Zugriffsmanagement für Lieferanten:
Warum sollte man ein Vendor Privileged Access Management (VPAM) einsetzen?
Welcher IT-Manager musste noch nie für einen seiner Lieferanten einen Zugang zu seiner kritischen Infrastruktur öffnen?
Sie sind regelmäßig mit Verbindungen von Lieferanten oder Dienstleistern konfrontiert, die damit beauftragt sind, einen Teil Ihres IT-Systems einzurichten, zu warten oder zu korrigieren. Dieses kann sich in Ihrem Rechenzentrum oder auf der Ebene der Cloud-Dienste befinden, die Sie bereits für Ihre Geschäfts- oder Büroanwendungen nutzen. An diesen Zugriffen können mehrere Dutzend, in manchen Fällen sogar Hunderte von verschiedenen Lieferanten beteiligt sein.
Mehrere Dutzend Personen haben privilegierte Konten unter Bedingungen, die Sie nicht kontrollieren können, was für die Sicherheit Ihres IT-Systems kritisch ist. Außerdem können Sie nicht sicher sein, dass die Person, die Zugang zu diesen privilegierten Konten hat, noch für Ihren Lieferanten arbeitet.
Diese Konten können eine echte Achillesferse für die Sicherheit Ihres IT-Systems darstellen, wie die jüngste Studie von CESIN – Opinionway vom Januar 2022 zeigt, in der hervorgehoben wird, dass jeder fünfte Angriff über die Lieferkette erfolgt.
Diese Angriffe auf die IT-Lieferkette (IT Supply Chain) nutzen die Beziehungen aus, die Sie mit Ihren Lieferanten, deren Produkten oder den von Ihnen genutzten Dienstleistungen unterhalten. Mit anderen Worten: Es ist sicherlich einfacher, einen Ihrer schlecht ausgerüsteten Lieferanten anzugreifen, als direkt Ihr Netzwerk, das durch Ihre Firewalls, xDRs oder mögliche Detektionssonden geschützt ist. Die Vervielfachung der Sicherheitstools (im Durchschnitt 10) hat Cyber-Hacker zu anderen Methoden wie diesen indirekten oder Rebound-Angriffen verleitet. Beispielsweise hat die Kompromittierung der Internationalen Gesellschaft für Luftfahrttelekommunikation – SITA – im Jahr 2021 eine Methode für Angriffe auf mehrere Luftfahrtunternehmen geschaffen, die mit ihr zusammenarbeiten, darunter auch einige der Star Alliance.
Hinzu kommt die Tatsache, dass bei 100 % der von Wavestone im Jahr 2021 analysierten Angriffe die Angreifer im Besitz eines Domainkontos waren, also ein Konto mit den höchsten Zugangsrechten.
Um sich vor solchen Angriffsszenarien zu schützen, können Sie den Systemen Ihrer Lieferanten ein bestimmtes Sicherheitsniveau auferlegen, Sie können ihnen aber auch einfach keinen Zugriff auf Ihre privilegierten Konten gewähren.
An dieser Stelle kann eine VPAM-Lösung (Vendor Privileged Access Management) helfen.
Was ist eine „Vendor Privileged Access Management“ Lösung?
vPAM ist eine Kombination der Vorteile von PAM – Privileged Access Management für die Verwaltung von Konten mit Zugangsrechten und ZTNA – Zero Trust Network Access für den sicheren Zugriff auf die betriebenen Ressourcen.
PAM ermöglicht Ihnen somit:
- Die Überwachung von privilegierten Sitzungen
Es ist jederzeit möglich, genau zu wissen, wer sich womit verbunden hat, über eine Videoaufzeichnung der Sitzungen mit Zugangsrechten die durchgeführten Aktionen genau zu erkennen und so schnell die Quelle einer verdächtigen Änderung an einem Server oder einer Anwendung zu identifizieren.
- Sichere privilegierte Konten
Privilegierte Konten werden beim Einloggen des Lieferanten automatisch eingebettet, er ist also nicht im Besitz der entsprechenden Anmeldedaten. Es besteht also kein Risiko, dass diese aus dem Netzwerk Ihres Lieferanten entwendet werden.
- Die Kontrolle der Berechtigungen
Die Zugriffsrechte auf Ressourcen, auf die nur mit solchen Berechtigungen zugegriffen werden kann, die Zugriffsbedingungen werden den einzelnen Lieferanten explizit erteilt. Es ist daher leicht zu erkennen, wer die Berechtigung hat, sich womit zu verbinden, und sicherzustellen, dass sich ein Lieferant nicht mitten in der Nacht einloggen kann, wenn dies nicht notwendig ist.
- Den „Just-in-time“-Zugang
Der Zugriff auf Ressourcen wird nur so lange wie nötig aktiviert und kann mit einem Genehmigungs-Workflow geschützt werden. So behalten Sie die genaue Kontrolle über die Zugangsgenehmigungen, ohne dass Sie Ihre Geräte zeitaufwändig einstellen müssen.
Und der ZTNA ermöglicht Ihnen:
- Den sicheren Netzwerkzugriff
Der Lieferant greift nur auf die Ressource zu, die er benötigt, ohne einen globalen Zugriff auf das Netzwerk zu haben, und nur für die Dauer seines Verwaltungsvorgangs unter Beachtung des Least-Privilege-Prinzips (Zero Trust). Diese Verbindung wird ausschließlich beim Zugriff auf die Ressource hergestellt und kann nicht dazu genutzt werden, die ursprünglich gewährten Zugriffe außer Kraft zu setzen. Die potenzielle Angriffsfläche wird somit drastisch reduziert.
- Die MFA Implementation
Da die Identität des Lieferanten, der eine Verbindung herstellen möchte, im Mittelpunkt der Zugriffsrichtlinien steht, ist es von entscheidender Bedeutung, ein hohes Maß an Vertrauen in sie zu erreichen. Aus diesem Grund ist es notwendig, die Authentifizierung durch eine mobile Anwendung oder einen FIDO2-USB-Schlüssel zu verstärken.
VPAM ist daher der beste Ansatz, um die Risiken zu begrenzen und zu verhindern, dass der Zugriff Ihres üblichen Lieferanten zu einem Cybersicherheitsvorfall wird, der Ihr Unternehmen gefährdet.
vPAM, eine einfach zu bedienende Lösung
In der Praxis ist VPAM sehr einfach zu bedienen und könnte sogar Ihrem Lieferanten die Arbeit erleichtern.
Dieser meldet sich einfach mit den von Ihnen bereitgestellten Zugangsdaten auf einer Webschnittstelle an. Diese Zugangsdaten existieren kein zweites Mal in Ihrem IT-System, sie können nur für die Verbindung mit dem VPAM verwendet werden. Die Authentifizierung wird dann mit einem zufälligen Code verstärkt, der von einer mobilen App generiert wird, einem USB-Schlüssel (nach dem FIDO2-Standard) oder einem temporären Code, der per E-Mail verschickt wird.
Sobald dieser Schritt abgeschlossen ist, erhält der Lieferant Zugriff auf die Liste der Server und Anwendungen, die ihm zur Verfügung gestellt werden. Diese Liste wird dynamisch erstellt, je nachdem, wer er ist und welchen Verbindungsbedingungen er unterliegt. Gegebenenfalls hat er keinen Zugriff auf die sensibelsten Server, wenn er sich nicht in seinen üblichen Räumlichkeiten aufhält oder sich zu ungewöhnlichen Zeiten einloggt.
Der Zugriff erfolgt schließlich mit einem Klick auf den richtigen Server in der Liste. Die Sitzung öffnet sich direkt in seinem Browser, ohne dass er etwas auf seinem Computer installieren muss. Die Administrationskonten werden beim Öffnen der Sitzung automatisch eingefügt, ohne dass sie jemandem bekannt sind. Nun kann Ihr Lieferant mit seinen Arbeiten beginnen.
Er musste nichts installieren, hatte keine Kenntnis von den Anmeldekonten und konnte nicht auf Ressourcen zugreifen, zu denen er keine Verbindung herstellen sollte.
Sie erhalten eine Benachrichtigung über diesen Zugriff, eine vollständige Rückverfolgbarkeit der durchgeführten Aktionen und die Gewissheit, dass diese Aktion die Sicherheit Ihres IT-Systems nicht gefährdet.
Was sind die Vorteile einer Vendor Privileged Access Management-Lösung?
VPAM ist keine CyberSecurity-„Steuer“, sondern bringt spürbare operative Vorteile für die alltägliche Arbeit der IT-Abteilung:
- Sie beschleunigen und erleichtern die Verbindungen Ihrer Lieferanten
Sie gewähren schnell und sicher Zugang, ohne Konten im AD erstellen, Zugriffsrechte überprüfen und Passwörter regelmäßig ändern zu müssen.
Ihre Lieferanten können sich somit eigenständig einloggen, ohne dass sie die IT-Abteilung stark beanspruchen müssen.
- Sie kontrollieren und überwachen die durchgeführten Aktionen
Sie identifizieren immer wiederkehrende Aktionen, die von Ihren Lieferanten durchgeführt werden, um diese gegebenenfalls intern abzubilden.
Zudem kontrollieren Sie die Korrektheit der Rechnungsstellung für die durchgeführten Maßnahmen.
- Sie schützen Ihr IT-System
Sie verhindern, dass böswillige oder ungeschickte Aktionen in einer kritischen Anwendung oder einem Server Ihr Unternehmen lahmlegen, indem Sie unerwartete Aktionen in Echtzeit blockieren oder Änderungen nach dem Vorfall schnell wieder zurücksetzen.
- Sie vereinfachen die Aufrechterhaltung des Betriebszustands
Sie ersetzen mehrere Ihrer aktuellen Lieferantenzugangstools durch eine einzige, vollständig integrierte Lösung.
Teilen Sie Ihre Best Practices für den Zugriff Ihrer Lieferanten mit uns! Ich freue mich über einen Austausch mit Ihnen.
behind the elements
Folgen Sie Matt & Jonathan auf unserem YouTube-Kanal, um die besten Funktionen der Cyberelements-Plattform zu entdecken und nützliche Einblicke in Cybersicherheitsthemen zu erhalten.“