Kann CTEM die versteckten Lücken in Ihrem PAM-Programm schließen?

Herkömmliche Lösungen für das Privileged Access Management (PAM) spielen seit langem eine wichtige Rolle bei der Identitätssicherheit. Sie sind der Grundstein eines Zero-Trust-Modells, das zum Schutz der leistungsstärksten Konten in einem Unternehmen entwickelt wurde. PAM-Kontrollen helfen dabei, den Zugriff auf kritische Systeme und Daten zu sichern, zu verwalten und zu überwachen, sodass nur autorisierte Benutzer mit den richtigen Berechtigungen sensible Aufgaben ausführen können. Dies wird in der Regel durch die Rotation von Anmeldedaten, Just-in-Time-Zugriff und Sitzungsisolierung erreicht. Kurz gesagt, bei PAM geht es um eine grundlegende, aber wesentliche Frage: „Wer hat die Schlüssel zum Königreich?“

Den meisten fehlt jedoch ein bedrohungsorientierter Ansatz, der die PAM-Strategie eines Unternehmens mit den allgemeinen Cyberrisiken innerhalb einer Organisation verknüpft, was dazu führen kann, dass geschäftskritische Schwachstellen übersehen werden. PAM kann zwar Konten mit hohen Berechtigungen schützen, aber es liegt weiterhin in der Verantwortung der Organisation, zu identifizieren und zu entscheiden, welche Konten am kritischsten sind und welche Identitäten das größte Risiko darstellen.

Das ist jedoch keine einfache Aufgabe. Sobald ein Angreifer ersten Zugriff erlangt hat – sei es durch eine Phishing-E-Mail, eine anfällige öffentlich zugängliche App oder einen kompromittierten Endpunkt –, ist der nächste Schritt oft die Eskalation von Privilegien. Um zu verstehen, wo diese Eskalationen am wahrscheinlichsten erfolgreich sind, muss man den Kontext kennen: Welche Identitäten sind gefährdet, wie sind sie miteinander verbunden und wohin führen diese Wege letztendlich?

In diesem Blogbeitrag untersuchen wir, wie Continuous Threat Exposure Management (CTEM) und Angriffsgraphenanalyse den operativen Rahmen bieten können, der erforderlich ist, um die oben genannten Risiken dynamisch anzugehen. CTEM ist für PAM unverzichtbar, ersetzt es jedoch nicht. Es macht es intelligenter und effektiver, indem es Bedrohungsinformationen in Ihr Identitätssicherheitsprogramm integriert. Der Fokus verlagert sich von der einfachen Sicherung einer Liste von Konten hin zum aktiven Verstehen und Unterbrechen der wahrscheinlichsten Angriffswege, die ein Angreifer nutzen würde, um Ihr Unternehmen zu kompromittieren.

Warum CTEM und Angriffsgraphenanalyse für modernes PAM unverzichtbar sind

PAM-Lösungen sind zwar hervorragend geeignet, um zu kontrollieren, wer privilegierten Zugriff hat, aber sie liefern nicht immer den Kontext, wie ein Angreifer diese Privilegien erreichen und ausnutzen würde. Hier schließt CTEM, insbesondere durch die Analyse von Angriffspfaden, diese kritische Lücke. Es geht über eine punktuelle Bewertung von Privilegien hinaus und bietet stattdessen eine dynamische, bedrohungsorientierte Sicht auf Ihre Umgebung.

Die Angriffspfadanalyse, eine Kernkomponente eines CTEM-Frameworks, bildet sowohl eingehende als auch ausgehende Pfade zu und von Entitäten – Identitäten, Geräten oder Diensten – auf der Grundlage des realen Verhaltens von Angreifern ab. Auf diese Weise wird deutlich, wie geringfügige Fehlkonfigurationen, unüberwachte Identitäten und falsch festgelegte Berechtigungen miteinander verknüpft werden können, um die kritischen Ressourcen des Unternehmens zu gefährden. Dieser Ansatz beantwortet die drängendste Frage für Sicherheitsteams: „Wie kann ein Angreifer trotz PAM noch eindringen?“

Angriffspfade, die PAM-Abwehrmaßnahmen herausfordern

Durch die Integration der Angriffspfadanalyse in PAM können Sicherheitsteams strategische Stellen identifizieren, an denen Angreifer wahrscheinlich angreifen und an denen Abhilfemaßnahmen priorisiert werden müssen. Beispiele hierfür sind:

Schattenkonten mit latenten Administratorrechten: Ruhende oder nicht verwaltete Konten können aufgrund alter Richtlinien oder unvollständiger Entzug von Berechtigungen weiterhin über Administratorrechte verfügen. Diese werden oft von der PAM-Überwachung ausgeschlossen, behalten aber den Zugriff auf kritische Systeme.

Nur in Tresoren gespeicherte Anmeldedaten ohne Richtlinie zur Passwortrotation: Privilegierte Konten, die zum ersten Mal in Tresoren gespeichert oder für die Verwendung mit Automatisierung konfiguriert werden, werden möglicherweise ohne Durchsetzung einer ordnungsgemäßen Anmeldedatenrotation in Tresoren gespeichert. Diese werden oft aufgrund von Produktivitätsproblemen oder Ausfallrisiken übersehen, aber mit der Zeit werden sie zu statischen, hochwertigen Zielen. Es ist unerlässlich, Angriffspfade zu finden, die diese Anmeldedaten ausnutzen.

Deaktivierte Isolierung und Überwachung privilegierter Sitzungen: PAM-Lösungen bieten in der Regel eine sichere Isolierung und Überwachung von Sitzungen. Wenn diese Funktionen jedoch aufgrund von Leistungsbedenken oder operativen Widerständen deaktiviert werden, werden privilegierte Sitzungen undurchsichtig, wodurch seitliche Bewegungen und das Sammeln von Anmeldedaten schwieriger zu erkennen sind.

PAM-Systeme mit übermäßigen permanenten Privilegien: PAM-Lösungen erfordern erweiterte Zugriffsrechte für die Verwaltung von Anmeldedaten. Wenn die Lösung selbst jedoch ohne Just-in-Time-Kontrollen über dauerhafte Domänenadministrator- oder Root-Zugriffsrechte verfügt, kann sie zu einem einzigen Schwachpunkt werden.

Unzureichende Absicherung der PAM-Infrastruktur: Angreifer nehmen zunehmend PAM-Systeme selbst ins Visier. Wenn eine der PAM-Komponenten exponiert ist, wird sie zu einem sehr attraktiven Einstiegspunkt oder Sprungbrett in der Angriffskette.

Von Punktlösungen zur Reduzierung der Gefährdung

CTEM bietet den operativen Rahmen, der erforderlich ist, um die oben genannten Risiken dynamisch anzugehen. Anstatt sich auf jährliche Audits oder statische Berechtigungsberichte zu verlassen, setzt CTEM auf einen bedrohungsorientierten Ansatz, der es Sicherheitsteams ermöglicht:

• Privilegierte Konten zu priorisieren, die sowohl exponiert als auch über zugeordnete Angriffspfade erreichbar sind
• Die Anmeldedaten zu identifizieren, die in einem Szenario mit lateraler Bewegung und Privilegieneskalation am ehesten missbraucht werden
• zu überprüfen, ob PAM-Richtlinien die Angriffswege unter realen Bedingungen aktiv mindern

Dies sorgt sowohl für strategische Klarheit als auch für operative Hebelwirkung. Die Diskussion verlagert sich von der Frage „Verfügen wir über ein PAM?” zu „Wie können wir unseren PAM-Einsatz optimieren, um geschäftskritische Risiken zu reduzieren?” und „Trägt unsere PAM-Lösung tatsächlich dazu bei, das Risiko im Falle eines Angriffs zu verringern?” Dies sind weitaus bedeutungsvollere Fragen, wenn es darum geht, Identitätskontrollen mit Geschäftsrisiken in Einklang zu bringen.

Letztendlich geht es bei der Einbettung des CTEM-Frameworks in Ihr PAM-Programm nicht nur darum, einen weiteren Stack aufzubauen, sondern eine strategische Risikokontrolle zu aktivieren, wenn Identität der neue Perimeter ist. PAM ist und bleibt ein wichtiger Bestandteil der Identitätssicherheit, aber in hybriden, cloud-nativen Umgebungen reicht es allein nicht mehr aus. Privilegierter Zugriff muss im Kontext der Bedrohungslage verstanden werden: Wer kann auf was zugreifen, wie wird dies ausgeführt und welche Auswirkungen hat dies? Unternehmen, die Prinzipien des Expositionsmanagements in ihre Identitätsprogramme integrieren, sind besser gerüstet, um laterale Bewegungen und die Ausweitung von Privilegien zu reduzieren, kritische Ressourcen zu schützen und die Auswirkungen einer Kompromittierung zu minimieren.

Denn wenn es um privilegierten Zugriff geht, ist Kontrolle ohne Kontext an sich schon ein Risiko.

Quelle: XM Cyber-Blog

Weitere Informationen:

CTEM Section

Continuous Exposure Management

XM Cyber deckt auf, wie Angreifer Ihre Umgebung ausnutzen können – vollautomatisch. Unsere Lösung visualisiert sämtliche Angriffspfade zu kritischen Ressourcen in einem Diagramm. So können Sie sich auf die 2 % der Fixes konzentrieren, mit denen sich die wirklich relevanten Angriffspfade durchkreuzen lassen – und vergeuden keine Zeit mehr mit Maßnahmen, die sich nicht auf Ihr Risiko auswirken.

---