Privileged User Activity Monitoring
Privilegierten IT-Usern auf die Finger sehen
Eine der größten Herausforderungen für IT-Abteilungen besteht darin, den Missbrauch von IT-Nutzerkonten mit privilegierten Zugriffsrechten zu verhindern. Unzulässige oder gefährliche Aktivitäten lassen sich mithilfe von Privileged User Activity Monitoring (PAM) unterbinden. Ein solches Monitoring macht nicht nur böswillige Aktionen eigener Mitarbeiter erkenntlich, sondern auch die von externen IT-Dienstleistern und Hackern, die Accounts "gekapert" haben.
Ein Großteil der Datenverluste ist auf Aktionen von IT-Nutzern mit erweiterten Zugriffsrechten (Privileged Users) zurückzuführen. Eine Befragung von Systemverwaltern ergab, dass 74 Prozent das Unternehmensnetz für unerlaubte Aktivitäten benutzt haben - vom Herunterladen von Filmen bis hin zum Hinausschleusen von Geschäftsdaten. Zur Gruppe dieser "Privileged Users" zählen zum einen Nutzer, die sich mit anderen Usern IT-Accounts mit administrativen Rechten teilen. Dazu zählen Superuser-Accounts wie beispielsweise Root-User in Linux-Systemen und Administrator-Accounts in Windows-Systemen. Hinzu kommen persönliche Nutzerkonten mit erweiterten Berechtigungen. Dies sind beispielsweise Accounts von Managern und personalisierte Administratorkonten.
Größere Angriffsfläche
Das Outsourcing von IT-Diensten und die Nutzung von Cloud-Services verschärft die Problematik. Denn dadurch erhalten auch externe IT-Fachleute Zugang zu IT-Ressourcen im Unternehmen. Daher ist es wichtig, die Aktivitäten solcher Nutzer mithilfe von Privileged User Activity Monitoring (PAM) zu kontrollieren. Allerdings gibt es eine Vielzahl unterschiedlicher PAM-Ansätze. So stellen Jump Hosts (Hop Gateways) eine Web-Oberfläche bereit, über die Anwender auf Systeme und Applikationen zugreifen können. Der Jump Host protokolliert die Aktionen dieser Nutzer. Allerdings lassen sich solche Lösungen nur mit hohem Aufwand in bestehende Benutzer-Workflows integrieren. Zudem ist es eine Herausforderung, sämtliche Funktionen vor allem für Systemadministratoren über eine solche Jump-Host-Lösung bereitzustellen.
Netzwerk-Sniffer wiederum analysieren den Netzwerkverkehr passiv. Sie sind daher beispielsweise nicht in der Lage, User zu authentifizieren, Protokollkanäle zu kontrollieren oder gezielt unerwünschten Datenverkehr zu einem Server zu unterbinden. Zudem stellt verschlüsselter Datenverkehr solche Lösungen teilweise vor Probleme.
Proxy Gateways - derzeit bester Ansatz
Agentenbasierende Lösungen wiederum stellen zwar detaillierte Monitoring-Funktionen bereit. Allerdings müssen auf allen zu überwachenden Servern Agents installiert werden. Diese haben jedoch keine Kontrolle über die Verbindungen zum Server. Folglich können sie keine Aktionen wie zum Beispiel File-Transfers unterbinden. Ein weiteres Manko ist die fehlende Trennung zwischen dem Monitoring- und dem überwachten IT-System. Daher könnten Administratoren eventuell auf Monitoring-Funktionen zugreifen und diese manipulieren.
Die derzeit beste PAM-Lösung sind Proxy-Gateways. Sie arbeiten zwischen Clients und Servern und analysieren den Datenverkehr auf der Anwendungsebene. Diese Gateways haben uneingeschränkten Zugang zum Netzwerkverkehr, inklusive der verwendeten Protokolle zum Zugriff auf die Zielsysteme. Dadurch lässt sich der Zugriff über bestimmte Protokollkanäle blockieren. Ein Beispiel: SSH-Terminal- und grafische RDP-Sitzungen (Remote Desktop Protocol) sind zulässig, Port-Forwarding in SSH und Dateitransfers in SSH und RDP jedoch nicht.
Außerdem arbeiten Proxy-Gateways unabhängig von Servern und Clients. Auch Nutzer mit erweiterten Zugriffsrechten haben daher keinen Zugriff auf diese Systeme und können keine Manipulationen vornehmen. Hilfreich ist es, wenn eine solche Lösung die erfassten Daten (Audit Trails) in verschlüsselter und manipulationssicherer Form ablegt. Zudem sollte die Möglichkeit bestehen, den Zugriff auf diese Daten mit einem Vier-Augen-Prinzip abzusichern: Nur zwei autorisierte Fachleute können die Informationen gemeinsam sichten.
Empfehlenswert sind zudem Lösungen, die Analysen in Echtzeit durchführen. IT-Sicherheitsfachleute sind dadurch in der Lage, umgehend auf verdächtige Aktionen zu reagieren. Einige PAM-Lösungen terminieren Verbindungen automatisch, wenn sie IT-sicherheitsrelevante Vorkommnisse registrieren.
Beispiel: Konfigurationsänderung eines Web-Servers
Wie sich fahrlässige Aktionen eines Systemverwalters auswirken können, wenn kein PAM vorhanden ist, zeigt folgendes Beispiel: Ein Administrator nimmt an einem Microsoft-IIS-Server (Internet Information Services) Änderungen an der Standardidentität des Default Application Pools vor. Im Normalfall verfügt der dazugehörige Prozess über eingeschränkte Zugriffsrechte. Im vorliegenden Fall erweiterte der Systemverwalter die Berechtigungen auf Administratorniveau. Dies hat gravierenden Folgen:
Der Application-Pool-Prozess läuft nun mit Administratorberechtigung, und
da der Web-Server über das Internet zugänglich ist, erhält auch ein Angreifer diese Rechte, wenn er den Server erfolgreich hackt.
Der Event Viewer eines Log-Management-Systems liefert zu diesem Vorgang jedoch zu wenig detaillierte Information. Die Logdaten zeigen zwar auf, dass die Zugangsrechte zum Default Application Pool vom Nutzer "Administrator" geändert wurden. Was genau passiert ist und welcher Benutzer die Änderungen vorgenommen hat, bleibt jedoch intransparent.
Ein anderes Bild ergibt sich, wenn ein Activity-Monitoring-Tool zum Einsatz kommt. Mithilfe der Content-Suchfunktion lassen sich die Aktivitäten des Users "Administrator" in allen Einzelheiten ermitteln und transparent machen. Diese Suchfunktionen und die Bereitstellung der kompletten Audit Trails ermöglichen es, alle Aktionen des Nutzers wie einen Film abzuspielen und zu bewerten. Außerdem lässt sich nachvollziehen, welcher Benutzer den Administrator-Account für die Aktion verwendet hat. Mit gewöhnlichen Event-Log-Daten ist dies nicht möglich. Des Weiteren lassen sich PAM-Tools so konfigurieren, dass "kritische" Aktivitäten von privilegierten Usern eine Alarmmeldung auslösen. IT-Spezialisten können dann die Vorgänge analysieren und entsprechende Maßnahmen einleiten.
Lesen Sie mehr zum Thema
