•  

Privileged Access Management (PAM): Schutz vor "Aktivitäten" von Nutzern

PAM: Privilegierter Zugriff auf wichtige Ressourcen muss gesichert, gesteuert, verwaltet und überwacht werden. ++ Häufig sind es administrative oder andere "weitgehende Rechte", um geschäftskritische Ressourcen zu verwalten oder zu nutzen etc. Wie steht der Anwender PAM gegenüber? ++ Was wären Risiken und Gefahrenpotentiale ohne PAM? ++ Wie ist die Handhabung von PAM? ++ Wo darf PAM auf keinen Fall fehlen? Einsatzbereiche etc. ++ Was ist ein privilegierter Account? Wer bekommt das? Wem steht es zu?  Wer bestimmt das? ++ Macht der Einsatz einer SIEM und/oder eine DLP-Lösung eine PAM-Lösung überflüssig? Wenn "Nein": Warum? ++ Zusätzlicher Whitepaper (deutsch): Zugriffssicherheit für die Industrie 4.0 als PDF

+++++++++

Opens external link in new windowWhitepaper-Download: Zugriffssicherheit für die Industrie 4.0

https://www.wallix.com/de/ 

Kurze Zusammenfassung einger Gesprächspunkte:

PAM begleitet den kompletten Aktionsradius einer privilegierten Identität (digital journey) in jedem beliebigen Einsatzgebiet:

1. Identifizierung

2. Authentifizierung

3. Autorisierung und Governance

4. Den Zugriff selbst

5. Auditierung und Nachvollziehbarkeit

II. Risiken und Gefahrenpotentiale ohne PAM

1. Unbemerkter Abfluss der Kronjuwelen des Unternehmens 

a. Personenbezogene Daten

b. Patente & Verträge

c. Entwürfe & Entwicklungspläne

2. Manipulation der Produktion (OT) und IOT 

a. Manipulation von Daten und Prozessen des Betriebsablaufs (z.B. Produktion, E-Commerce)

b. Anlegen von eigenen privilegierten Zugängen für spätere Manipulationsmöglichkeiten

3. Compliance Verstoß – z.B. gegen die DSGVO, ISO27001 

a. Meldung gemäß DSGVO

b. Potentielle Strafzahlung von 20 Mio. € oder bis zu 4% des Unternehmensumsatzes

4. Reputationsschaden für Ihr Unternehmen 

a. Ad-hoc Publizitätspflicht gemäß MMVO

b. Negativer Einfluss auf Marktkapitalisierung

c. Vertrauensverlust bei Kunden & Zulieferern

III. Einsatzbereiche und Business Cases

PAM ist speziell für Unternehmen erforderlich, die mindestens eine der folgenden Kriterien erfüllen:

- Komplexe, vernetzte IT-Infrastrukturen generell

- Unternehmen, die viele „allgemeine“ Administratoren, Administratorgruppen oder Superuser (=account-basierte Privilegien) im Unternehmen haben und auf rollenbasierte Privilegien umstellen wollen (Reduzierung der Administrator-Konten) 

- Externe Dienstleister (z.B. IT-Dienstleister, Service Provider, Wartungspersonal) haben Zugriff auf Teile der IT-Infrastruktur

- Andere Organisationen (z.B. Zulieferer, Kunden, Tochter- und Muttergesellschaften) haben Zugriffe auf Teile der IT-Infrastruktur

- Managen und Überwachen von IoT-Devices (z.B. Kameras, Automobile, Aufzüge, Bankautomaten, Haushaltsgeräte, ...)

- Vernetzen und automatisieren von Prozession (z.B. Produktionprozesse, E-Commerce, SCADA, ...)

- Auslagern von On-Premise Systemen (z.B. virtuelle Maschinen) in die Cloud 

- Compliance-Vorgaben, die erfüllt werden müssen, z.B. 

o KRITIS-Unternehmen (BSI, ISO27001, DSGVO)

o Industrie-Unternehmen (ISO27001, DSGVO)

o Behörden und öffentlicher Sektor (BSI, DSGVO)

o Gesundheitswesen (HIPAA, HDS, DSGVO)

o Finanz- und Versicherungswesen (BAFIN (BAIT), PCI DSS, FISMA, DSGVO)

Organisationen, die bereits in eine oder mehrere der folgenden Security-Technologien investiert haben 

o MFA (Multi-Faktor-Authentifizierung) – dem Unternehmen ist die Identifizierung und Authentifizierung von Usern sehr wichtig

o IAM (Identity & Access Management) – das Unternehmen hat bereits Gruppenrichtlinien und -privilegien definiert.

o SIEM/DLP (Security Information & Event Management; Data Loss Prevention) – dem Unternehmen ist Schutz vor Datenmissbrauch und -diebstahl sehr wichtig  

IV. Konkrete Anwendungszenarien

Für diese Segmente können wir nach einer ersten Einführung zu neuen Security-Ansätzen dann konkrete Anwendungsfälle und Best Practises inkl. Referenzarchitektur in Form einer Serie generieren.

- INDUSTRIE

- KRITIS

- GESUNDHEITSWESEN

- FINANZ- UND VERSICHERUNGSWESEN

- BEHÖRDEN UND ÖFFENTLICHER SEKTOR 

I. Grundsätzliches

WALLIX bietet Cyber Sicherheit genau da, wo sie real am Notwendigsten ist – nämlich direkt beim Zugriff auf kritische Daten und Systeme speziell durch User mit erweiterten Zugangsprivilegien. Damit sind externe IT-Dienstleister, Service Provider, privilegierte User von verbundenen Organisationen (wie Zulieferer, Tochter- und Muttergesellschaften oder auch Kunden), IoT-Devices, Steuerungs-Software (wie SCADA), Entwickler sowie interne Superuser und Administratoren gemeint – also Konten, die die Berechtigungen haben, die Integrität von Daten, Systemen oder kompletten Prozessen zu beeinflussen.

Während in der „alten“ On-Premise-Welt vertrauliche Daten und kritische Prozesse sicher innerhalb der eigenen Mauern und geschützt durch Firewalls gehalten wurden, so werden im Zuge der digitalen Transformation neue Zugangstore geöffnet, IT immer weiter vernetzt sowie Teile der IT an Dritte ausgelagert.

Dies führt neben den offensichtlichen Vorteilen der digitalen Transformation zu einem enormen Anstieg an Komplexität und wird somit deutlich schwerer zu kontrollieren und zu schützen.

Dies ist einer der Hauptgründe, warum speziell deutsche Unternehmen den Weg in die Cloud noch immer nicht beschreiten.

Privileged Access Management (PAM) kann dieses fehlende Vertrauen jedoch herstellen – und deutschen Organisationen somit den Weg in die Cloud und für die Digitale Transformation ebnen (Security als Enabler statt als Preventer).

Das Prinzip dahinter ist sehr simpel.

Während etablierte Security-Lösungen wie SIEM- (Security Information & Event Management) oder DLP-Lösungen (Data Loss Prevention) sich mittels Sensoren oder Log-File Analysen an möglichst vielen Stellen in der IT-Infrastruktur positionieren, um „verdächtiges“ Verhalten zu erkennen, geht PAM den direkten Weg – nämlich die Überwachung und aktive Kontrolle während des Zugriffs auf das Zielsystem selbst – sowohl on-premise als auch in der Cloud.

Eine schöne bildliche Analoge dazu ist:

DLP- und SIEM-Systeme kennen erst mal keine Türen und Tore. Grundsätzlich kann jeder rein und raus, der sich formal ausweisen kann – dafür patroullieren viele Polizisten durch die Gegend, kontrollieren Check Points und nehmen jeden fest, der verdächtig aussieht oder sich seltsam verhält.

Vorteil: Wenn eine Patroullie auf ein verdächtiges Objekt trifft, dann kann dieses aus dem Verkehr gezogen werden, bevor es überhaupt Schaden anrichtet.

Nachteil: In vielen Fällen kann die Patroullie ausgetrixt werden (sobald sie hinter der nächsten Ecke verschwunden ist, schleicht der Dieb direkt in die Schatzkammer) oder sie verhaftet Unschuldige, die sich im z.B. Gang geirrt haben (False Positive) oder lässt einen wirklichen Dieb laufen, weil er eine beeindruckende Plastikkarte mit sich führt (False Negative).

PAM hingegen arbeitet wie ein klassischer Werkschutz in einem großen Industrie-Unternehmen. Wenn jemand hinein will, dann muss er sich zuerst an der Rezeption mit Ausweis und Fingerabruck (Multi-Faktor Authentifizierung) anmelden und sein Anliegen vortragen (z.B. in der Schatzkammer das Geld zählen). Wenn er berechtigt ist, dann holt ihn ein Sicherheitsmitarbeiter direkt am Empfang ab, begleitet ihn bis zur Schatzkammer und schließt ihm die entsprechende Türe auf (kein privilegierter User besitzt noch eigene Türschlüssel). Danach geht der Sicherheitsmitarbeiter nicht einfach weg, sondern beobachtet genau, was die betreffende Person in der Schatzkammer tut. Wenn er – wie es seine Aufgabe ist – einfach nur das Geld zählt, dann bleibt der Sicherheitsmitarbeiter lächelnd danebenstehen. Sollte er aber versuchen, etwas zu tun, was nicht zu seinen Aufgaben gehört (z.B. einen Teil für sich selbst abzugreifen), dann zieht der Sicherheitsmitarbeiter sofort seinen Knüppel und haut ihm auf die Finger. Der versuchte Diebstahl wird aufgezeichnet kann personalisiert nachvollzogen werden (Nichtabstreitbarkeit einer Person). 

Ein schöner Nebeneffekt dabei ist, dass ein potentieller Dieb, der weiß, dass permanent jemand vom Wachdienst neben ihm steht, sich ein leichteres Opfer suchen wird!

Beide Philosophien schliessen sich jedoch nicht gegenseitig aus.

Wie gesagt, die Vorteile von DLP und SIEM liegen hauptsächlich in ihrer präventiven Natur, die es einer Organisation ermöglicht, potentiellen Missbrauch schon vorab zu erkennen und zu unterbinden. DLP und SIEM haben vorallem eine viel breitere Sicht auf die Infrastruktur eines Unternehmens, während PAM sich ausschliesslich auf den Zugriff selbst konzentriert.

Wenn DLP und/oder SIEM jedoch mit PAM kombiniert werden, dann wird ein deutlich höherer Sicherheitsstandard erreicht (1+1 = 3): Generelles Überwachen der Infrastruktur durch DLP/SIEM und der konkreten Kontrolle eines jeden privilegierten Systemzugriffs.

 

 

Diesen Artikel empfehlen