die in einer Unternehmensdomäne gewährt werden, sodass Benutzer Administratorrechte beispielsweise auf ihren lokalen Desktops oder auf den von ihnen verwalteten Systemen haben. Oft haben diese Konten eindeutige und komplexe Passwörter, sind aber meistens nur durch Passwörter geschützt.

Erfahren Sie mehr darüber, wie Sie Ihre PAM-Benutzer schützen können

PAM-Multifaktor-Authentifizierung

Für Unternehmen, die eine PAM-Lösung betreiben, ist es an der Zeit, die richtige Plattform für den Zugriff auf diese Lösung zu wählen, die privilegierte Konten schützt.

Eine Multi-Faktor-Authentifizierungslösung (MFA) ist ein Muss. Ein kürzlich erschienenes Gartner-Forschungspapier kam zu dem Schluss: „CISOs sollten mindestens eine obligatorische Multifaktor-Authentifizierung (MFA) für alle Administratoren einführen.“

Die Wahl einer passwortfreien High Assurance-Lösung bietet mehr als sichere Authentifizierungssysteme. Außerdem entfallen die Kosten für Kennwörter wie Helpdesk-Anrufe und Kennwortrücksetzungen. Darüber hinaus bringt die passwortlose Nutzung die Benutzererfahrung (UX) auf eine neue Ebene, indem der Authentifizierungsprozess rationalisiert wird. Kein Speichern und Speichern von Anmeldeinformationen mehr und kein Mitführen zusätzlicher Geräte zur Überprüfung mehr.

Den ganzen Artikel lesen – Privilegierte Benutzer sind privilegierte Ziele

Geheime CyberArk-Authentifizierungslösung mit doppeltem Zugriff

Was bedeutet privilegierter Zugriff?

Privilegierter Zugriff, bezieht sich auf den Zugriff auf ein System (On-Premise oder Cloud), das über dem Benchmark liegt. Organisationen haben unterschiedliche Systemebenen, je nach Risiko, das mit der Verletzung / dem Missbrauch des Systems verbunden ist.Privilegierte Zugriffskonten sind Benutzer, die Zugriff auf systemkritische Ressourcen haben und daher geschützt und überwacht werden müssen.

Welche Probleme löst PAM?

PAM hilft Kunden dabei, ihre privilegierten Benutzerkonten zu sichern und zu kontrollieren, um eine bessere Sicherheit und Governance zu gewährleisten und einige Vorschriften einzuhalten.

Was ist der Unterschied zwischen Privileged Identity Management und Privileged Access Management?

Privileged Identity Management (PIM) und Privileged Access Management (PAM) werden häufig synonym verwendet und bedeuten dasselbe – Sichern, Steuern, Verwalten und Überwachen des privilegierten Zugriffs auf kritische Assets.

Wie funktioniert PAM?

PAM-Lösungen nehmen privilegierte Kontoanmeldeinformationen – d. H. Die Administratorkonten – und legen sie in einem sicheren Repository ab – einem Tresor. Sobald sie sich im Tresor befinden, müssen Systemadministratoren das PAM-System durchlaufen, um auf die Anmeldeinformationen zuzugreifen. Wenn ein Berechtigungsnachweis wieder eingecheckt wird, wird er zurückgesetzt, um sicherzustellen, dass Administratoren das PAM-System das nächste Mal durchlaufen müssen, wenn sie einen Berechtigungsnachweis verwenden möchten.

Nutzt PAM Funktionen in AD DS?

Im Allgemeinen benötigt PAM kein AD DS. Bei der Bereitstellung mit AD besteht der Zweck von PAM darin, die Kontrolle über eine kompromittierte Active Directory-Umgebung wiederherzustellen, indem eine isolierte, hochsichere Umgebung für Anmeldeinformationen für privilegierte Konten verwaltet wird.

PAM kann für die Authentifizierung und Autorisierung von Domänenkonten in AD DS integriert werden.

Welche Vorteile bietet PAM?

PAM schafft eine isolierte, hochsichere und streng kontrollierte Umgebung zum Speichern privilegierter Anmeldeinformationen und zum Steuern des Zugriffs darauf. Es gewährleistet auch eine granulare Nutzungsverfolgung für privilegierte Konten (z. b. Administratorkonten), bei denen es sich in der Regel um freigegebene Konten handelt.

Was ist Privileged Session Manager?

Privilegierte Benutzersitzungen, schützt Zielsysteme, indem der Zugriff ohne Offenlegung sensibler Anmeldeinformationen über einen sicheren Jump-Server (gesicherter administrativer Host) ermöglicht wird, Überwacht und zeichnet privilegierte Sitzungen auf, um Auditanforderungen zu erfüllen und verdächtige privilegierte Sitzungen in Echtzeit zu stoppen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.