Privileged Access Management

Schutz vor Missbrauch privilegierter Zugänge

Von privilegierten Benutzerkonten gehen erhebliche Gefahren aus. Fahrlässigkeit beim Umgang mit Zugangsdaten oder der Missbrauch von erweiterten Berechtigungen können weitreichende Schäden nach sich ziehen. Dazu gehören Datendiebstahl oder Systemausfälle und daraus resultierende Umsatzeinbußen, Strafen oder Reputationsverlust.

Manuelle Prozesse für das Management von Benutzerkonten, Passworten und Berechtigungen sind aufwändig und fehleranfällig. Bei gemeinsamer Nutzung von Administratorkonten ist die Zurechenbarkeit von Aktionen nicht gegeben. Im Ernstfall ist mangels geeigneter Aufzeichnungen oft nicht nachvollziehbar was genau geschah, wodurch sich Fehlerbeseitigung und/oder Beweisführung schwierig gestalten.

Studien belegen einhellig, dass privilegierte Benutzerkonten das Haupteinfallstor für Cyberkriminelle darstellen. Hier bietet sich auch deshalb so viel Angriffsfläche, weil es i.d.R. viel zu viele solcher Konten gibt – unnötigerweise dauerhaft und mit zu vielen Rechten ausgestattet. Traditionelle Methoden der Bedrohungsabwehr konzentrieren sich auf die Verwaltung dieser „Standing Privileges“. So wird aber aber nicht die Wurzel des Problems angegangen. Viel wirkungsvoller wäre es, diese sensiblen Konten zu deaktivieren, wenn sie nicht gebraucht werden.

Unsere Lösung:

Der Stealthbits Privileged Activity Manager (sbPAM) funktioniert auf Basis kurzlebiger Konten („Ephemeral Accounts“), die nur so lange existieren bzw. dynamisch mit den Berechtigungen ausgestattet sind, wie sie momentan benötigt werden. Ruhende Konten sind nicht mit Berechtigungen ausgestattet und daher nicht angreifbar. In der Phase vor einer Sitzung kann ein Konto erstellt/aktiviert und Rollen zugewiesen werden. Die Sitzungsphase bestimmt die Art der Aktivität (z.B. interaktive Serveranmeldung, Anwendungsstart). Die Phase nach der Sitzung stellt sicher, dass die Berechtigungen der für die Aktivität verwendeten Konten zurückgesetzt werden. Optional können die Konten deaktiviert oder entfernt werden.

Ausufernde Komplexität wirkt sich bei der Umsetzung wirkungsvoller Sicherheitskonzepte nachteilig aus. Daher liegen dem Design von sbPAM Einfachheit und leichte Bedienbarkeit zugrunde – ohne, dass Sie dabei in Sachen Leistungsfähigkeit Abstriche machen müssen!

Der Funktionsumfang von sbPAM:

Keine ruhenden Berechtigungen (Standing Privileges)

Die benötigten Berechtigungen zum Ausführen einer geplanten Aktivität werden zum erforderlichen Zeitpunkt erteilt und nach Abschluss der Session wieder vollständig entzogen.

Unterstützung für kurzlebige Konten

Mit sbPAM können mittels „Activity Tokens“ temporäre Berechtigungen und Zugriffsrechte im Moment des Bedarfs automatisch breitgestellt anschließend wieder gelöscht werden.

Sicherstellen Governance für Zugriffsvergaben

Mit sbPAM können die Compliance-Vorgaben bei der Vergabe von privilegieren Berechtigungen eingehalten werden, da die Freigaben mit dem integrierten Workflow-Prozess jederzeit ersichtlich sind und exportiert werden können. Die notwendige Transparenz ist damit sichergestellt.

Schnelle & einfache Integration garantiert

Die Architektur von sbPAM ermöglicht eine rasche und einfache Integration in die bestehende Unternehmensinfrastruktur. Im Gegensatz zum Sicherheitsgewinn sind die Aufwendungen gering und durch leicht erfüllbar.

Unterstützt BYOV (Bring your own Vault®)

sbPAM verfügt über einen eigenen Vault für die Verwaltung von Anmeldeinformationen, kann aber auch mit bestehenden Vault anderer Hersteller integriert werden umso eine Wiederverwendung bestehender Mittel zu garantieren (Investitionsschutz).

Session Recording & Wiedergabe

sbPAM verfügt über eine integrierte Aufzeichnungs- & Wiedergabe Funktion der verwalteten Sessions. Damit können im Falle von internen oder externen Nachforschungen oder dem Sicherstellen der Beweiskette die nötigten Nachweise erbracht werden.

Einfache Konfiguration

Im Vergleich zu anderen vergleichbaren Verwaltungsinstrumente bietet sbPAM ein einfaches und unkompliziertes PolicyManagement, welches aus drei Grundelementen besteht:

  • Benutzer: Administratoren, welche einen privilegierten Zugriff benötigen
  • Ressourcen: Systeme oder Anwendungen
  • Aktivitäten: Schritte zum Einrichten, Überwachen und Löschen von Berechtigungen

Eine Reduktion der Komplexität bei der Verwaltung und Erteilung von Privilegierten Berechtigungen ist der Schlüssel zur Erhöhung der Sicherheit und Einhaltung der Governance Vorgaben. Zugriffe auf kritische Infrastrukturen benötigen klare und verständliche Richtlinien, welche aber auf die Bedürfnisse und Anforderungen jeder Umgebung adaptiert werden können. Die Konfigurationsmöglichkeiten von sbPAM unterstützen diesen Anforderungen im hohen Masse.

Ihre Vorteile:

  • Garantieren Sie berechtigte Zugriffe: Mit der adaptiven «Zero-Trust» Sicherheitsarchitektur kann sichergestellt werden, dass alle privilegierten Zugriffe nach einer mehrstufigen Genehmigung autorisiert sind.

  • Keine stehenden Berechtigungen: Die erforderlichen Zugriffsrechte werden zum benötigten Zeitpunkt dynamisch bereitgestellt und anschließend wieder vollständig entzogen.

  • Erfüllen Sie „Best Practices“: Durchsetzen der Trennung von Berechtigungen für den privilegierten Zugriff von den Standardberechtigungen, mittels automatisierter Verfahren sind die Prinzipien „Least Privileges“ und „Need to know“ sichergestellt.

  • Nachvollziehbarkeit und Beweislage sichern: sbPAM zeichnet alle Administrationsaktivitäten während der Session als Video auf, welches bei möglichem Fehlverhalten oder Angriffen im Nachgang zur Kontrolle und Beweissicherung abgespielt werden kann.

  • Just-in-Time Zugriffe ermöglichen: Privilegierte Zugriffsberechtigungen können dynamisch für einzelne Benutzer, im Dual Modus (temporär oder als Namensvertreter) und für Shared-Accounts bereitgestellt werden.

  • Reduzieren Sie die Angriffsfläche: Mit sbPAM können Kerberos-Tickets nach der Session automatisch gelöscht werden, um so mögliche Angriffe via Pass-the-Hash oder Golden-Ticket zu verhindern.

Partner

Kontakt

Sprechen Sie mit uns über Ihre Anforderungen!