Privileged Access Management: Best Practices

Privileged Access Management (PAM) bildet beim Thema IT-Sicherheit mittlerweile eine wichtige Grundlage für Unternehmen. Perimeter-basierte Ansätze alleine erweisen sich als nicht mehr zeitgemäß.

Ein Sicherheitseinbruch mit Datenverlust kostet im Schnitt 3.8 Million US-Dollar.

In der Tat sollte PAM den ersten Schritt beim Aufbau einer Sicherheitsstrategie darstellen. Dadurch schaffen IT-Abteilungen Strukturen, um Transparenz und Übersicht über Systeme zu gewinnen.

Beim Einsatz einer PAM-Lösung sollte man aber einige Best Practices beachten.

PAM liefert folgende Vorteile:

  • Verwaltung und Erkennung aller Aktionen von Nutzern mit erhöhter Sicherheitsfreigabe
  • Absicherung von Passwörtern mit Zugriffen auf Zielgeräte durch einen zentralisierten Passwort Vault
  • Klare Einsicht hinsichtlich Zugriffsrechten zu Netzwerken und sensiblen Assets
  • Vereinfachtes Patching durch verbesserte Übersicht
  • Einführung und Durchsetzung von granularen Policies
  • Zentrale Verwaltung und Übersicht über Aktivitäten von Dienstleistern und deren Zugriffsrechte
  • Sichern Sie Fernzugriffe durch klare Regeln, die automatisierte Authentifizierung und Sperrung von Zugangsrechten nach Zeitvorgabe
  • Logging aller Sessions bei Zugriff durch einen Service Provider
  • Echtzeit-Einblick in Sessions
  • Erstellung detaillierter Audits mithilfe von Metadaten und Erstellung von Context-basierten Reports
  • Mitschneiden von User-Sessions nach Abstimmung für kritische Bereiche

Privileged Access Management Best Practices: Was gibt es zu tun?

Risikobereiche bestimmen und festlegen

Zuerst sollte man alle Privilegierten Accounts bestimmen. Dies ist die Grundlage, um Risikoherde festzulegen.

Zuerst sollten Organisationen den aktuellen Zustand ihrer Infrastruktur bestimmen

In der Regel kann lassen sich nicht alle Systeme direkt in eine PAM-Lösung integrieren – zumindest nicht auf einen Schlag. Daher sollten die kritischsten Systeme priorisiert werden.

Gezielt auf geteilte Accounts und Passwörter eingehen

Das Teilen von Zugängen und Kennwörtern gehört in vielen Unternehmen zum Alltag. Leider birgt dies ein zusätzliches Sicherheitsrisiko, da es die Angriffsoberfläche deutlich vergrößert.

Geteilte Passwörter und Zugänge bedeuten ein Sicherheitsrisiko und sind nicht empfehlenswert

PAM ist eine einfache Lösung, um dieses Problem zu beheben. Nutzer melden sich über ihr lokales System oder den Admin-Account an, ohne ein Rootpasswort einzugeben. Der Zugriff erfolgt über die WALLIX Bastion, wo das Kennwort sicher verschlüsselt ist.

Nächster Schritt: Zugangsrechte

Ohne klaren Übersicht über die Freigaben, ist es sehr schwierig, Informationen vor ungewolltem Zugriff zu schützen. Daher gilt es, nach einer effizienten Lösung zu suchen. Angestellte, Partner und Dienstleister kommen und gehen. Die Freischaltung und Sperrung ihrer Konten muss entsprechend granular und flexibel sein, um die auf diese Tatsache reagieren zu können. Ansonsten können ehemalige Mitarbeiter beispielsweise ihre noch aktiven Zugänge missbrauchen oder es kommt zu unbewussten Mitbenutzungen.

Zugriffsrechte sollten so schlank wie möglich sein und nicht unnötig ausgeweitet werden

Dies geht über Vertrauen hinaus: Nicht mehr gebrauchte Accounts stellen immer ein Risiko dar. Durch ein grundlegendes Schlankheitsprinzip lassen sich Ressourcen einsparen. Oftmals ist dies sogar Teil von Compliance-Vorgaben.

Sicherer Zugang = einziger Zugang

Für umfassende Sicherheit braucht es eine zentrale Schnittstelle, die alle Zugänge über die gesamte Infrastruktur verwaltet. Andere Fernzugriffsmöglichkeiten müssen geschlossen werden. Dadurch garantiert die PAM-Lösung umfassende Sicherheit

Offene Kanäle außerhalb der PAM-Lösung sind offene Türen für Angreifer und sabotieren die Sicherheitsarchitektur

Ständige Übersicht

Kein Security-Team kann immer und überall alles umgehend erkennen. Allerdings erscheint es sinnvoll, im Falle eines Breaches die Vorfälle Schritt für Schritt analysieren zu können.

Was sind privilegierte Zugänge und wie sieht ein mögliches Management derer aus?

„Privileged Access Management” oder „Privileged Account Management” (PAM) bezeichnet Sicherheitslösungen, die genau solche Konten mit erhöhter Sicherheitsfreigabe schützen. Manchmal wird auch von Privileged Session Management gesprochen – im Grunde geht es aber bei allen Begriffen um den Schutz vor dem bewussten oder unbewussten Missbrauch privilegierter Benutzerrechte.

PAM bietet eine Lösung, sämtliche Nutzer mit entsprechenden Freigaben einfach zu verwalten und Policies entsprechend durchzusetzen:

  • Echtzeit-Monitoring von Zugriffen mit der Möglichkeit zur Verfolgung und Terminierung von verdächtigem Verhalten
  • Granulare Freigabe für genau abgestimmte Netzwerksegmente und Systeme für einzelne User
  • Zeitliche Planung von Freigaben und Limitierung Zugriffsrechten
  • Zentrale und direkte Verwaltung über alle vernetzen Systeme hinweg
  • Erstellung von präzisen Audit-Trails

Wie sieht die richtige PAM-Lösung aus?

Eine umfassende PAM-Lösung sollte aus mindestens drei Modulen bestehen: einem Access Manager, einer Passwortsicherung und einem Session Manager. Dazu sollte die Lösung leicht installierbar und integrierbar sein. Wallix hat eine entsprechen PAM-Lösung entwickelt. Sie arbeitet agentenlos und lässt sich besonders leicht in bestehende Netzwerke und Systeme integrieren.