rvlsoft - Fotolia

Privileged Account Management ergänzt SIEM-Lösungen

Werden PAM- und SIEM-Lösungen kombiniert, lässt sich der Missbrauch von privilegierten Benutzerrechten leichter erkennen. Eine Verbindung zur Zeiterfassung kann da sinnvoll sein.

In vielen Unternehmen ist sie ein wichtiger Bestandteil der täglichen Arbeit, die Zeiterfassung. Es gibt zwar immer mehr Tendenzen, die Arbeitszeit zu flexibilisieren, doch nicht überall ist dieser Trend sinnvoll und nicht alle Firmen öffnen sich diesem Ansatz. Eine digitale Zeiterfassung bietet Sicherheits-Administratoren die Möglichkeit, sich schnell einen Überblick darüber zu verschaffen, wer wann arbeitet und sich an welchem Standort aufhält.

Die Auswertung dieser in den Systemen gespeicherten Informationen übernimmt immer öfter ebenfalls ein automatisches System, mit dem sich diese Log-Daten analysieren und bewerten lassen. Sowohl Remote- als auch stationäre Arbeitsplätze können dann in eine Verbindung mit den auf den Clients installierten Accounts gesetzt werden. Die Analyse der Daten gibt dann Aufschluss darüber, ob sich an einem System auch wirklich ein physischer Mitarbeiter eingeloggt hat oder aber jemand von außen und ob derjenige auch der ist, der er vorgibt zu sein.

Der Großteil der Unternehmen setzt grundlegende Sicherheitsmechanismen wie Firewalls, Antiviren-Software oder Patches ein, um sich gegen Cyberattacken zu wehren. Solche Vorkehrungen decken die meisten, herkömmlichen Bedrohungen ab. Was passiert jedoch, wenn es einem Angreifer trotzdem gelingt, die Verteidigungslinie zu durchbrechen oder wenn sich die Bedrohungslandschaft wie aktuell schnell und flexibel ändert? In der Vergangenheit haben Unternehmen Sicherheit als punktuelle Lösungen betrachtet. Eine bestimmte Technologie an einer bestimmten Stelle löst ein bestimmtes Problem. Dieser Ansatz erweist sich vor dem Hintergrund der aktuellen Herausforderungen zunehmend als unbrauchbar.

Anstatt ein zentralisiertes Modell für die Authentifizierung, Autorisierung oder Verfolgung von Verhaltensweisen und Bedrohungen aufzubauen, räumen die meisten Unternehmen bestimmten Personen intern Zugangsrechte ein und verlassen sich dabei vollkommen auf die Integrität der einzelnen Mitarbeiter. Oft besitzen diese Nutzer weitreichende Zugriffsrechte. Allerdings werden die Aktionen, die diese Benutzer ausführen, und die Zwischenfälle, die daraus resultieren, weder aufgezeichnet noch analysiert oder bewertet. Die Konsequenz: viele Risse durchziehen die digitale Verteidigungsmauer.

Eine Sicherheitsmonitoring- beziehungsweise eine SIEM-Lösung (Security Information and Event Management) stellt aufgrund der granularen Analyse von Log-Daten und durch die automatische Generierung von Alarmen eine wertvolle Waffe im Kampf gegen externe Cyberbedrohungen dar. Mithilfe eines entsprechenden Tools lassen sich Anomalien im Zusammenhang mit dem Netzwerkverkehr aufdecken. Tritt ein solcher Fall ein, schlägt die Lösung sofort Alarm und schickt eine Warnmeldung an den IT-Sicherheits-Administrator. Ohne Zweifel, ein solcher Ansatz erweist sich als hilfreich bei der Abwehr von virtuellen Angriffen. Allerdings liegt hier noch nicht die Grenze des Möglichen.

Angriffsziele der Kill Chain und des Angreifers

Die Cyber Kill Chain dient häufig dazu, sowohl die Natur von Cyberattacken als auch die die Struktur des Eindringens zu beschreiben. Der Fokus der Kill Chain liegt auf der Entdeckung laufender Angriffe und Änderungen im Benutzer- beziehungsweise Computerverhalten, die auf einen Sicherheitsvorfall hindeuten. Die Kill Chain stellt einen solchen fest – unabhängig davon, ob es sich um einen internen oder externen Bedrohungsakteur handelt. Einer der ersten Schritte besteht darin, an welcher Stelle sich ein Angreifer (intern wie extern) Zugang zum Netzwerk verschafft und Informationen über Benutzerkonten sammelt.

Den nächsten Schritt bilden Bewegungen innerhalb des Netzwerks, die erst auftreten, wenn genügend Informationen bezüglich relevanter Konten gesammelt wurden. Danach wird der Export von Daten gestartet oder es werden zusätzliche Systeme kompromittiert. Bis zu diesem Punkt können Stunden, Wochen oder Monate vergehen. Die meisten Angriffsmuster folgen dieser Vorgehensweise. Eindringlinge bewegen sich dann solange innerhalb des Netzwerks, bis sie ihr anvisiertes Ziel erreichen, welches in den meisten Fällen die Server und die Domain Controller darstellen.

Privileged Account Management (PAM) erweitert SIEM-Lösungen

Ein privilegiertes Account Management (PAM) kann dazu beitragen, diese Form von Angriffen zu erkennen und abzuwenden. Mithilfe eines entsprechenden Tools lässt sich eine SIEM-Lösung mit Informationen bezüglich solcher Aktivitäten anreichern. Allgemein befindet sich eine SIEM-Lösung in der Lage, einen externen Angriff, der die Netzwerkperimeter verletzt, zu ermitteln.

Ein interner Angriff hingegen, wenn ein Benutzer seine Privilegien missbraucht, lässt sich durch die inhärente Funktionalität der PAM-Lösung erkennen. Die Bewegungen im Netzwerk lassen sich mit einem SIEM identifizieren. Die Bewegung kann dann erkannt werden, wenn die Logs und Traffic-Muster ausgewertet werden, die von den Netzwerkknoten erzeugt wurden. Sobald der Eindringling sein Ziel innerhalb des Netzwerks erreicht hat, braucht es eine Ausweitung der Privilegien, bevor Daten abfließen können. Genau an dieser Stelle können sich PAM- und SIEM-Lösungen ergänzen. Die Kombination ihrer Funktionen erlaubt es, einen Sicherheitsvorfall zu identifizieren.

Besonders anfällige Umgebungen kontinuierlich zu überwachen, spielt eine wichtige Rolle. Angreifer gehen für gewöhnlich den Weg des geringsten Widerstands. Also suchen sie sich genau die Lösungen aus, die vielfältige Komponenten in den am meisten gefährdeten Umgebungen unterstützen. Gezielte Angriffe picken sich Schwachstellen in weitverbreiteten Betriebssystemen oder Drittanbieter-Anwendungen als Ansatzpunkt heraus.

Diese Attacken beinhalten immer eine Erweiterung der Benutzerrechte. Der Einsatz einer PAM-Lösung schiebt diesem Prozess einen Riegel vor. Die SIEM-Lösung spürt dann parallele Bewegungen innerhalb des Netzwerks auf. Eine Kombination beider Technologien verfolgt und analysiert also alle Netzwerkvorgänge und ermöglicht dem erfahrenen Sicherheitsverantwortlichen die Erkennung der einzelnen Phasen eines Angriffs.

Vorteile aus dem Zusammenspiel von PAM und SIEM

Durch die Verbindung von PAM und SIEM ergeben sich Vorteile auf drei unterschiedlichen Gebieten. Das Zusammenspiel stellt Analytikern eine Art Werkzeugkasten zur Verfügung, der Transparenz jenseits dessen verspricht, was sich durch manuelle Prozesse und Bewertungen erwirken lässt. Erreicht wird dies durch die Kombination von Wissen darüber, warum Aktionen ausgeführt wurden und welche Veränderungen und Konsequenzen mit ihnen in Verbindung stehen.

„Zusammen gelingt es PAM und SIEM, ein wesentlich detaillierteres Bild zu zeichnen, was innerhalb des Unternehmensnetzwerks vor sich geht.“

 Pascal Cronauer, Logpoint

Zusätzlich können mithilfe fortgeschrittener Mustererkennung und eines Überblicks über Netzwerke und Accounts Insider-Bedrohungen verfolgt, analysiert und gestoppt werden, bevor Daten die Unternehmensgrenzen passieren. Der dritte Vorteil besteht in der Ende-zu-Ende-Sichtbarkeit. Die aus Systemen, Netzwerken und menschlichen Systemen gewonnene Einsicht stellt die durchgängige Sichtbarkeit dar, die die meisten Unternehmen angesichts der zunehmenden Komplexität ihrer Netzwerke suchen.

Fazit

Beide Ansätze, PAM und SIEM, stellen jeweils für sich genommen einen sinnvollen Schritt in Richtung IT-Netzwerksicherheit dar. Zusammen gelingt es den beiden Lösungen allerdings ein wesentlich detaillierteres Bild zu zeichnen, was innerhalb des Unternehmensnetzwerks vor sich geht. Mit ihrer Hilfe lässt sich beispielsweise klären, womit ein Sicherheitsvorfall zusammenhängt.

PAM liefert Informationen, um welchen Nutzer es sich in diesem Zusammenhang handelt und welche Rechte er hat. SIEM verrät durch die Log-Analyse, zu welchem Zeitpunkt und von welchem Ort aus sich ein Benutzer innerhalb des Systems bewegt. Aus diesem Grund erweitert eine Kombination beider Technologien den IT-Sicherheitshorizont und verstärkt den Schutz vor internen wie externen Angriffen auch im Hinblick auf Zeiterfassungssysteme.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Mit privilegierten Benutzerkonten richtig umgehen

Tipps zur richtigen SIEM-Konfiguration

Privilegierte Accounts benötigen speziellen Schutz

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close