Sicherung privilegierter Benutzerkonten beginnt beim Erkennen verdächtiger Aktivitäten

Sowohl Cyber-Attacken als auch Insider-Angriffe sind häufig auf eine missbräuchliche Nutzung privilegierter Benutzerkonten zurückzuführen. Ohne eine strikte Vergabe und Überwachung von IT-Berechtigungen sind Unternehmen hier potenziellen Angreifern schutzlos ausgeliefert. Eine zukunftsweisende Sicherheitslösung sollte dabei auch Echtzeit-Analytik und -Alarmierung bereits bei einer verdächtigen Nutzung privilegierter Benutzerkonten bieten. [...]

Außerdem wird mit einem Threat-Analytics-Ansatz die Effektivität von SIEM-Systemen (Security Information and Event Management) nachhaltig erhöht, indem durch intelligent aufbereitete Informationen beispielsweise auch die Zahl der Fehlalarme reduziert wird. Nicht zuletzt werden so auch kritische User-Konten entdeckt, die noch nicht in die Privileged-Account-Security-Lösung integriert worden sind (Stichwort: Vollständigkeitsprüfung).

SYSLOG-DATENANALYSE IST UNZUREICHEND

Bei der Auswahl einer Lösung mit Threat-Analytics-Funktionalität sollten Unternehmen darauf achten, dass sie konkret auf die Risiken im Zusammenhang mit privilegierten Benutzerkonten zugeschnitten ist, bei denen es sich oft um Shared Accounts handelt, also Konten, die von mehreren Personen benutzt werden. Mit herkömmlichen Ansätzen wie einer Syslog-Datenanalyse können die Aktivitäten solcher Konten keinem speziellen Anwender (Menschen) zugeordnet werden. Gefragt ist also eine Anwendung, die das Account-Verhalten auf Einzelbenutzer-Ebene analysiert und präzise, kontextbezogene und sofort umsetzbare Warnhinweise liefert. Damit lassen sich auch für den sicherheitskritischen Bereich der generi-schen Benutzerkonten Alarme generieren, die eindeutig einer Person zuzuordnen sind.

Speziell für die Echtzeit-Analytik und -Alarmierung bei der verdächtigen Nutzung privilegierter Benutzerkonten hat CyberArk auch seine Applikation Privileged Threat Analytics (PTA) entwickelt. Die Lösung „erlernt“ für jeden Nutzer privilegierter Konten automatisch ein Verhaltensprofil, das zudem permanent aktualisiert wird. Sie analysiert dabei laufend das Nutzerverhalten und passt ihre Risikobewertung kontinuierlich an die Verhaltensmuster autorisierter privilegierter Nutzer an. Ausgehend von einem Normalprofil des privilegierten Benutzers erkennt die Applikation Abweichungen bei der Account-Verwendung und damit Anomalien im Verhalten. Dabei bewertet sie automatisch jede einzelne Anomalie und ermittelt mit patentierten selbstlernenden Analysealgorithmen anhand von Ereigniskorrelationen die jeweilige Bedrohungsstufe. Die Lösung kann sowohl Daten aus Privileged-Account-Security-Anwendungen als auch kontextbezogene Informationen aus anderen Quellen wie Unix- oder Windows-Systemen berücksichtigen. Ebenso können Log-Files aus SIEM-Systemen für die Analyse herangezogen werden.

Insgesamt betrachtet sind privilegierte Benutzerkonten per se eine zentrale Sicherheitslücke der IT. Das ist inzwischen auch weitgehend bekannt. An einer Lösung für den gezielten Schutz dieser Konten führt deshalb kein Weg vorbei. Und idealerweise wird dabei auch eine Applikation genutzt, die in der Lage ist, verdächtige Aktivitäten zu erkennen. Damit kann ein Unternehmen die Gefahren des Datenmissbrauchs und -diebstahls durch missbräuchliche Nutzung privilegierter Benutzerkonten entscheidend reduzieren.

* Christian Götz ist Regional Professional Services Manager DACH bei CyberArk in Heilbronn.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*