zurück zur Übersicht

Wann wurde denn dieses Konto erstellt?

photocase4gzpvvqr53754311Markus-Gann_photocaseHaben Sie sich diese Frage schon mindestens einmal gestellt? Handelt es sich um das Überbleibsel einer alten Implementierung oder eines neuen Releases? Wurde es zu Testzwecken eingerichtet, oder wegen eines dringenden Notfalls irgendeiner Art? Falls der Zweck nicht dokumentiert worden ist, und kein Mitarbeiter davon weiß: Liegt am Ende vielleicht sogar ein Angriff vor? Je größer die Privilegien des Phantomusers, desto besorgniserregender ist die Situation. Wie könnte man solche Szenarien vermeiden – oder zumindest rechtzeitig erkennen?

Die erste Frage kann kurz und knackig beantwortet werden – höherer Sicherheitsgrad. Standard-Zugänge auf minimale Rechte beschränken, restriktive Richtlinien und streng kontrollierter Zugriff bei allen Systemen sowie ein abgesicherter Authentifizierungs- bzw. Autorisierungsprozess sind dringend erforderlich. Doch damit ist es nicht getan. Was die Erkennung betrifft: Es gibt mehrere Ansätze, um das Einrichten eines Kontos frühzeitig zu erkennen.

Ein passiver Ansatz sammelt die Logs mit System Events.Die entsprechenden Ereignisse werden erfasst und zu Dokumentationszwecken festgehalten. Geschehen kann dies über zentrale Log Management Systeme wie Splunk oder spezialisierte SIEM-Systeme (Security Information and Event Management). Eine andere Möglichkeit ist, die Nutzung privilegierter Konten gezielt zu überwachen mittels Art Threat Analytics. CyberArk PTA (Privileged Threat Analytics) bietet ein solches System. Der Vorteil ist, dass sich so ein Analysemechanismus ohne großen Aufwand in die obengenannten Lösungen zusätzlich integrieren lässt.

Ein aktiver Ansatz wäre, wenn ein Prozess sich regelmäßig zu allen Hosts aber auch zu einem zentralen Punkt wie Active Directory verbindet und nach neuen Accounts sucht. In Active Directory ist es einfach, neue Konten zu ermitteln, z.B. mit dsquery. Lokale Konten müssten aus dem Event Log ausgelesen oder durch Vergleiche mit vorherigen Zuständen ermittelt werden. Im Fall von Linux/Unix basierten Systemen kann man auf Änderungen in LDAP und /etc/passwd prüfen.  Der Nachteil von dieser Methode ist, dass eventuelle „böse“ Konten erst nach einer bestimmten Zeit entdeckt werden. Je nach Prüfintervall kann in dieser Zeit bereits enormer Schaden entstehen. Der Vorteil liegt darin, dass bei Entdeckung verdächtiger Konten sofort zusätzliche Schritte ausgeführt werden können: Sollte das Konto gelöscht, zurückgesetzt oder deaktiviert werden? Die modernen Lösungen, die privilegierte Konten verwalten, sind in der Lage, beide Varianten zu verknüpfen und damit die Vorteile beider Ansätze wie Effizienz, Reaktionszeit und Entscheidungsmöglichkeiten zu erzielen. Sobald neue Benutzerkonten gefunden werden, hat der Administrator die Möglichkeit, interaktiv das weitere Vorgehen zu steuern und eventuell die genehmigten Konten nach einer Vorlage an einem sicheren Ort zu speichern.

So ist die Organisation in der Lage, nicht nur neue privilegierte Konten zu erkennen, sondern auch einen stets vollständigen Überblick über alle Konten zu haben. Möchten Sie auch diese Stufe erreichen? Dann sprechen Sie uns an!


Links:

https://www.it-cube.net/de/it-security-portfolio/applications-database/privileged-identity-management/

Bild: ©Photocase/Markus Gann

Schreibe einen Kommentar