Sowohl Cyber-Attacken als auch Insider-Angriffe sind häufig auf eine missbräuchliche Nutzung privilegierter Benutzerkonten zurückzuführen. Ohne eine strikte Vergabe und Überwachung von IT-Berechtigungen sind Unternehmen hier potenziellen Angreifern schutzlos ausgeliefert. Eine zukunftsweisende Sicherheitslösung sollte dabei auch Echtzeit-Analytik und -Alarmierung bereits bei einer verdächtigen Nutzung privilegierter Benutzerkonten bieten. [...]
Außerdem wird mit einem Threat-Analytics-Ansatz die Effektivität von SIEM-Systemen (Security Information and Event Management) nachhaltig erhöht, indem durch intelligent aufbereitete Informationen beispielsweise auch die Zahl der Fehlalarme reduziert wird. Nicht zuletzt werden so auch kritische User-Konten entdeckt, die noch nicht in die Privileged-Account-Security-Lösung integriert worden sind (Stichwort: Vollständigkeitsprüfung).
SYSLOG-DATENANALYSE IST UNZUREICHEND
Bei der Auswahl einer Lösung mit Threat-Analytics-Funktionalität sollten Unternehmen darauf achten, dass sie konkret auf die Risiken im Zusammenhang mit privilegierten Benutzerkonten zugeschnitten ist, bei denen es sich oft um Shared Accounts handelt, also Konten, die von mehreren Personen benutzt werden. Mit herkömmlichen Ansätzen wie einer Syslog-Datenanalyse können die Aktivitäten solcher Konten keinem speziellen Anwender (Menschen) zugeordnet werden. Gefragt ist also eine Anwendung, die das Account-Verhalten auf Einzelbenutzer-Ebene analysiert und präzise, kontextbezogene und sofort umsetzbare Warnhinweise liefert. Damit lassen sich auch für den sicherheitskritischen Bereich der generi-schen Benutzerkonten Alarme generieren, die eindeutig einer Person zuzuordnen sind.
Speziell für die Echtzeit-Analytik und -Alarmierung bei der verdächtigen Nutzung privilegierter Benutzerkonten hat CyberArk auch seine Applikation Privileged Threat Analytics (PTA) entwickelt. Die Lösung „erlernt“ für jeden Nutzer privilegierter Konten automatisch ein Verhaltensprofil, das zudem permanent aktualisiert wird. Sie analysiert dabei laufend das Nutzerverhalten und passt ihre Risikobewertung kontinuierlich an die Verhaltensmuster autorisierter privilegierter Nutzer an. Ausgehend von einem Normalprofil des privilegierten Benutzers erkennt die Applikation Abweichungen bei der Account-Verwendung und damit Anomalien im Verhalten. Dabei bewertet sie automatisch jede einzelne Anomalie und ermittelt mit patentierten selbstlernenden Analysealgorithmen anhand von Ereigniskorrelationen die jeweilige Bedrohungsstufe. Die Lösung kann sowohl Daten aus Privileged-Account-Security-Anwendungen als auch kontextbezogene Informationen aus anderen Quellen wie Unix- oder Windows-Systemen berücksichtigen. Ebenso können Log-Files aus SIEM-Systemen für die Analyse herangezogen werden.
Insgesamt betrachtet sind privilegierte Benutzerkonten per se eine zentrale Sicherheitslücke der IT. Das ist inzwischen auch weitgehend bekannt. An einer Lösung für den gezielten Schutz dieser Konten führt deshalb kein Weg vorbei. Und idealerweise wird dabei auch eine Applikation genutzt, die in der Lage ist, verdächtige Aktivitäten zu erkennen. Damit kann ein Unternehmen die Gefahren des Datenmissbrauchs und -diebstahls durch missbräuchliche Nutzung privilegierter Benutzerkonten entscheidend reduzieren.
* Christian Götz ist Regional Professional Services Manager DACH bei CyberArk in Heilbronn.
Be the first to comment