Sicherung privilegierter Benutzerkonten
Der erste Schritt - verdächtige Aktivitäten erkennen
Fortsetzung des Artikels von Teil 1
Echtzeit-Analytik und -Alarmierung bietet zusätzliche Sicherheit
Nutzt ein Unternehmen eine Lösung, mit der bereits verdächtige Aktivitäten bei privilegierten Benutzerkonten erkannt werden können, bringt das ein entscheidendes Plus an Sicherheit. Mit so genannten Threat-Analytics-Komponenten ist es heute möglich, die – durchaus berechtigte – Nutzung aller bereits mit einer Privileged-Account-Security-Anwendung verwalteten privilegierten Konten permanent zu überwachen. Über intelligente Mechanismen wird so jede verdächtige Aktivität aufgespürt, die vom sonst üblichen Normalverhalten eines jeweiligen Users abweicht. Typische verdächtige Eigenschaften sind abweichende Zugriffszeiten oder eine ungewöhnliche Häufung von Zugriffen, aber auch ein Verbindungsaufbau zu einem privilegierten Konto, der von einer ganz anderen als der üblichen Quelle erfolgt. Sicherheitsverantwortliche erhalten mit einer solchen Echtzeit-Analyse zielgerichtete Warnhinweise, auf deren Basis sie auch auf laufende Angriffe reagieren können. Die Alarme können dabei nicht nur darauf hindeuten, dass ein externer Angreifer oder ein böswilliger Insider ein privilegiertes Benutzerkonto missbraucht. Sie können auch darüber informieren, dass ein vertrauenswürdiger Benutzer versehentlich eine potenziell schädliche Handlung durchführt.
Außerdem wird mit einem Threat-Analytics-Ansatz die Effektivität von SIEM-Systemen (Security-Information-and-Event Management) nachhaltig erhöht, indem durch intelligent aufbereitete Informationen beispielsweise auch die Zahl der Fehlalarme reduziert wird. Nicht zuletzt werden so auch kritische User-Konten entdeckt, die noch nicht in die Privileged-Account-Security-Lösung integriert worden sind (Stichwort: Vollständigkeitsprüfung).
Syslog-Datenanalyse ist unzureichend
Bei der Auswahl einer Lösung mit Threat-Analytics-Funktionalität sollten Unternehmen darauf achten, dass sie konkret auf die Risiken im Zusammenhang mit privilegierten Benutzerkonten zugeschnitten ist, bei denen es sich oft um Shared-Accounts handelt, also Konten, die von mehreren Personen benutzt werden. Mit herkömmlichen Ansätzen wie einer Syslog-Datenanalyse können die Aktivitäten solcher Konten keinem speziellen Anwender (Menschen) zugeordnet werden. Gefragt ist also eine Anwendung, die das Account-Verhalten auf Einzelbenutzer-Ebene analysiert und präzise, kontextbezogene und sofort umsetzbare Warnhinweise liefert. Damit lassen sich auch für den sicherheitskritischen Bereich der generischen Benutzerkonten Alarme generieren, die eindeutig einer Person zuzuordnen sind.
Speziell für die Echtzeit-Analytik und -Alarmierung bei der verdächtigen Nutzung privilegierter Benutzerkonten hat Cyberark auch seine Applikation Privileged-Threat-Analytics (PTA) entwickelt. Die Lösung „erlernt“ für jeden Nutzer privilegierter Konten automatisch ein Verhaltensprofil, das zudem permanent aktualisiert wird. Sie analysiert dabei laufend das Nutzerverhalten und passt ihre Risikobewertung kontinuierlich an die Verhaltensmuster autorisierter privilegierter Nutzer an. Ausgehend von einem Normalprofil des privilegierten Benutzers erkennt die Applikation Abweichungen bei der Account-Verwendung und damit Anomalien im Verhalten. Dabei bewertet sie automatisch jede einzelne Anomalie und ermittelt mit patentierten selbstlernenden Analysealgorithmen anhand von Ereigniskorrelationen die jeweilige Bedrohungsstufe. Die Lösung kann sowohl Daten aus Privileged-Account-Security-Anwendungen als auch kontextbezogene Informationen aus anderen Quellen wie Unix- oder Windows-Systemen berücksichtigen. Ebenso können Log-Files aus SIEM-Systemen für die Analyse herangezogen werden.
Insgesamt betrachtet sind privilegierte Benutzerkonten per se eine zentrale Sicherheitslücke der IT. Das ist inzwischen auch weitgehend bekannt. An einer Lösung für den gezielten Schutz dieser Konten führt deshalb kein Weg vorbei. Und idealerweise wird dabei auch eine Applikation genutzt, die in der Lage ist, verdächtige Aktivitäten zu erkennen. Damit kann ein Unternehmen die Gefahren des Datenmissbrauchs und -diebstahls durch missbräuchliche Nutzung privilegierter Benutzerkonten entscheidend reduzieren.
- Der erste Schritt - verdächtige Aktivitäten erkennen
- Echtzeit-Analytik und -Alarmierung bietet zusätzliche Sicherheit
Lesen Sie mehr zum Thema
