Sind jetzt alle Konten privilegiert?
Ein Leitfaden für modernes IAM
Wie die Herausforderungen, mit denen moderne Unternehmen konfrontiert sind, ein Katalysator für die Neuentwicklung der Identitäts- und Sicherheitsarchitektur sein können, in die sie investieren. Durch die Bereitstellung eines besseren Zugriffs auf PAM-ähnliche Funktionen für alle Identitätstypen kann nicht nur die Risikoexposition verringert werden, sondern dem Unternehmen auch eine Grundlage für geschäftliche Agilität und verbesserte Leistung bieten.
„Die Zukunft ist bereits da – sie ist nur nicht gleichmäßig verteilt“ – ist eine oft (manchmal zu Unrecht) zitierte Aussage von William Gibson1aus. Wenn sie ausschließlich durch die Linse der Technologie betrachtet wird, kann sie potenziell genutzt werden, um sowohl die Probleme von morgen als auch die möglichen Lösungen zu sehen.
Warum ist das relevant, wenn es um Identitäts- und Zugriffsmanagement geht?
Evolution von IAM-Plattformen
Die Identität hat sich in den letzten zehn Jahren erheblich weiterentwickelt. Die Ursprünge von IAM liegen im B2E-Bereich der Belegschaft, wo Produktivität, Mitarbeitereffizienz und Kostenkontrolle oft die Hauptgründe für die Einführung waren. Hohe Risiken wurden über Standard-Risikomanagement-Frameworks wie ISO27001/2 oder NIST RMF identifiziert und gesteuert. Dies führte häufig zu Kontrollen wie Multi-Faktor-Authentifizierung, automatisierten Prozessen für die Joiner-Mover-Leaver-Workflows, vielleicht der Verwendung einer rollenbasierten Zugriffskontrolle und der Behandlung von gemeinsam genutzten oder leistungsstarken privilegierten Dienstkonten mit Vaulting- und Überwachungskontrollen. Im Wesentlichen Kontrollen, die nicht gleichmäßig über das modernere Unternehmen verteilt waren. Sie waren selektiv (und zu dieser Zeit wahrscheinlich zu Recht).
Die Tools und Produkte, die diese Identitätskontrollen bereitstellen, waren oft spezialisiert, isoliert in ihrer Bereitstellung und konzentrierten sich auf gezielte Identitäten, Anwendungen oder Szenarien. Während dies einen gewissen Schutz bot, entwickelte sich die Identitätslandschaft schnell weiter – sie umfasste nicht nur verschiedene Identitätstypen (Verbraucher, Partner, Geräte, Workloads.), sondern auch, wie Risiko- und Bedrohungsinformationen integriert werden mussten, um agilere und anpassungsfähigere Sicherheitsansätze wie Zero Trust zu unterstützen. Produkte mit einer derart begrenzten Akzeptanz und Fokussierung könnten nun weder eine geringere Risikoposition noch eine Kapitalrendite für die zukünftige Landschaft bieten.
PAM-Anforderungen
Gehen wir einen Schritt zurück und konzentrieren uns in einem Beispiel speziell auf die Verwaltung privilegierter Zugriffe. Die Standardanforderungen sind hier in der Regel Funktionen wie Passwort-Vaulting und -Rotation (insbesondere für gemeinsam genutzte Konten), Sitzungsüberwachung (die eine Möglichkeit bietet, das Verhalten von Benutzern zu einem bestimmten Zeitpunkt proaktiv und retrospektiv zu analysieren), die Verwendung von Multi-Faktor-Authentifizierung während der Ausgabe privilegierter Anmeldeinformationen und die Verwendung von Risikoanalysen, die wahrscheinlich auf Geräte-, Standort- und Aktivitätsdaten basieren.
Die Abdeckung und Auswahl von PAM-basierten Lösungen beschränkte sich oft auf Systemkonten, gemeinsam genutzte Konten oder administrative Konten. Das Problem heute ist natürlich, dass der Missbrauch und die Eskalation von Privilegien für jede Identität innerhalb des Nachlasses auftreten können, was eine Änderung der Denkweise erfordert, nicht nur aus Sicht des Risikos, sondern auch aus Sicht der Kontrollen, Gegenmaßnahmen.
Hacker melden sich in der Regel an, sie brechen nicht ein und sind oft in der Lage, entweder vorhandene (und korrekt zugewiesene) Berechtigungen wiederzuverwenden oder zu versuchen, die klassischen Schritte zu erhöhen, indem sie eine Operation mit einem Konto erstellen und mit einem anderen entfernen, um Flags für verdächtiges Verhalten zu vermeiden.
Anwenden von PAM auf verschiedene Identitätstypen
Unternehmen müssen also nicht nur das Konzept sehen, dass jeder Benutzer potenziell ein „privilegierter Benutzer“ ist, sondern dies auch aus einer breiteren Perspektive tun – und zwar über eine Reihe neuer Identitätstypen hinweg. Mitarbeiter, Auftragnehmer, Geschäftspartnerkonten, Workload-Identitäten und -Dienste, Geräte und auch Identitäten, die in den Bereichen Betriebstechnologie (OT) und industrielle Steuerungssysteme (ICS) arbeiten.
Wir haben nicht nur eine breitere Palette von Identitätstypen gesehen, sondern auch die Assets und Transaktionen, auf die diese Identitäten zugreifen und diese abschließen, haben zugenommen. Von einem standardmäßigen B2E-Ökosystem, das oft vor Ort lokal, hochgradig kontrolliert und verstanden wurde, bis hin zu einem Ökosystem, das Hybrid-Cloud-Komponenten, SaaS, Kundenanwendungen, Industrieanlagen, Dateien, Daten und APIs enthält – was die Transparenz und Zentralisierung der Kontrolle reduziert.
Treiber - Erhöhtes Identitätsrisiko
Mit der Erweiterung des Spektrums an Identitäten und Assets, auf die zugegriffen wird, sind auch die mit der Identität verbundenen Risiken gestiegen. Die IAM-Infrastruktur ist zu einer neuen Angriffsfläche geworden – sie ist oft verteilt, isoliert und verfügt nicht über Transparenz und Reaktionsfähigkeiten. Für einen Angreifer ist es vielleicht einfacher, ein Web-Cookie zu stehlen, als zu versuchen, einen Endbenutzer für seine Anmeldedaten zu manipulieren. Möglicherweise ist es einfacher, drei „Standard“-Benutzerkonten miteinander zu verketten, um eine komplexere Transaktion abzuschließen. Es ist möglicherweise einfacher, eine Schwachstelle in einer mobilen Anwendung eines Drittanbieters auszunutzen, um ein Zugriffstoken für den Identitätsdiebstahl zu stehlen. Die IAM-Angriffsfläche enthält eine breitere Palette von Einstiegspunkten, da die Identität heute sowohl für die Sicherheit als auch für den Geschäftserfolg von grundlegender Bedeutung ist.
Vorteile - Sicherheit & Business Performance
Bei der Anwendung eines höheren Satzes von Sicherheitskontrollen auf die gesamte IAM-Landschaft geht es jedoch nicht nur darum, Risiken zu reduzieren. Durch die Bereitstellung eines agileren und anpassungsfähigeren Satzes von Identitätssicherheitsfunktionen kann das Unternehmen auf verschiedene Weise erfolgreich sein.
Verbesserter Datenaustausch und Zusammenarbeit helfen, Geschäftsprobleme schneller zu lösen. Durch die Bereitstellung eines gerechteren und reaktionsschnelleren Zugangs kann die Markteinführungszeit für neue Dienstleistungen und Projekte verkürzt werden. Die Öffnung des Zugangs zu vertrauenswürdigen Dritten kann dazu beitragen, neue Anwendungen schneller zu starten.
Zusammenfassung
Die Identity- und Access-Management-Landschaft hat sich in den letzten 5 Jahren stark verändert. IAM ist nicht nur zur Grundlage für agile Sicherheitskonzepte wie Zero Trust geworden, sondern kann auch die Kundenbindung ermöglichen und den Umsatz steigern, die Betriebstechnologie und ICS-Umgebungen modernisieren sowie die nächste Generation von Smart Cities und Automatisierung ermöglichen. Leider kann auch dies Risiken mit sich bringen.
Isolierte Lösungen für PAM, MFA und Zugriffsmanagement sind nicht mehr in der Lage, die Vielzahl der zu schützenden Identitäten und Assets zu bewältigen. Es ist wichtig, die ehemals spezialisierten und futuristischen Technologien und Steuerungen auf das gesamte Spektrum der IAM-Landschaft anzuwenden.
1 https://www.goodreads.com/quotes/681-the-future-is-already-here-it-s-just-not-evenly
Simon Moffatt
CEO &; Gründer - The Cyber Hut