Best Practices für Identitätssicherheit

Die wichtigsten Maßnahmen zum Schutz maschineller Identitäten

Bildquelle: CoolVid-Shows, Pixabay
LinkedInRedditWhatsAppPocket

Maschinelle Identitäten sind äußerst verwundbar und geraten zunehmend ins Visier von Cyberkriminellen. Unternehmen benötigen eine durchdachte Identity-Security-Strategie mit intelligenten Berechtigungskontrollen, um den Diebstahl von Secrets und den Missbrauch von Berechtigungen zu verhindern.

Maschinelle Identitäten stecken in unzähligen Bots, Skripten, Management-Tools, Cloud-Services und Anwendungen – mehr dazu im Beitrag „Identitätswildwuchs im Maschinenzeitalter“. Um sie zu schützen, müssen Unternehmen zunächst Sichtbarkeit herstellen. Mit speziellen Discovery-Tools geht das automatisiert, auch wenn kein Tool in der Lage ist, tatsächlich alle Maschinenidentitäten aufzuspüren. Dennoch sind sie eine enorme Arbeitserleichterung und reduzieren den manuellen Aufwand erheblich. Vor allem beim Erfassen von Identitäten in Cloud-Umgebungen oder in Third-Party-Tools, die für die Verwaltung virtueller und physischer Infrastrukturen eingesetzt werden, leisten sie gute Dienste. Auf diese sollten sich Unternehmen zunächst konzentrieren, um Kernsysteme und Kernanwendungen abzusichern – andere maschinelle Identitäten, die schwieriger zu erfassen sind, beispielsweise intern erstellte Bots und Skripte, können später folgen.

Anzeige

Im Zuge der Inventarisierung maschineller Identitäten geht es auch darum zu ermitteln, auf welche Ressourcen sie zugreifen und über welche Berechtigungen sie verfügen. Anschließend können überflüssige Berechtigungen gezielt entfernt werden. Allerdings bringen Stand-alone-Lösungen für das Secrets Management selten Werkzeuge für die Analyse von Berechtigungen und Risiken mit – lediglich Anbieter mit einem breiteren Portfolio im Bereich Identity Security können grundlegende bis detaillierte Auswertungen bereitstellen. Den größten Mehrwert bieten indes Lösungen, die Tools integrieren, die sich auf die Analyse von Berechtigungen spezialisiert haben und Gefahrenpotenziale durch Überprivilegierung aufzeigen und beseitigen, manuell wie auch automatisiert. Sie liefern umfangreiche Erkenntnisse und Empfehlungen, welche Rollen und Berechtigungen für die Identitäten sinnvoll sind. Sie helfen Unternehmen, rollenbasierte Kontrollen für Zugriffe auf alle Ressourcen einzuführen und Least-Privilege-Prinzipien wirkungsvoll umzusetzen. Das bedeutet, dass die Identitäten nur die absolut notwendigen Berechtigungen erhalten – benötigen sie für eine bestimmte Aufgabe erweiterte Rechte, werden diese Just-in-Time zugewiesen.

Die Herausforderung besteht darin, die erweiterten Rechte zum richtigen Zeitpunkt wieder zu entziehen, also wenn Bots, Skripte, Management-Tools und Co. ihre Aufgaben erledigt haben. Behalten sie die Berechtigungen länger, steigen die Missbrauchsrisiken und es besteht die Gefahr einer kontinuierlichen Rechteanhäufung. Am besten ist es daher, maschinelle Identitäten standardmäßig ohne Privilegien auszustatten (Zero Standing Privileges, ZSP) und nur bei Bedarf sessionbasierte Berechtigungen zuzuweisen . Die Rollen und Berechtigungen werden dynamisch zur Laufzeit generiert und zum Ende der Session automatisch entzogen und gelöscht.

Secrets Management automatisieren

Damit Secrets nicht dauerhaft bestehen, sollten Unternehmen ein einheitliches, zentrales Secrets Management nutzen, um Zugriffspasswörter, API-Keys und andere Secrets über ihren gesamten Lebenszyklus hinweg zu verwalten. Es sorgt dafür, dass Schlüssel und Kennwörter ausreichend komplex sind und den Richtlinien entsprechen – und tauscht sie regelmäßig aus, etwa nach einem festen Zeitplan oder nach bestimmten Ereignissen. Der zentrale Ansatz ist wichtig, um Secrets nicht in mehreren Lösungen verwalten zu müssen, was einen hohen Aufwand verursacht, zu inkonsistenten Richtlinien führen kann und die Automatisierung der Abläufe erschwert.

Anzeige

Die meisten Anwendungen und Management-Tools von Drittanbietern lassen sich gut in ein Secrets Management einbinden. Für intern entwickelte Anwendungen, Bots und Skripte ist das schwieriger, weshalb Security-Teams eng mit Entwicklungsabteilungen und Citizen Developern zusammenarbeiten müssen, um Identitätssicherheit von Anfang an in Entwicklungsprozesse zu integrieren. Einen großen Aufwand verursacht zudem die Anpassung von Legacy-Anwendungen, da alter Code angefasst werden muss, was wertvolle Entwicklungsressourcen bindet. Wichtig ist es dennoch, um hart-kodierte Secrets zu entfernen, die ein besonders hohes Sicherheitsrisiko darstellen – oder um separate Lösungen für die Verwaltung von Identitäten, Secrets und Berechtigungen abzulösen, die den Verwaltungsaufwand erhöhen und zu inkonsistenten Richtlinien und damit Lücken im Identitätsschutz führen können.

Privilegierte Accounts schützen

Auch wenn sich das Missbrauchsrisiko bei den meisten Identitäten durch eine minimale Rechtevergabe oder Zero Standing Privileges deutlich reduzieren lässt, wird es immer Identitäten geben, die dauerhaft erweiterte Berechtigungen besitzen. Neben Notfall- und Superuser-Accounts zählen dazu immer häufiger maschinelle Accounts, die sicherstellen, dass kritische Betriebsprozesse ohne Unterbrechung ablaufen und keine Risiken durch Fehlkonfigurationen entstehen. Deren Standing Access stellt ein hohes Risiko dar und erfordert ein klassisches Privilege Access Management (PAM), um Secrets sicher zu speichern, zu verwalten und zu rotieren.

Während ein Session Monitoring und Session Recording für die Zugriffe von menschlichen Identitäten relativ leicht umsetzbar ist, lassen sich diese Konzepte bei maschinellen Identitäten nur schwer oder gar nicht realisieren. Umso wichtiger ist es deshalb, die Nutzung des Secrets Management zu auditieren und auszuwerten. Eine zentrale Lösung erleichtert das, da sich ungewöhnliche Aktivitäten, die auf eine Bedrohung hindeuten können, besser erkennen lassen. KI ist dabei ein wertvoller Helfer und kann Anomalien inzwischen sehr gut aufspüren, zum Beispiel eine abweichende Nutzung bestimmter Secrets. Dabei werden ähnlich wie bei menschlichen Zugriffen kontextbasierte Parameter geprüft und einzelne Aktivitäten mit anderen Ereignissen korreliert, um bessere Aussagen treffen zu können. Wird eine Bedrohung erkannt, kann automatisch eine Reaktion ausgelöst werden, etwa der Entzug von Berechtigungen oder das Sperren der betroffenen Identität.

Letztlich sind all diese Maßnahmen zum Schutz von Identitäten ein wichtiger Bestandteil von Zero Trust und helfen, das Risiko, das mit dem Diebstahl von Secrets und dem Missbrauch von Berechtigungen verbunden ist, zu minimieren.


Fabian Hotarek

Fabian

Hotarek

Solutions Engineering Manager DACH

CyberArk

Anzeige

Artikel zu diesem Thema

Identitätswildwuchs im Maschinenzeitalter

Weitere Artikel

Engagierter IT-Admin: Mehr Fluch als Segen
CVE-2024-6197: Welches Risiko birgt die neue Curl- und Libcurl-Schwachstelle?
Die NIS-2 Pflicht meistern – Aagon zeigt, wie’s geht
Quantenkryptographie: Neue NIST-Standards und ihre Auswirkungen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.