Der Schutz von privilegierten Accounts und die aktive Reaktion auf mögliche Kompromittierungen ist für viele CISOs zu einer entscheidenden Aufgabe geworden.
Gestohlene Zugangsdaten sind die Ursache für die meisten modernen Angriffe und Sicherheitsverletzungen. Die Angreifer gelangen über Phishing, Brute-Force-Angriffe, Keylogger, Pass-the-Hash-Techniken oder mithilfe einer Datenbank mit zuvor gestohlenen Anmeldeinformationen leicht an Zugangsdaten. Sobald ein Konto kompromittiert ist, kann der Angreifer alles sehen und tun, was für diesen Benutzer oder dieses Konto erlaubt ist.
Je höher die Privilegien des Kontos sind, desto wertvoller ist es für einen Angreifer. Wenn ein Netzwerkadministrator kompromittiert wird, hat ein Angreifer freie Hand über das Netzwerk, seine Anwendungen und Geräte.
Aber nicht nur IT- und Sicherheitspersonal verfügen über privilegierte Zugriffsrechte. Führungskräfte haben oftmals ebenfalls die Möglichkeit, auf hochsensible Daten zuzugreifen, und ihnen werden regelmäßig Ausnahmen von den üblichen Sicherheitsrichtlinien gewährt. Außerdem kann es vorkommen, dass Mitarbeitern und Auftragnehmern aus einer kurzfristigen Notwendigkeit heraus höhere Privilegien eingeräumt werden, die später wieder in Vergessenheit geraten. Ein Angreifer ist sehr geschickt darin, solche privilegierten Zugänge im Netzwerk zu finden und sie zu seinem Vorteil zu nutzen.
Nachstehend ein Überblick über einige zentrale Möglichkeiten, wie Sie diese äußerst wichtigen Konten schützen können.
1. Identifizieren und Überwachen Sie privilegierte Accounts
Privilegierte Konten können in den falschen Händen großen Schaden anrichten. Die Überwachung privilegierter Konten und Endpunkte ist der erste Schritt, um sie zu schützen.
2. Stufen Sie Berechtigungen wo immer möglich herunter
Nutzer mit unnötigen privilegierten Zugriffsrechten stellen in vielen Unternehmensnetzwerken ein häufiges Problem dar, das von Cyberangreifern ausgenutzt werden kann. Privilegierter Zugriff bedeutet ein höheres Risiko, das Unternehmensnetzwerk zu gefährden.
3. Nicht alle Benutzerkonten benötigen privilegierten Zugriff
Ein Service-Account ist ein Benutzerkonto, das eigens zu dem Zweck erstellt wurde, einen Sicherheitskontext für Dienste bereitzustellen, die auf Anwendungen laufen, die mit Betriebssystemen interagieren. Der Sicherheitskontext bestimmt die Zugriffsmöglichkeiten des Dienstkontos auf lokale und Netzwerkressourcen. Das bedeutet, dass nicht alle Service-Konten auch privilegierte Konten sein müssen. Sie sollten alle Dienstkonten in Ihrer Umgebung sorgfältig überprüfen, um den angemessenen Zugriff für jedes Konto zu bestimmen und Berechtigungen entfernen, wenn sie nicht benötigt werden.
4. Verwenden Sie das Administratorkonto auf keinen Fall als gemeinsames Konto
In vielen Unternehmensnetzwerken wird das Administratorkonto dazu verwendet, andere Konten zu bedienen oder Änderungen im Netzwerk vorzunehmen. Ein gemeinsam genutztes Administratorkonto sollte niemals als Benutzerkonto oder anderweitig verwendet werden.
5. Entfernen Sie veraltete privilegierte Accounts
Wenn das IT-Team größer wird, sollten die Sicherheitsteams regelmäßig die Servicekonten und privilegierten Benutzerkonten überprüfen. Wenn ein privilegierter Account veraltet ist, sollte das Sicherheitspersonal ihn deaktivieren, wenn er nicht mehr benötigt wird.
6. Ändern Sie Standard-Passwörter und setzen Sie strenge Passwortregeln durch
Schwache Passwörter sind ein häufiger Grund dafür, dass Cyberangreifer in Unternehmensnetzwerke eindringen oder sich durch laterale Bewegungen Zugang zu weiteren Servern und Benutzerkonten verschaffen können. Achten Sie bei Passwörtern darauf, dass sie komplex, unterschiedlich und einzigartig sind – das kann den entscheidenden Unterschied ausmachen.
vom Identity Protection Team bei CrowdStrike, www.crowdstrike.de/