Credential Stealer as a Service
Schutz vor findigen Passwortdieben
Fortsetzung des Artikels von Teil 1
Minimale Rechte reduzieren Risiken
Zu einem wirkungsvollen Endgeräteschutz gehört aber auch die Umsetzung von Least-Privilege- und Just-in-Time-Konzepten. Denn dass Anwender dauerhaft mit Administratorrechten arbeiten, ist schon lange nicht mehr zeitgemäß – zu groß sind die Risiken eines Missbrauchs der weitreichenden Rechte durch Kriminelle oder böswillige Insider.
Im Arbeitsalltag sollten Beschäftigte deshalb nur mit eingeschränkten Rechten agieren. Sind höhere Rechte für eine bestimmte Aufgabe erforderlich, etwa die Installation eines Programms, der Zugriff auf eine sicherheitskritische Anwendung oder die Bearbeitung einer Datei in einem geschützten Netzwerkordner, weist eine PAM-Lösung (Privileged-Access-Management) diese Rechte – und auch nur diese – temporär zu. Je nach Aufgabe und Sicherheitsrichtlinien im Unternehmen erhält der Anwender die Rechte für einige Minuten, Stunden, Tage oder Wochen. Wichtig ist, dass das IT-Team sie nach Ablauf der Frist tatsächlich wieder entzieht, um zu verhindern, dass Anwender schrittweise immer mehr Rechte anhäufen und irgendwann doch wieder mit vollem Administratorzugriff unterwegs sind.
Durch die eingeschränkte Rechtevergabe und das nur vorübergehende Zuweisen höherer Berechtigungen verkleinern Unternehmen das Zeitfenster, das Angreifern zur Verfügung steht, um auf privilegierte Konten zuzugreifen und sie für den Diebstahl vertraulicher Daten oder die Infiltration weiterer Systeme zu missbrauchen. Eindringlinge können so allenfalls Passwörter für Benutzerkonten mit geringen Berechtigungen abgreifen und damit nur wenig Schaden anrichten.
Unabhängig davon, ob Anwender gezielt eine bestimmte Berechtigung beantragen oder eine Aktion wie der Aufruf einer Anwendung die Rechteanforderung ausgelöst, läuft der Genehmigungsprozess weitgehend automatisiert ab. Auf Basis von Richtlinien kann das Privileged-Access-Management über die meisten Anfragen eigenständig entscheiden, sodass es für Anwender keine langen Wartezeiten gibt und der Aufwand für das IT-Team überschaubar bleibt. Ein vollständiger Audit Trail hilft nachzuvollziehen, welche Anwender privilegierten Rechte erhalten und wofür sie diese genutzt haben.
Automatisches Blockieren von Malware
Idealerweise bringt eine PAM-Lösung auch eine strikte Anwendungskontrolle mit, da für die Nutzung vieler Applikationen auf einem System keine Administratorrechte notwendig sind. Über die Anwendungskontrolle lässt sich granular steuern, welche Anwendungen zur Ausführung kommen und auf welche Unternehmensressourcen sie zugreifen dürfen. Unbekannte Applikationen, zu denen auch Schadprogramme gehören, blockiert das PAM-System; oder sie erhalten in Abhängigkeit von verschiedenen Parametern eingeschränkte Rechte, sodass sie nicht ins Internet oder an Netzwerkfreigaben gelangen. Auf diese Weise können Unternehmen auch verhindern, dass beliebige Anwendungen auf die unterschiedlichsten Dateiformate zugreifen. Ist der Schreibzugriff für Word-Dokumente beispielsweise auf Word beschränkt, vermag Malware die Dokumente nicht zu manipulieren oder zu verschlüsseln.
Letztlich lassen sich fortschrittliche Schadprogramme wie Credential Stealer selbst mit einem modernen Malware-Schutz nicht immer – und erst recht nicht immer sofort – entdecken. Umso wichtiger ist es, dass Unternehmen die Risiken, die mit gestohlenen Passwörtern und deren Missbrauch einhergehen, konsequent minimieren – mit einer Kombination aus Multi-Faktor-Authentifizierung, der Beschränkung von Benutzerrechten und einer strikten Anwendungskontrolle. Eine solche Kombination von Sicherheitslösungen schützt nicht nur privilegierte, sondern auch normale Benutzerkonten zuverlässig.
Christian Götz ist Solutions Engineering Director DACH bei CyberArk.
- Schutz vor findigen Passwortdieben
- Minimale Rechte reduzieren Risiken
Lesen Sie mehr zum Thema
