Schützen Sie Ihr Unternehmen vor Cyberangriffen und ... · Leadership Compass: Privilege...

BerichtvonKuppingerCole

WHITEPAPER vonMartinKuppinger|Oktober2017

SchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenUnternehmensindheutzutageeinerständigenBedrohungausgesetzt.BenutzerkontenmithohenBerechtigungsstufensinddabeidasHauptzielderAngreifer,dasiemithilfesolcherKontendiemeisten

DatenstehlenundsodengrößtmöglichenSchadenanrichtenkönnen.WährenddieZahlexternerAngriffestetigsteigt,bleibendieinternenAngriffeweitestgehendaufeinemähnlichhohenNiveau–PerimetersicherheitalleinbietetkeinenausreichendenSchutzmehr.DamitwirdumfassendesPrivilegeManagementfürUnternehmenzumMuss.

vonMartinKuppingermk@kuppingercole.comOktober2017

ImAuftragvonThycotic

WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613

Seite2von19

Inhalt

1 Einleitung..................................................................................................................................................3

2 Highlights..................................................................................................................................................4

3 HerausforderungendesPrivilegedAccountManagement.........................................................................5

4 ElementeeinerPrivilegedAccountManagement-Lösung........................................................................11

5 DerPrivilegedAccountManagement-AnsatzvonThycotic......................................................................15

6 MaßnahmenplanfürPrivilegedAccountManagement...........................................................................16

7 Copyright................................................................................................................................................17

Abbildungsverzeichnis

Abb.1:BeimPrivilegedAccountManagementgehtesnichtnurumgemeinsamgenutzteAccounts......................6

Abb.2:EsgibtweitmehrprivilegierteAccountsalsvermutet–undzwaraufallenEbeneneinerIT-Infrastruktur..8

Abb.3:DerZyklusdesPrivilegedAccountManagements.....................................................................................10

Abb.4:ElementedesPrivilegedAccountManagement.........................................................................................12

Abb.5:ThycoticvereintumfassendeFeaturesmiteinerbenutzerfreundlichenOberfläche..................................14

RelevanteRessourcen:

LeadershipCompass:PrivilegeManagement–72330

Snapshot:ThycoticSecretServer–70633

VendorReport:Thycotic–71112

Seite3von19

1 Einleitung

PrivilegedAccountManagementistheutzutageinUnternehmenunverzichtbar.InterneAngreifer,

dieihreBerechtigungenmissbrauchen,undexterneAngreifer,dieinterneAccountsmiterweitertenBerechtigungenhacken,stellenfürjedesUnternehmeneingroßesRisikodar.DieRisikenreichen

vomDiebstahlvertraulicherInformationenundgeistigenEigentumsbishinzuAngriffen,dieTeilederIT-InfrastrukturaußerBetriebsetzen.AngesichtsvonSmartManufacturingundderzunehmendenVernetzunginsämtlichenBereichenwirddieZahlanAngriffszielen,Angriffspunkten

undHackernimmerweiteransteigen.

BeimPrivilegedAccountManagementgehtesumweitmehralsdiereineVerwaltungeiniger

Administrator-undgemeinsamgenutzterAccountsineinerspeziellenSystemumgebung,wieetwaeinemLinux-oderWindows-Server.VielmehrdecktPrivilegedAccountManagementsämtlicheSystemeundeineVielzahlanAccounttypenab.PrivilegedAccountManagementbeginntbeim

EndgerätunderstrecktsichaufServer,AnwendungenundNetzwerkgeräte.SomitwerdennichtnurLösungenmitumfangreichenFunktionenbenötigt,sondernKonzepte,diefüralle

UnternehmenstypenundeinestetigwachsendeAnzahlanBenutzerngeeignetsind.

PrivilegedAccountManagementzähltheutzutagezudenwichtigstenMaßnahmenzurVerringerungvonSicherheitsrisikenfürIhreDatenundzumSchutzvorCyberattacken.DazumussmandieAufgabenundHerausforderungendesPrivilegedAccountManagementsverstehenundeinenMaßnahmenplanerstellen,dernebentechnischenauchorganisatorischeAspekteberücksichtigtunddengesamtenZyklusdesPrivilegedAccountManagementsabdeckt.ZudemsindneueTechnologienwiePrivilegedBehaviorAnalytics,AnomalyDetectionoderEndpointPrivilegeManagementerforderlich,umEndgerätebesserzu

schützen–schließlichsindsolcheGerätedasbeliebtesteAngriffszielvonHackern.IndiesemWhitepapergehtesumdieAufgabenundHerausforderungensowiedenZyklusdesPrivilegedAccountManagements.AußerdemwerdenauchdiewichtigstenElementeeinesMaßnahmenplansfürPrivilegedAccountManagementsnähererläutert.

MitderbewährtenSecretServer-LösungunddenneuenLösungenPrivilegedBehaviorAnalyticsundEndpointPrivilegedAccessSecuritySuitezähltThycoticzudenführendenAnbieternvonPrivilegedAccountManagement-Lösungen.DasProduktportfoliokonzentriertsichaufschnelleImplementierungundBenutzerfreundlichkeitunddeckteineumfassendeReihevonFunktionenaufUnternehmensebeneab.

Seite4von19

2 Highlights

• HerausforderungendesPrivilegedAccountManagement:ArtenvonAngreifern,Artenvon

Accounts,VorgehensweisederAngreifer

• ZyklusdesPrivilegedAccountManagement:BerücksichtigungallerHerausforderungen,auchjenseitsvonInsellösungen

• ElementevonPrivilegedAccountManagement-Lösungen

• ThycoticSecretServer:Schlankes,schnelleinsatzbereites,umfassendesundunternehmensgerechtesToolfürPrivilegedAccountManagement

• MaßnahmenplanfürPrivilegedAccountManagement

Seite5von19

3HerausforderungendesPrivilegeAccountManagement

UnternehmensindverstärktAngriffenvonsowohlinternenalsauchexternenHackernausgesetzt.Zu

denprimärenAngriffszielenzählenprivilegierteAccounts,d.h.AccountsmiterhöhtenBerechtigungsstufen,dieweitüberdievongemeinsamgenutztenadministrativenAccounts

hinausgehen.SieermöglichenbeispielsweiseumfangreichereAngriffemitgrößerempotenziellemSchadenundbietenZugriffaufmehrDaten.DiemeistenUnternehmenkennen,verwaltenundschützendieseAccounts.VielzuvieledieserAngriffebleibengänzlichverborgenoderwerdenzuspätfestgestellt,

sodassHackerihreAngriffeüberlangeZeiträumehinwegdurchführenkönnen.

EsisteingefährlicherIrrglaube,einfachdavonauszugehen,dassfürdaseigeneUnternehmenkeineGefahrdurchHackerbesteht.Tatsacheist,dassjedeseinzelnevernetzteSystemheutzutagezueinem

Zielwerdenkönnte.SobaldeinsolchesSystemdirektoderindirektmitdemInternetverbundenwird,stellteseinpotenziellesAngriffszieldar.HackerführenpermanentautomatisierteAngriffedurch,umentwederdirektMalwareindieSystemeeinzuschleusenoderZugangspunktezudenNetzwerken

auszuloten,umumfangreichereAngriffedurchführenzukönnen.ZudemnutzenHackerspezielle„Computer-Suchmaschinen“wiebeispielsweiseShodan,umAngriffszieleausfindigzumachen.KleinebismittlereUnternehmen,auchinnichtkritischenBranchen,sindnichtnurpotenzielleAngriffszielefür

Blackmailing,RansomwareundanderenBedrohungen,sondernkönnenauchzumSprungbrettfürAngriffeaufandereUnternehmenwerden.

InterneBedrohungensindnichtzuunterschätzen

AngriffewerdensowohlvoninternenalsauchvonexternenHackernausgeführt.WährendderFokuszwarhauptsächlichaufexternenCyberangriffenliegt,zeichnetsichinderRealitätjedocheinetwasanderesBildab.SoistdieAnzahlinternerAngriffeindenletztenJahrennichtnuraufeinemhohen

Niveaugeblieben,sonderneskamenauchzahlreichebedeutendeVorfälleansTageslicht,indenenesinternenAngreiferngelungenist,DatenausdemUnternehmenherauszuschleusen.DerDiebstahlvonfürdieSteuerfahndungrelevantenDatenzuSchweizerKonten,WikileaksoderdieEnthüllungenvon

EdwardSnowden–alldieseAngriffegingenvonInsidernaus.EswäreeinFehler,dasvonexternenHackernausgehendeRisikozuunterschätzen–allerdingsdürfenauchdievoninternenMitarbeiternausgehendenBedrohungennichtaußerAchtgelassenwerden.

DasHauptzielausgeklügelterexternerAngriffesindinterneAccountsmithohenBerechtigungsstufen.InterneAngreiferhabeninderRegelschonZugriffaufderartigeAccountsoderschaffenes,dieBerechtigungenihrereigenenAccountszuerweitern.LetztlichhabenessowohlinternealsauchexterneHackeraufeinunddasselbeZielabgesehen,nämlichprivilegierteAccountszu„kapern“,umsoihreAngriffeerfolgreichdurchführenzukönnen.

EsgehtummehralsnurdenRoot-Account

PrivilegedAccountManagementumfasstsehrvielmehralsweithinvermutetwird.EsgehtummehralsdieVerwaltungvonRoot-AccountsaufUnix-oderLinux-SystemenodervonAdmin-AccountsaufWindows-Systemen.EsgehtwederausschließlichumAdministrator-AccountsnochumgemeinsamgenutzteAccounts.PAM-LösungendeckeneineVielzahlanAccountsinallenSystemenundDiensteninderIT-Umgebungab–unddasnichtnurimlokalen

Unternehmensnetzwerk,sondernauchinderCloud.

Seite6von19

Wieerwähnt,beschränktsichPrivilegedAccountManagementnichtausschließlichaufgemeinsam

genutzteAccounts.MitdergemeinsamenNutzungvonAccountsgehtzwareinhohesSicherheitsrisikoeinher,beimPrivilegedAccountManagementgehtesaberummehr.InAbbildung1werdendiebeidenHauptdimensionenvonPrivilegedAccountManagementdargestellt.Wieaufderx-Achsezusehen,ist

dieVerwaltunggemeinsamgenutzterAccountseinewichtigeAufgabe.DerrichtigeUmgangmitprivilegiertenAccountsstelltjedochebenfallseineHerausforderungdar.HierzugehöreninderRegeleinzelneAccounts,dieeinemspezifischenBenutzerzugewiesenwerden.DieseAccountskönnenjedoch

beispielsweisevonAngreifernübernommenoderzurDurchführungvonAngriffengenutztwerden.

BeimPrivilegedAccountManagementgehtesummehralsgemeinsamgenutzteAccounts

Abb.1:BeimPrivilegedAccountManagementgehtesummehralsgemeinsamgenutzteAccountsErhöhtesRisikoSessionManagementStandardpersönlichPrivilegeManagementgemeinsamgenutztSAPPoweruUserWindows-BedienerStandard-BenutzeraccountRootFunktionaleAccounts

NebenderzunehmendenBedeutungvonMSPs(ManagedServiceProviders)zähltderWechselvoneinerklarabgegrenztenundhauptsächlichinternenIT-InfrastrukturhinzuCloud-DienstenzueinerderwichtigstenHerausforderungenimBereichPrivilegedAccountManagement.BeideEntwicklungenziehenneueHerausforderungenfürdieZugriffsverwaltungvonBenutzernmithohenBerechtigungsstufennachsich.

Seite7von19

EinerseitsgibtesbeivielenCloud-DienstenkeinausgereiftesKonzeptfüradministrativeAccountsundderenRollen.DerZugriffübergemeinsamgenutzteAccountsfürprivilegierte,administrativeTätigkeitenistdeshalbbeivielendieserDienstedieNorm.

AndererseitsverlassensichimmermehrUnternehmenaufMSPs,wennesdarumgeht,TeileihrerlokalenInfrastrukturundihrerCloud-Dienstezuverwalten.DieseDienstanbieterführenprivilegierteAktionendurchundgreifendabeiinvielenFällenaufgemeinsamgenutzteAccountsodersogarauf

einzelneAccountszurück.DieseAccountswerdendabeivonmehrerenBenutzerndesMSPverwendet.ObdurchKonfigurationdesZugriffsoderdurcheineentsprechendeRichtlinie–injedemFallsindseitensdesKundenMaßnahmenerforderlich.MithilfevonPrivilegedAccountManagement

undinsbesondereSessionManagement-FunktionenkönnendieRisikensolcherSzenariengesenktwerden.

EinhäufigunterschätzterVorteildesPrivilegedAccountManagementsbestehtdarin,dassumfassendeSystemeundeineVielzahlanAccountsabgedecktwerden–Netzwerkkomponenten,Host-Betriebssysteme,Hypervisoren,Gast-BetriebssystemesowiesämtlicheAnwendungsebenen.AberauchSystemaccountsinClient-SystemenunddieverschiedenenBenutzerundAdministratoreninCloud-UmgebungengehörenzumUmfangvonPrivilegedAccountManagement.

EinenbesonderenStellenwertnehmendabeitechnischeoderfunktionaleBenutzeraccountsein.SiesinddasperfekteBeispieldafür,umprivilegierteAccountsauszweiunterschiedlichenBlickwinkelnzu

betrachten.EinerseitshandeltessichinderRegelumsowohlgemeinsamgenutztealsauchumprivilegierteAccounts,dasieübererhöhteBerechtigungenverfügen.LetztereshängteinfachmitderArtderAccountszusammen,denndieSystemeführenüberdieseAktivitätenfürvieleBenutzeraus.

SomitmüssendieAccountsmitsehrumfangreichenRechtenfüralldieseBenutzerausgestattetsein.FunktionaleAccountsaufderanderenSeitewerden,wennüberhaupt,nuringeringemAusmaßverwaltet.

Seite8von19

Abb.2:EsgibtweitmehrprivilegierteAccountsalsvermutet–undzwaraufallenEbeneneinerIT-Infrastruktur.DiegelbenDreieckezeigendasVerhältniszwischengemeinsamgenutztenundEinzelaccountsan.ClientNetzwerkkomponentenWeb-ServerAnwendungsserver/Backend-SystemDatenbankserverGast-BetriebssystemHypervisorHost-BetriebssystemGemeinsamgenutzteAccountsEinzelaccountsÜblicheVerteilungderAccount-Typen

AlleintegriertenAccountsmüssenidentifiziertwerden.

LokaleSystem-undService-AccountssindeinweiteresBeispielfürweitgehendvernachlässigte,jedoch

sensibleAccounts.DiesesindeinhäufigesZielvonZero-Day-ExploitsoderwerdeneinfachaufgrundderAnnahmeausgenutzt,dassvieleSystemenichtausreichendverwaltenundnurseltengepatchtwerden.

Einfachausgedrücktlässtsichfesthalten,dassesbeimPrivilegedAccountManagementumweitmehrgehtalsnureinpaarAdministrator-Accounts.VielmehrgehtumRisiken,diealleSystemeundeineVielzahlanBenutzeraccountsbetreffen.

AusdiesemGrundrückenauchEndgeräteimmermehrinsZentrumderAufmerksamkeit.Aufallen

EndgerätengibtesprivilegierteBenutzeraccounts,diedenZugriffaufSystemeinstellungenundweiterevertraulicheInformationenundKonfigurationensteuern.DadieEndgeräteeinwichtigerAngriffspunktvonHackernsind,wirdesimmerwichtiger,dieseangemessenzuschützen.DerSchwerpunktdes

PrivilegeManagementsolltesichalsoaufdenBereichdesEndpointPrivilegeManagementsrichten,unterBerücksichtigungspeziellerAspektedesprivilegiertenZugriffsaufdieseSysteme.

Seite9von19

WenndieHackerbereitsdrinsind

PerimetersicherheitgiltweithinalseineguteersteVerteidigungslinie–sielöstjedochnichtdie

HerausforderungendesPrivilegedAccountManagement.Was,wennsichderAngreiferbereitsZugriffaufIhrNetzwerkverschaffthat?BeiinternenAngreifernistdiestrotzausgeklügelterPerimetersicherheitderFall.InterneHackerwerdenweitgehendvernachlässigtundviele

UnternehmenkonzentrierensichnachwievoraufdiePerimetersicherheit.AllerdingskönneninterneAngriffemassiveSchädenanrichten.AngesichtsderzunehmendenMobilität,desCloud-ComputingundderdamiteinhergehendenAuflösungvonPerimeternistesschlichtwegzunehmendunmöglich,

eineeinheitlicheVerteidigungsliniefüreineneinzelnen,insichgeschlossenenPerimeteraufzubauen.WirmüssendenSchutzdesKernseinerIT-Infrastruktursicherstellen.EinwichtigerAspekthierbeiistdieEinschränkungundSteuerungderNutzungvonprivilegiertenAccounts.

IndenletztenJahrenkameineVielzahlvonAngriffenansLicht.Die„AnatomiederAngriffe“lässtsich

immerbesseranalysieren.WährenddieverwendetenAngriffsvektorenvariierenundesfasttäglichneueMöglichkeitenfürZero-Day-Exploitsgibt,basierendiemeistenAngriffeimWesentlichenaufzweiHerangehensweisen.Schwachstellenwerdenausgenutzt,umMalwareinSystemeeinzuschleusenund

diesedirektalsBotnetsoderfürBlackmailing-Angriffeetc.zunutzen.

DerandereAnsatzistunterderBezeichnung„AdvancedPersistentThreats“(APTs)bekannt.ZwarkanndieBezeichnunginFragegestelltwerden,dasKonzeptistjedocheineHerausforderungfürsämtlicheUnternehmenundzeigtauf,warumprivilegierteAccountsunbedingtgeschütztwerdenmüssen.

ExterneHackerversuchen,privilegierteAccountszukapern.

SolcheAngriffebeginnenfastimmermitSocialPhishingoderAngriffen,beidenensogenannteZero-

Day-Exploitsausgenutztwerden–inmanchenFällenwerdendabeiSicherheitslückenausgenutztdiebis„zumTagNull“nichtbekanntwaren.OftmalsgehtesbeidenerstenAngriffenumlokaleSystemaccountsmiterhöhtenBerechtigungenunddiedarauffolgendeAusweitungderBerechtigungsstufen.SobalddieerstenSystemebetroffensind,weitendieAngreiferihrZielausundversuchenso,sichZugriffaufAccountsmiterweitertenBerechtigungenzuverschaffen.DasZieldabeiist,dieKontrolleüberprivilegierteAccountszuübernehmen.DiesegehacktenAccountswerdendannfürdenAngriffverwendet;dieDatenwerdenzurückandieentferntenServerübertragen.Voneinigen

dieserAngriffeweißman,dasssieübermehrereMonateodersogarüberJahrehinwegunentdecktgebliebensind.Eswärenaivzuglauben,dassalleAngriffeentdecktwerden.

Aberunabhängigdavon,umwelcheArtvonAngriffessichhandelt–privilegierteAccountsstehenimMittelpunktdesInteressesderAngreifer–sowohlinterneralsauchexterner.SomitistderangemesseneSchutzdieserAccountssowiedieErkennungundVermeidungvonMissbraucheinunverzichtbarerBestandteileinerjedenStrategiezurVereitelungvonCyberangriffen.

DiewichtigstenHerausforderungenvonPrivilegedAccountManagement

PrivilegedAccountManagementistfürjedesUnternehmeneineAufgabeundHerausforderung.BeiderEinführungoderErweiterungeinesPrivilegeManagement-KonzeptsmüssendieUnternehmendengesamten„ZyklusdesPrivilegedAccountManagement“imBlickbehalten.

Seite10von19

• SiemüssendieNotwendigkeitvonPrivilegedAccountManagementvollständigverstehenundnachvollziehenkönnen

• AlleprivilegiertenAccountsinallenSystemenmüssenidentifiziertwerden

• DerZugriffaufprivilegierteAccountsmussgeschütztundderenNutzungeingeschränktwerden

• DieNutzungprivilegierterAccountsmusskontrolliertwerden• AuffälligkeiteninderNutzungprivilegierterAccountsmüssenerkanntwerden,dadieseauf

möglicherweisebetrügerischeAktivitätenhindeuten

• EsmussangemessenundrechtzeitigaufeventuelleBedrohungenreagiertwerden

• PrivilegeManagementmusskontinuierlichverbessertwerden.

Abb.3:DerZyklusvonPrivilegedAccountManagementVerstehenIdentifizierenSchützenÜberwachenErkennenReagierenVerbessern

DiewesentlichenFragen,diesichUnternehmenstellensollten:

• KennenwirallunsereprivilegiertenAccounts?• WerdenallunsereprivilegiertenAccountsausreichendgeschützt?

• WerdenallunsereprivilegiertenAccountsverwaltet?

LautetdieAntwortaufeinedieserFragen„nein“,solltedasUnternehmenumgehenddamitbeginnen,eineStrategiefürPrivilegedAccountManagementzuentwickelnunddieseumzusetzen.

Seite11von19

4 ElementeeinerPrivilegedAccountManagement-Lösung

BeimPrivilegedAccountManagementhandeltessichnichtumeineneinzigentechnischen

Ansatz.FürdiekontinuierlicheVerwaltungvonprivilegiertenAccountsüberdiegesamteLebensdauerunddieBerücksichtigungsämtlicherNutzungsfällebedarfeseinerkoordiniertenundintegriertenImplementierungeinerReihevonFunktionen.

ZwarverwendendieverschiedenenAnbieterzahlreicheunterschiedlicheNamenfürLösungenim

BereichPrivilegedAccountManagement,allerdingsgibtesnureinebegrenzeAnzahlantechnischenKernelementen,dieumfassendePrivilegeManagement-Lösungensicherstellen.

PrivilegeManagementbeginntmitSharedAccountPasswortManagement,beinhaltetjedochnochsehrvielmehr

Seite12von19

WieinAbbildung1dargestellt,umfasstPrivilegedAccountManagementzweiHaupttechnologien:SharedAccountPasswordManagementundSessionManagement.DiesebeideKonzeptesetzensichallerdingsauseinerReihevonFunktionenzusammenundwerdendurchandereTechnologienergänzt.

Abb.4:BausteinevonPrivilegeManagement.ErweiterteFeaturesPrivilegedBehaviorAnalytics&AnomalyDetectionApplicationPrivilegeManagementEndpointPrivilegeManagementKernfunktionenSharedAccountPasswordManagementOne-TimePasswordsAccountScanningPrivilegedSSO...undmehr.SessionManagementÜberwachungForensikAufzeichnung...undmehr.IntegrationenIdentityProvisioning&AccessGovernanceSIEM&SecurityIntelligencePlatformsAdaptiveAuthentication&mehr

BeimSharedAccountPasswordManagementgehtesnichtnurumeinmaligePasswörterfürden

ZugriffaufgemeinsamgenutzteAccounts,sondernauchumSingleSign-On(einmaligesAnmelden)fürmehrereAccounts,dievoneinerbestimmtenPersonregelmäßigverwendetwerden.AußerdemumfasstSharedAccountPasswordManagementdieErkennungundVerwaltungprivilegierterAccounts

ingeteiltenUmgebungen,dieIntegrationmitIdentityProvisioning-LösungenzurVerwaltungderEigentümerschaftgemeinsamgenutzterAccountsundeinenstarkenAuthentifizierungs-SupportfürdenZugriffaufdiePrivilegeManagement-Lösungselbst.

SessionManagementbeinhaltetFunktionenzurÜberwachungundAufzeichnungaktiverSitzungenund

bietetdieMöglichkeit,aktiv inSitzungeneinzugreifen.ZudemstellensicheineVielzahlan technischenHerausforderungen.AngefangenbeiderAnalysevonSitzungenübergrafischeBenutzeroberflächenbishinzurBerücksichtigungderDetailskomplexerServerinfrastrukturendurchJump-HostsoderdieVerwaltungvonSSH-KeysfürdieseSitzungen.

AbgesehenvondenKernfunktionengibtesandereauchBereiche,diezunehmendzudenStandardfunktioneneinerPAM-Lösungzählen–bedingtdurchKundenanforderungenundder

Seite13von19

zunehmendenAnzahlanBedrohungen.PrivilegedBehaviorAnalyticsundAnomalyDetectionzählen

beispielsweisezudenBereichen,dieverstärktindenMittelpunktrücken.DiesekönnensowohlspeziellaufprivilegierteAccountsundalsauchalleBenutzerimAllgemeinenausgerichtetsein.DiesistinsbesonderebeiAnwendungsfällenvonBedeutung,beidenenesumdieVerwaltungvonCloud-

ServicesoderdieVerwaltungdurchMSPsgeht.AberauchinderfrühzeitigenErkennungvonAngriffenspielensolcheLösungeneinewichtigeRolle,dadieseinderRegelmitAuffälligkeitenbeiderNutzungbestimmterprivilegierterAccountsverbundensind.

EineweitereFunktionistApplicationPrivilegeManagement,dassowohldieAuslagerungvonZugangsdateninAnwendungenundCode-Skriptsunterstützt,alsauchZugangsdateninderApplication-to-Application-Kommunikationabsichert.

EndpointPrivilegeManagementzähltebenfallszudenerweitertenunderforderlichenFunktionen.DieseFunktionbietetumfangreichenSupportfürEndgerätesystemeundschränktdenprivilegierten

Zugriffaufdieseein,ohnedabeidieBenutzerinderAusführungihrertäglichenAufgabenzubehindern.

InderRegelwerdendieeinzelnenFunktionendesPrivilegedAccountManagementschrittweise

eingeführtundgleichzeitigentsprechendeRichtlinienundOrganisationsstrukturenfestgelegt.BeiderAuswahlderrichtigenToolsgehtesinsbesonderedarum,dassdieletztendlicheLösungein

ausreichendesMaßanfunktionalerTiefebesitzt.DarüberhinausmussaucheineflexibleIntegrationmitanderenElementenderIT-Infrastrukturgegebensein,beispielsweiseIdentityProvisioning&AccessGovernance,SIEM(SecurityInformationandEventManagement)oderSIP(SecurityIntelligence

Platforms).AußerdemzieltPrivilegeManagementnichtmehrnuraufeinigewenigeBenutzerab,sondernaufstetigwachsendeBenutzerzahlen.AusdiesemGrundmusseineeinfacheEinführungdieserToolssichergestelltsein,vorausgesetztdassAdministratoren,Bedienerund

privilegierteNicht-IT-BenutzerimUnternehmeneinigeFunktionendieserToolsbenutzensollen.

5 DerPrivilegedAccountManagement-AnsatzvonThycotic

ThycoticgehörtzudenführendenAnbieternaufdemMarktfürPrivilegedAccountManagement.Das

ProduktSecretServervereintleistungsstarkeFeaturesmiteinerschnellenEinsatzbereitschaftundeinerleichtzuverwendendenSchnittstelle.PrivilegeManagementwirddabeialsgroßflächigeMaßnahmeverstanden,diesichnichtalleinaufeinigeAdministratorenbeschränkt.

DasUS-amerikanischeUnternehmenThycoticzähltzudenführendenAnbieternaufdemMarktfürPrivilegedAccountManagement-Lösungen.DasUnternehmenistinternationalexpandiertundbetreibt

heuteBürosinLondon,VereinigtesKönigreich,undSydney,Australien.ThycotickannaufeinerfolgreichesNetzwerkanglobalenPartnernzurückgreifen.ZuBeginnbestanddasPortfolioausLösungenimBereichWindows-Server-Management.DaraufaufbauendhatsichSecretServer,das

SchlüsselproduktvonThycotic,zueinerumfassendenPrivilegeManagement-LösungfüreineVielzahlanZielsystemenentwickelt.ZwarläuftdasProduktnochimmeraufWindows-ServernundnutztdieFunktionalitätenderMicrosoftServer-Plattform,esunterstütztaberaucheineReihevonweiteren

Zielsystemen,einschließlichNetzwerkgeräte,Unix,LinuxsowieHypervisoren.ZudemhatThycoticseinProduktportfolioumEndpointPrivilegeManagementerweitert,umdieverschiedenenEndgerätesystemeinNetzwerkenvollumfänglichabdeckenzukönnen.ThycoticverfügtübereinecloudbasierteAnalyse-

Seite14von19

Funktion,diedasVerhaltenvonBenutzernundprivilegiertenAccountsinderSecretServer-Umgebung

analysiertundbeiEintretenbestimmterkonfigurierbarerBedingungenMaßnahmenergreift.DiePrivilegedAccountManagement-LösungenvonThycotickönnenOn-Premise,viaCloudoderalsManagedService(MSP)bereitgestelltwerden.

MitdemPrivilegeReadyProgramstelltThycoticsicher,dasssichdieSecretServer-LösungenumfassendinbestehendeIT-Sicherheitslösungenintegrierenlassen.Inmehrals30Lieferantenintegrationen,darunterIdentity-andGovernance-Lösungen,SIEMsundSecurityIntelligence-PlattformensowieAdaptiveAuthentication,istesThycoticgelungen,einfacheundeffizienteLösungenfürdieautomatisierteVerwaltungunddenSchutzvonZugangsdatenumzusetzen.

Abb.5:ThycoticvereintumfassendeFeaturesmiteinerbenutzerfreundlichenOberfläche.

SchlankeundschnelleinsetzbareLösungensindbeiThycoticTeildesUnternehmensverständnisses

ImGegensatzzuvielenanderenAnbieternhatsichThycoticvonBeginnandaraufkonzentriert,eineschnellundeinfacheeinzurichtendeLösungmiteinerbenutzerfreundlichenOberflächezuentwickeln.EinGrundhierfüristdasVertriebsmodell,dasThycoticanfangseingeführthat.AnstelledesbranchenüblichenVertriebswegsüberunternehmenseigeneVertriebsteamsoderVertriebspartnerhat

sichdasUnternehmenaufdendirektenTelefon-undInternetvertriebkonzentriert.IneinemsolchenModellbrauchteseinenschlankenAnsatzimHinblickaufprofessionelleDienstleistungsangeboteundSupport.ImZugedesWandelsvonPrivilegedAccountManagementvoneinemreinadministrativenToolfüreinesehrbegrenzteBenutzeranzahlhinzueinemsehrvielbreiterenBereichvonAnwendungsfällenprofitiertThycoticvondieserschlankenAusrichtung.EinweitererwichtigerPunktbestehtdarin,dassPrivilegedAccountManagementauchfürkleineundmittelgroßeUnternehmenleichtanwendbarseinmuss–dennheutzutagekommtnahezukeinUnternehmenmehrohneeinePAM-Lösungaus.

ThycoticsetztdiesesVertriebskonzeptnachwievorfortundergänztdiesesumeinschnellwachsendes

NetzwerkvonglobalenPartnern,zudemaucheinigeweltweittätigeBeratungsunternehmenzählen.DasUnternehmenhataußerdemeineReiheprofessionellerServicepaketeeingeführt,mitderenHilfe

UnternehmendenWertihrerInvestitionmaximierenkönnen.DieseprofessionellenServicessindinderRegelnurvonkurzerDauerundhelfendenBenutzern,schnellzu100%unabhängigzuwerden.

DerschlankeAnsatz(unddiewettbewerbsfähigenPreise)lässtjedochkeinenRückschlussaufden

Funktionsumfangzu.BasierendaufderWindows-UmgebunghatsichSecretServervonThycoticzueinemProduktentwickelt,dasdieAnforderungenvonUnternehmenunterstütztundumfassendenSupportfürglobalverteilteInfrastrukturensowieeinehoheVerfügbarkeitundzuverlässigeAusfallsicherungbietet.

Seite15von19

„UnsereIT-AdministratorenhabengeradeeinmaleinpaarMinutengebraucht,umsichinSecretServereinzuarbeiten–unddieSicherheitunsererDatenhatsichsofortverbessert.MithilfedesToolszurVerwaltungsensiblerAnmeldedatenmüssenwir

unskeineGedankenmehrüberineffizienteMethodenmachen,dieineinemUnternehmenunsererGrößeeinegroßeRollespielenkönnen.“(MichaelBoeglin,

DirektorvonGlobal

Infrastructure,InternationalRescueCommittee)

ThycoticSecretServerunterstütztdieHauptbereichevonPrivilegeManagement,einschließlichShared

AccountPasswordManagement,SessionManagement,BehavioralAnalyticsundApplicationIdentityManagement.DasProduktbieteteinSetangrundlegendenFunktioneninallenBereichen,wobeidie

besonderenStärkenimBereichSharedAccountPasswortManagementliegen.HierunterstütztdieLösungErkennungsfunktionalitäteninWindows-sowieinUnix-undLinux-Systemen.DarüberhinausbietetThycoticSecretServerumfassendenSupportfürverwalteteGeräte.

ZudenbesonderenStärkenzähltdiebreitePaletteanAPIssowiederSupportvonMicrosoftPowerShell.

DadurchkönnenZielsystemeüberbenutzerspezifischePowerShell-Scriptsidentifiziertundverwaltetwerden,wodurchsichspezielleverwalteteGeräteschnellerundeffizienterineinSystemintegrierenlassen.ThycoticSecretServerhatsichsomiterfolgreichvoneinerWindows-basiertenEinstiegslösung

fürPrivilegedAccountManagementhinzueinerUnternehmenslösungentwickelt–undistdabeiimmernochschlankundschnelleinsetzbarwiezuBeginn.

„Wirkönnennurimmerwiederbetonen,wiegutsichSecretServermitanderenLösungenintegrierenlässt.DurchdieVerwendungvonAPIs,Scriptsund

Automatisierungistesjetztsehrvielleichter!“(JoshShoefield,SeniorSystemsEngineerbeiAvaility,einführendes

TechnologieunternehmenfürHITRUST-zertifizierteInformationstechnologienimGesundheitswesen)

ZusätzlichzuEndpointPrivilegeManagementbietetThycoticeinumfangreichesAngebotanFeaturesimBereichPrivilegedBehaviorAnalytics.DadurchwerdendieSessionManagement-Funktionenerweitert

undsowiezusätzlicheFunktionenfürdieErkennungvonbetrügerischemBenutzerverhaltenundexternenAngriffenhinzugefügt.

AusSichtvonKuppingerColeistThycoticSecretServereindeutiginderengerenAuswahl,wennesumLösungenfürPrivilegedAccountManagementgeht.DasProduktistinsbesondereaufgrundderwettbewerbsfähigenPreisgestaltung,derschnellenEinsatzbereitschaftunddeskurzenROIinteressant.

DarüberhinausunterstütztesaucheineVielzahlankomplexenundindividuellenAnwendungsfälleninUnternehmen.

Seite16von19

6 MaßnahmenplanfürPrivilegedAccountManagement

PrivilegedAccountManagementisteineSchlüsselmaßnahmezurVerringerungvonSicherheitsrisiken

sowiezumSchutzvorCyberangriffen.ZusätzlichzurNutzungdesToolsistfürUnternehmensomitaucherforderlich,dieRisikenzuverstehenundpassendeRichtlinienundOrganisationsstrukturenzuentwickeln.

WiebeijederInvestition,istesfüreineGeschäftsleitungvonInteresse,welcheVorteilederEinsatzeiner

PrivilegedAccountManagement-Infrastrukturbietet.WährenddieBedrohungendurchinternewieexterneHackerklaraufderHandliegen,bestehteinwichtigerErfolgsfaktordarin,diekonkretenRisikenzuermittelnundaufzuzeigen,denensicheinUnternehmenaussetzt,wenneskeinePrivilege

Management-Lösungverwendet.DazugehörenDatendiebstahlund-lecks,VerletzungenvonVerträgenmitgroßenKundensowiedieNichteinhaltunggesetzlicherAnforderungen–umnureinigewenigezunennen.AnhandsolcherRisikenlässtsichaufzeigen,wiewichtigeineInvestitioninPrivilege

Managementist–undgleichzeitigkannaufdieseWeiseauchderErfolgeinesPrivilegeManagement-Ansatzesbemessenwerden.

„ImRahmeneinesAuditswurdefestgestellt,dassinunseremUnternehmenkeinePrivilegedAccountManagement-Lösunggenutztwird.Daraufhin

wurdesofortunsereFührungsebenealarmiert.“(CISO,EuropeanConsumerGoodsCompany)

ZusätzlichzurAuswahlundEinführungderbenötigtenToolssindfürPrivilegedAccountManagement

diefolgendenvierHauptelementeerforderlich:

• VorgabenfürPrivilegeManagement,vongoldenenRegelnbishinzukonkretenRichtlinien

• EineOrganisationsstruktur,dieumfassendeAnwendungsfälleimBereichdesRechtemanagementsabdecktundübereinebestimmtetechnischeDomänehinausgeht

• Benutzer,diediePrivilegeManagement-Umgebungverwalten,Ereignisseanalysierenunddarauf

reagieren

• SchnittstellenmitanderenElementenderIT-undinsbesonderederSicherheitsinfrastruktur,z.B.zurweiterenAnalysevonEreignissenoderzurVerknüpfungderZyklengemeinsamgenutzter

AccountsmitdenenvonBenutzern,dievonIdentityProvisioning-Toolsverwaltetwerden

DerinAbbildung3dargestellteZyklusdesPrivilegedAccountManagementsstelltdenAnfangspunkt

füreinenMaßnahmenplandar.DasErgebniseinessolchenPlanssollteeinfunktionalesToolsowie

diedafürnotwendigenElementeumfassen.

Seite17von19

7 Copyright

© 2017 Kuppinger Cole Ltd. Alle Rechte vorbehalten. Die Vervielfältigung und Verbreitung dieser Veröffentlichung ist ohnevorherige schriftliche Zustimmung in jeder Form untersagt. Sämtliche Schlussfolgerungen, Empfehlungen und Prognosenrepräsentieren die ursprüngliche Auffassung von KuppingerCole. Sobald weitere Informationen gesammelt und detailliertereAnalysen durchgeführt werden, können die in diesem Dokument vorgestellten Standpunkte Verbesserungen oder größerenVeränderungen unterliegen. KuppingerCole übernimmt keinerlei Haftung für die Vollständigkeit, Richtigkeit und/oderAngemessenheit dieser Informationen. Auch wenn die Forschungsdokumente von KuppingerCole juristische Belange imZusammenhangmitSicherheitundTechnologieenthalten,bietetKuppingerColekeinejuristischenDiensteoderBeratungen.DieVeröffentlichungendesUnternehmensdürfendementsprechendnichtalssolcheverwendetwerden.KuppingerColeträgtkeineHaftpflicht für Fehler oder Unvollkommenheit der in diesem Dokument enthaltenen Angaben. Sämtliche preisgegebenenMeinungenkönnenohnevorherigeMitteilunggeändertwerden.AlleProdukt-undFirmennamen sindHandelszeichen™odereingetragene®Handelszeichender entsprechendenEigentümer. IhreNutzung impliziert keine Zugehörigkeit zuoderBilligungdurchsie.

DieZukunftderInformationssicherheit–HeuteKuppingerColeversorgtIT-ProfismitherausragendemKnow-howinBezugaufdieDefinitionvonIT-

StrategienundbeiwichtigenEntscheidungsprozessenAlsführendesAnalystenunternehmenbietetKuppingerColeanbieterneutraleInformationenausersterHandan.UnsereDienstleistungenermöglichenesIhnen,ruhigenGewissensdiefürIhrUnternehmennotwendigenEntscheidungenzu

treffen.KuppingerCole,gegründetimJahr2004,isteinführendesAnalystenunternehmenfürInformationssicherheitundIdentitäts-andAccessManagement(IAM)mitSitzinEuropa.KuppingerColestehtfürseineFachkenntnis,seineVordenkerrollesowieeinenanbieterneutralenBlick

aufdieSegmentedesInformationssicherheitsmarktes,wozusowohlIdentitäts-undAccess-Management(IAM),Governance&AuditingTools,Cloud-undVirtualisierungssicherheit,Informationsschutz,mobilesowieSoftwaresicherheit,System-undNetzwerksicherheit,

Sicherheitsüberwachung,Analytics&Reporting,Governance,Organisation&Richtliniengehören.FürweitereInformationenstehenwieIhnenunterclients@kuppingercole.comgernezurVerfügung.

KuppingerColeLtd.SonnenbergerStr.1665193Wiesbaden|Deutschland

Tel.+49(211)237077–0 Fax+49(211)237077–11

www.kuppingercole.com

Schützen Sie Ihr Unternehmen vor Cyberangriffen und ... · Leadership Compass: Privilege...

Documents

Die verschiedenen Arten von Cyberangriffen · 2016-12-13 · zuzugreifen, mit Pop-ups, Toolbars und anderen Arten von Werbung bombardiert. Cyberangriffe – Strategie 2 Cyberkriminelle

Drehbare Teleskoplader - Hald & Grunewald · MRT 2150 PRIVILEGE PLUS Drehbare Teleskoplader. Leistungsvermögen Metrisch Max. Tragkraft 4999 kg Max. Hubhöhe 20.90 m Max. Reichweite

IT‐Security+RechtSecurity - dke.de · Verbesserung der Wid t dfähikit Drastische Eindämmung der Widerstandsfähigkeit gegenüber Cyberangriffen rastischeindämmungder Cyberkriminalität

die verschiedenen arten von cyberangriffen und wie sie ... · cyberangriffen und wie sie sich dagegen wehren können. 2 einleitung ... Aufspüren und Infizieren schwacher netzwerke

Instant snapshot and animation technologyProduktfotos selbst 4 5 Haupteigenschaften Der PackshotCreator ist ein schlüsselfertiges All-in-one-System, welches es selbst Fotolaien erlaubt,

Intraoperative video-rate hemodynamic response assessment ... · Intraoperative video-rate hemodynamic response assessment in human cortex using snapshot hyperspectral optical imaging

die verschiedenen arten von cyberangriffen und wie sie sich … · 2019-09-17 · Cyberkriminelle nutzen verschiedene Arten von Angriffsvektoren und Malware, um Netzwerke zu kompromittieren

eCommerce 2.0 Agiles Cloud-Hosting macht den Unterschied eCommerce_02051… · eCommerce Plattformen sind Cyberangriffen nicht gewachsen Vertrauen und maximale Verfügbarkeit durch

LiDIA Diagnosewerkzeug - Liebherr · ves Bedienkonzept gelegt. Die Snapshot Funktion ermöglicht die einfache Weiterleitung von Diagnosedaten an Mitar-beiter im Kundendienst oder

Sicherung von KVM-virtualisierten Maschinen - … · Einleitung Snapshot-Sicherung Base-SicherungFazit Gliederung 1 Einleitung Sicherungsmethoden Umgebung 2 Snapshot-Sicherung Uberlegungen

Atomic resolution snapshot of Leishmania ribosome

Bekämpfung von Cybercrime - mittelstandsverband-oberhavel.de · Bekämpfung von Cybercrime 13.04.2018 Wie kann ich mich als Unternehmen vor Cyberangriffen schützen? Landeskriminalamt

Monitoring mit Nagios (IPMI-Plugin) · • Level 'User' für Nagios-Abfrage verwenden Privilege Level Beschreibung Callback Niedrigster Privilege Level. Erlaubt nur die Initiierung

Weisungen Lehrplan Sek P … · Workbook Plus oder: New Snapshot Starter ... Sowohl New World wie Snapshot bauen als Lehrmittel der Sekundarstufe I ... Snapshot Pre-intermediate (2

EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN … · 2020-03-29 · Am Lebenszyklus von Cyberangriffen lässt sich erkennen, dass Unternehmen oft zahlreiche ... Zwei Arten von Analysen

Publireportage GLB SICHERT GUTE MITARBEITENDE IN … · 2020. 3. 16. · gehört ein Teleskopstapler Manitou MRT 2540 Privilege Plus, der seit zehn Mona-ten im Einsatz steht. Zur

Cyber Security in Österreichder virtuellen Welt an: 92 Prozent der Unternehmen sind sich der Gefahr von Cyberangriffen bewusst. Die Zeiten, in denen Cyberkriminalität und Cyber Security

Softship AG - SMC Research · Seite 3 Research Studie Softship AG 03. Mai 2017 Snapshot Snapshot Kurzportrait Als Anbieter von Softwareanwendungen für die Schifffahrt trotzt Softship

HIT2012 26.4 - · PDF fileNetApp Snapshot™ Technology Take snapshot 1 Continue writing data – Write data anywhere 7 A B C Snap 1 Blocks on the Disk A

Vortrag zum Masterseminar-GSM - HAW Hamburgubicomp/... · Robert Johns 4 Ein SOC dient der Gefahrenabwehr von Cyberangriffen. Während meiner Arbeit möchte ich mich damit befassen,