PAM-ITSM-Integration: Welche bewährten Praktiken sollten angewandt werden?

Laut Forrester sind 80 % der Sicherheitsverletzungen auf kompromittierte Berechtigungsnachweise für privilegierte Konten zurückzuführen, was erhebliche Auswirkungen auf das Geschäft eines Unternehmens haben kann. Das Risiko, das von diesen Konten ausgeht, kann jedoch durch die Integration eines PAM-Systems (Privileged Access Management) mit einer ITSM-Lösung (Information Technology Service Management) gemindert werden. Durch die Integration dieser beider Technologien wird zum einen das Konzept der Genehmigung beibehalten (um zu verhindern, dass sich irgendjemand bzw. selbst autorisierte Personen ohne Grund auf Rechnern anmeldet), zum anderen gewährleistet es außerdem eine durchgängige Rückverfolgbarkeit von Eingriffen durch das Management. Diese Prinzipien von Zero Trust und Least Privilege in Kombination mit dem ITSM Incident Management System schützen die sensiblen Vermögenswerte des Unternehmens, schließen die Tür für Angriffe und gewährleisten die Einhaltung der Cybersicherheitsvorschriften.

Just-in-Time Incident Management

Privileged Access Management (PAM) ist ein Teilbereich von Identity and Access Management (IAM), der sich ausschließlich auf den Schutz privilegierter Konten und Zugriffe konzentriert. Darüber hinaus ist PAM Teil der allgemeinen Cybersicherheitsstrategie von Unternehmen, indem es alle privilegierten Konten in IT- oder Industrieumgebungen kontrolliert, überwacht, sichert und prüft. Es ermöglicht auch die Nachverfolgung, wer wann auf Ressourcen zugreift, um die Privilegien der Benutzer zu kontrollieren. All dies geschieht durch drei Schlüsselprozesse: Identifizierung, Authentifizierung und Autorisierung.

IT-Service-Management-Tools (ITSM) sind Lösungspakete, die Workflow-Management-Systeme für die Bearbeitung von Vorfällen, Serviceanfragen und/oder Konfigurationsänderungen integrieren. Zu diesen Tools gehört auch eine Datenbank, in der alle Konfigurationen, die auf den Anlagen des Unternehmens eingesetzt werden, aufgelistet und garantiert werden – die Configuration Management DataBase (CMDB).

Diese beiden Lösungen sind also unabhängig voneinander sehr nützlich, aber erst durch ihre enge Integration wird das allgemeine Sicherheitsniveau angehoben. Durch die Integration von PAM und ITSM ist es beispielsweise möglich, Aktionen auf Maschinen zu verfolgen, indem der Zugriff auf ein Ziel direkt über ein Just-in-Time-Ticket gewährt wird. Jedes Mal, wenn ein Mitarbeiter eine Verbindung zu einem Ziel herstellen möchte, muss er seinen Verbindungswunsch begründen, bevor er eine Genehmigung für einen bestimmten Zeitraum erhält. Auf diese Weise wird die Zugangssicherheit verstärkt und durchgängig verfolgt.

Bessere Korrelation von Informationen

Wenn PAM-Lösungen in Verbindung mit IdaaS-Lösungen Identitäten, Zugriff und Passwörter von privilegierten Konten verwalten können, wie behalten Sie dann den Überblick über den Zugriff auf Ziele und Details von Eingriffen?

In vielen Unternehmen ist die Isolierung von ITSM- und PAM-Lösungen zu beobachten. Auf der einen Seite erkennt das ITSM-Tool den Vorfall und listet Anfragen für Eingriffe oder Anfragen zur Erstellung neuer Dienste auf, auf der anderen Seite konzentriert sich die PAM-Lösung auf die Personen, die identifiziert und autorisiert wurden, an diesen Anfragen zu arbeiten.

Der isolierte Betrieb und die fehlende ITSM/PAM-Integration ermöglichen es nicht, Eingriffe zu validieren und zu rechtfertigen, und machen die Analyse nach einem Vorfall aufgrund fehlender Spuren und Beweise komplexer.

Alle in der PAM-Lösung gestellten Anfragen müssen daher mit denen verknüpft werden, die auch in der ITSM-Lösung erfasst und integriert sind. Dank des Zusammenspiels dieser beiden Lösungen werden alle Handlungsanfragen vom ITSM aus gemeldet und können überprüft werden. Diese Politik ermöglicht es, die Fähigkeiten der PAM-Lösung, wie z.B. WALLIX Bastion PAM4ALL, zu nutzen, um Ereignisse zu verfolgen und nicht nur die Personen zu autorisieren, die den Eingriffsbefehl ausführen werden, sondern auch die Personen, die diesen Vorgang autorisiert haben, sowie die Motivation dafür.

Im Falle eines Audits nach einem Vorfall oder eines Compliance-Audits ist es dann möglich, die mit dem Ereignis verbundenen Informationen und die durchgeführten Aktionen über die im ITSM-Tool registrierte Ticketnummer zu korrelieren. Die Prüfer können dann eine Verbindung zu einer ausgeführten Sitzung herstellen und die Gültigkeit (oder auch nicht) der ursprünglichen Anfrage nachvollziehen.

Damit diese Richtlinie wirksam ist, wird daher empfohlen, dass sowohl PAM als auch ITSM über eine synchronisierte Bestandsliste verfügen.

Kohärenz zwischen ITSM, CMDB und PAM: Ein zusätzlicher Schutz

Diese perfekte Synchronisierung zwischen der Configuration Management DataBase des ITSM-Systems und der eingesetzten PAM-Lösung erweist sich bei der Analyse nach einem Vorfall als sehr nützlich, um sich auf Spuren und Beweise zu stützen.

Dies erleichtert die Identifizierung eines betrügerischen Zugriffs auf ein Ziel, insbesondere wenn die Akteure ausgelagert sind. Remote-Sitzungen müssen das gleiche Maß an Kontrolle, Genehmigung, Überwachung und Beaufsichtigung aufweisen wie interne Sitzungen, so dass die Zuordnung der CMDB zu den in der PAM-Lösung angegebenen Zielen einen zusätzlichen Schutz bietet.

Dank des in der PAM-Lösung implementierten und mit der CMDB verknüpften Provisioning ist es dann möglich zu überprüfen, ob ein identifizierter und autorisierter Benutzer tatsächlich versucht, sich mit dem Ziel zu verbinden, das in dem zuvor im ITSM eröffneten Ticket angegeben wurde.

Diese Konsistenz zwischen CMDB, ITSM und PAM kann in verschiedenen Stufen erreicht werden, je nachdem, welchen Integrationsgrad das Unternehmen anstrebt:

Die erste Integrationsstufe kann zwischen dem ITSM Ticketing System und dem PAM4ALL Bastion Genehmigungsworkflow sein. In diesem Fall besteht das Ziel darin, die Verbindung mit Hilfe eines speziellen Skripts herzustellen, das sich automatisch an die verschiedenen Arten von Workflows auf der ITSM-Seite anpassen kann. Da diese nämlich unterschiedlich sein können, ob es sich um die Lösung eines Vorfalls oder die Erstellung eines Dienstes handelt, müssen die Genehmigungsworkflows auf der PAM-Seite diese Unterscheidung berücksichtigen. Je nach Konfiguration können Genehmigungen auch automatisch oder manuell erfolgen, mit Unterstützung dynamischer Berechtigungen.

Es ist auch möglich, eine zweite Ebene der engen Integration zwischen der CMDB und PAM auf Ressourcenebene mit API-Aufrufen von der PAM-Lösung einzurichten. In diesem Fall kann Bastion Provisioning in Verbindung mit der CMDB durchgeführt werden. Diese Integrationsebene fügt eine zusätzliche Sicherheitsebene hinzu, indem beispielsweise überprüft wird, ob die Person, die eine Genehmigung beantragt, auf der ITSM-Seite ein Ticket ausfüllt, das dasselbe Ziel betrifft wie das, auf das sie über Bastion zugreifen möchte.

Wie wir soeben gesehen haben, sind ITSM- und PAM-Lösungen von den Unternehmen in hohem Maße konfigurierbar. Es ist notwendig, ein Integrationsprojekt entsprechend den strategischen Zielen jeder Organisation zu erstellen: eine standardisierte ITSM/PAM-Integration gibt es als solche nicht.

Jedes Unternehmen muss seine Bedürfnisse nach Prioritäten auflisten, festlegen, was im Rahmen seiner Cybersicherheitspolitik möglich ist, seine Autorisierungs- oder Verbotseinstellungen anpassen, die gewünschte Automatisierung definieren, seine IT- und Geschäftsgenehmigungs- oder Delegationsworkflows anpassen und vor allem die Benutzererfahrung nicht vernachlässigen.

Bei jeder Integration müssen daher die Teams, die das ITSM verwalten, die Teams, die die PAM-Lösung verwalten, und oft auch das Devops-Team, das an den Skripten arbeitet, im Vorfeld einbezogen werden.

Eine gute Praxis

Der Einsatz einer PAM-Lösung ermöglicht eine zuverlässige Überwachung des privilegierten Zugangs zu kritischen IT-Infrastrukturen. Um die Analyse- und Forschungszeit der IT- und Sicherheitsteams zu reduzieren, kann eine entsprechende Integration mit einer ITSM-Lösung die Aufgabe durch die Verknüpfung mit dem Incident Management oder der Anfrage zur Serviceerstellung erleichtern. Es wird möglich, den Bedarf an Eingriffen mit den Eingriffen selbst zu korrelieren.

Die Sicht auf eine Aktion ist somit vollständig, von der ersten Anfrage bei der Erstellung des Tickets im ITSM-System über den Genehmigungs-Workflow bis hin zum Bericht über die Bearbeitung des Vorfalls und der von der PAM-Lösung bereitgestellten Videoaufzeichnung: ein Schlüsselelement im Falle eines Audits und im Zusammenhang mit der Einhaltung von Vorschriften.

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

PAM-ITSM-Integration: Welche bewährten Praktiken sollten angewandt werden?

Just-in-Time Incident Management

Bessere Korrelation von Informationen

Kohärenz zwischen ITSM, CMDB und PAM: Ein zusätzlicher Schutz

Eine gute Praxis

verwandter Inhalt

Verwandte Ressourcen

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS

PAM-ITSM-Integration: Welche bewährten Praktiken sollten angewandt werden?

Just-in-Time Incident Management

Bessere Korrelation von Informationen

Kohärenz zwischen ITSM, CMDB und PAM: Ein zusätzlicher Schutz

Eine gute Praxis

Diesen Artikel teilen

verwandter Inhalt

Verwandte Ressourcen

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS