Der traditionelle Netzwerkperimeter ist de facto wertlos geworden. Als neuer Perimeter fungiert die Identität, sei es eine Person, eine Applikation oder eine Maschine. Zur Abwehr von Cybergefahren sollten Unternehmen deshalb eine identitätsbasierte Sicherheitsstrategie verfolgen. Der erste Schritt ist dabei die Identifizierung aller Identitäten.
Von Michael Kleist, CyberArk
Jede Identität stellt in der hybriden und Multi-Cloud-Welt einen eigenen, neuen Perimeter dar. Angreifer können Identitäten – vor allem solche mit privilegierten Rechten – missbräuchlich nutzen, um auf unternehmenskritische Ressourcen zuzugreifen. Noch vor einigen Jahren verfügten in der IT nur kleine Gruppen von Anwendern – meistens Administratoren – über privilegierte Rechte. Inzwischen kann aber jede Identität solche Rechte besitzen, gleichgültig ob ein Kunde, Remote-Mitarbeiter und Drittanbieter oder auch ein Gerät und eine Anwendung. Privilegierte Rechte sind für Identitäten in vielen Fällen unverzichtbar, etwa für den Zugriff von Entwicklern auf Quellcode, von Anwendungen auf Datenbanken oder von Drittanbietern auf Unternehmensressourcen.
Auf Unternehmensseite bestehen oft noch Unklarheiten im Hinblick auf die Arten und die Anzahl von Identitäten. Prinzipiell sind menschliche und nicht-menschliche Identitäten zu unterscheiden: Die menschlichen Identitäten betreffen in erster Linie Personen wie Administratoren oder Superuser, aber etwa auch Entwickler und DevOps-Ingenieure. Darüber hinaus finden sich privilegierte Rechte in Applikationen, Tools und Systemen – dabei handelt es sich dann um die nicht-menschlichen Identitäten. Sie werden in Sicherheitskonzepten oft nur unzureichend berücksichtigt, obwohl sie in fast jedem Unternehmen in sehr großer Anzahl vorhanden sind. Laut einer aktuellen CyberArk-Untersuchung kommen auf jede menschliche Identität 45 maschinelle Identitäten.
Auf der Applikationsebene sind die Applikation-zu-Applikation-Verbindungen zu beachten. Alle technischen Verknüpfungen zwischen Teilen einer Applikationslandschaft erfordern einen privilegierten Zugang für den Datenzugriff, auch wenn es nur um Lese- und nicht um Änderungsrechte geht. Solche Verbindungen bestehen etwa zwischen Applikation und Datenbank, zwischen Applikation und Middleware-Produkten – und von dort wiederum zu weiteren Infrastrukturdiensten – oder auch direkt zwischen Anwendungen. Auf der Toolebene sind vor allem die Cloud und die Automation zu nennen, die in immer stärkerem Maße an Bedeutung gewinnen. Hier geht es um Lösungen wie Jenkins, Puppet, Chef, OpenShift oder auch RPA. Nicht zu vergessen sind zudem Skripte, die ebenfalls häufig für die Automation eingesetzt werden. Auf der technischen Systemebene schließlich sind die System-zu-System-Verbindungen zu berücksichtigen, also die in vielen Systemen vorhandenen Service-Accounts. Windows etwa verfügt über eine große Anzahl solcher Accounts, um Services im richtigen Kontext zu starten und zu stoppen und um eine Automation auf einem granularen Level zuzulassen.
Die Identifizierung aller Identitäten – auch der bisher unbekannten oder nicht verwalteten – ist der erste Schritt, um ein Identity-Security-Konzept erfolgreich umzusetzen. Dabei ist auch zu beachten, dass die Zahl menschlicher und nicht-menschlicher Identitäten kontinuierlich steigt. Der Grund: Im Rahmen der zunehmenden Digitalisierung finden immer mehr Interaktionen zwischen Menschen, Applikationen und Prozessen statt.
Auf die Nutzung menschlicher Identitäten in einem nicht-menschlichen Kontext ist besonders hinzuweisen. So werden in den bereits erwähnten Skripten historisch auch oft persönliche Identitäten verwendet, was zusätzliche Risiken birgt.
Zur Gefahrenabwehr führt kein Weg an der Nutzung einer Identity-Security-Lösung vorbei. Sie fokussiert ausgehend von einem Privileged-Access-Management die Sicherung individueller Identitäten – unabhängig davon, ob es sich um eine Person oder eine Maschine handelt. Zu den konkreten Aufgaben einer solchen Lösung gehört, eine Identität sicher zu authentifizieren, sie mit den richtigen Berechtigungen zu autorisieren und dieser Identität auf strukturierte Weise Zugang zu kritischen Ressourcen zu gewähren. Das heißt, es sollte ein Zero-Trust-Prinzip gelten. Es sieht die Überprüfung sämtlicher Akteure und Prozesse vor, die eine Verbindung zu kritischen Systemen herstellen wollen. Jede Identität, die auf Unternehmensressourcen zugreifen will, wird dabei mit mehreren Faktoren verifiziert – je kritischer der Zugriff, desto stärker die Authentisierung.
Grundsätzlich sollten auch immer ein Least-Privilege-Prinzip durchgesetzt und die Just-In-Time-Zugriffsmethode genutzt werden. Das heißt, durch die Vergabe von kontextbezogenen Rechten erhalten die Anwender abhängig von der durchzuführenden Tätigkeit passende Rechte. Dieser Least-Privilege- und Just-In-Time-Ansatz vermeidet eine dauerhafte Rechteansammlung und macht es damit Angreifern deutlich schwerer, an ihr Ziel zu gelangen.
Unternehmen bieten Hackern zweifellos eine zunehmend größere Angriffsfläche, da immer mehr Identitäten in unterschiedlicher Form und stärkerer Vernetzung in Geschäftsanwendungen, Cloud-Workloads und technischen Komponenten vorhanden sind. Da sowohl die menschlichen als auch die nicht-menschlichen Identitäten privilegiert sein können, sind somit neue Sicherheitsstrategien erforderlich. Sie müssen zwar das Privileged-Access-Management weiterhin in den Mittelpunkt stellen, aber zugleich in Richtung einer umfassenden Identitätssicherheit erweitert werden.
Michael Kleist ist Area Vice President DACH bei CyberArk.