BerichtvonKuppingerCole
WHITEPAPER vonMartinKuppinger|Oktober2017
SchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenUnternehmensindheutzutageeinerständigenBedrohungausgesetzt.BenutzerkontenmithohenBerechtigungsstufensinddabeidasHauptzielderAngreifer,dasiemithilfesolcherKontendiemeisten
DatenstehlenundsodengrößtmöglichenSchadenanrichtenkönnen.WährenddieZahlexternerAngriffestetigsteigt,bleibendieinternenAngriffeweitestgehendaufeinemähnlichhohenNiveau–PerimetersicherheitalleinbietetkeinenausreichendenSchutzmehr.DamitwirdumfassendesPrivilegeManagementfürUnternehmenzumMuss.
ImAuftragvonThycotic
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite2von19
Inhalt
1 Einleitung..................................................................................................................................................3
2 Highlights..................................................................................................................................................4
3 HerausforderungendesPrivilegedAccountManagement.........................................................................5
4 ElementeeinerPrivilegedAccountManagement-Lösung........................................................................11
5 DerPrivilegedAccountManagement-AnsatzvonThycotic......................................................................15
6 MaßnahmenplanfürPrivilegedAccountManagement...........................................................................16
7 Copyright................................................................................................................................................17
Abbildungsverzeichnis
Abb.1:BeimPrivilegedAccountManagementgehtesnichtnurumgemeinsamgenutzteAccounts......................6
Abb.2:EsgibtweitmehrprivilegierteAccountsalsvermutet–undzwaraufallenEbeneneinerIT-Infrastruktur..8
Abb.3:DerZyklusdesPrivilegedAccountManagements.....................................................................................10
Abb.4:ElementedesPrivilegedAccountManagement.........................................................................................12
Abb.5:ThycoticvereintumfassendeFeaturesmiteinerbenutzerfreundlichenOberfläche..................................14
RelevanteRessourcen:
LeadershipCompass:PrivilegeManagement–72330
Snapshot:ThycoticSecretServer–70633
VendorReport:Thycotic–71112
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite3von19
1 Einleitung
PrivilegedAccountManagementistheutzutageinUnternehmenunverzichtbar.InterneAngreifer,
dieihreBerechtigungenmissbrauchen,undexterneAngreifer,dieinterneAccountsmiterweitertenBerechtigungenhacken,stellenfürjedesUnternehmeneingroßesRisikodar.DieRisikenreichen
vomDiebstahlvertraulicherInformationenundgeistigenEigentumsbishinzuAngriffen,dieTeilederIT-InfrastrukturaußerBetriebsetzen.AngesichtsvonSmartManufacturingundderzunehmendenVernetzunginsämtlichenBereichenwirddieZahlanAngriffszielen,Angriffspunkten
undHackernimmerweiteransteigen.
BeimPrivilegedAccountManagementgehtesumweitmehralsdiereineVerwaltungeiniger
Administrator-undgemeinsamgenutzterAccountsineinerspeziellenSystemumgebung,wieetwaeinemLinux-oderWindows-Server.VielmehrdecktPrivilegedAccountManagementsämtlicheSystemeundeineVielzahlanAccounttypenab.PrivilegedAccountManagementbeginntbeim
EndgerätunderstrecktsichaufServer,AnwendungenundNetzwerkgeräte.SomitwerdennichtnurLösungenmitumfangreichenFunktionenbenötigt,sondernKonzepte,diefüralle
UnternehmenstypenundeinestetigwachsendeAnzahlanBenutzerngeeignetsind.
PrivilegedAccountManagementzähltheutzutagezudenwichtigstenMaßnahmenzurVerringerungvonSicherheitsrisikenfürIhreDatenundzumSchutzvorCyberattacken.DazumussmandieAufgabenundHerausforderungendesPrivilegedAccountManagementsverstehenundeinenMaßnahmenplanerstellen,dernebentechnischenauchorganisatorischeAspekteberücksichtigtunddengesamtenZyklusdesPrivilegedAccountManagementsabdeckt.ZudemsindneueTechnologienwiePrivilegedBehaviorAnalytics,AnomalyDetectionoderEndpointPrivilegeManagementerforderlich,umEndgerätebesserzu
schützen–schließlichsindsolcheGerätedasbeliebtesteAngriffszielvonHackern.IndiesemWhitepapergehtesumdieAufgabenundHerausforderungensowiedenZyklusdesPrivilegedAccountManagements.AußerdemwerdenauchdiewichtigstenElementeeinesMaßnahmenplansfürPrivilegedAccountManagementsnähererläutert.
MitderbewährtenSecretServer-LösungunddenneuenLösungenPrivilegedBehaviorAnalyticsundEndpointPrivilegedAccessSecuritySuitezähltThycoticzudenführendenAnbieternvonPrivilegedAccountManagement-Lösungen.DasProduktportfoliokonzentriertsichaufschnelleImplementierungundBenutzerfreundlichkeitunddeckteineumfassendeReihevonFunktionenaufUnternehmensebeneab.
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite4von19
2 Highlights
• HerausforderungendesPrivilegedAccountManagement:ArtenvonAngreifern,Artenvon
Accounts,VorgehensweisederAngreifer
• ZyklusdesPrivilegedAccountManagement:BerücksichtigungallerHerausforderungen,auchjenseitsvonInsellösungen
• ElementevonPrivilegedAccountManagement-Lösungen
• ThycoticSecretServer:Schlankes,schnelleinsatzbereites,umfassendesundunternehmensgerechtesToolfürPrivilegedAccountManagement
• MaßnahmenplanfürPrivilegedAccountManagement
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite5von19
3HerausforderungendesPrivilegeAccountManagement
UnternehmensindverstärktAngriffenvonsowohlinternenalsauchexternenHackernausgesetzt.Zu
denprimärenAngriffszielenzählenprivilegierteAccounts,d.h.AccountsmiterhöhtenBerechtigungsstufen,dieweitüberdievongemeinsamgenutztenadministrativenAccounts
hinausgehen.SieermöglichenbeispielsweiseumfangreichereAngriffemitgrößerempotenziellemSchadenundbietenZugriffaufmehrDaten.DiemeistenUnternehmenkennen,verwaltenundschützendieseAccounts.VielzuvieledieserAngriffebleibengänzlichverborgenoderwerdenzuspätfestgestellt,
sodassHackerihreAngriffeüberlangeZeiträumehinwegdurchführenkönnen.
EsisteingefährlicherIrrglaube,einfachdavonauszugehen,dassfürdaseigeneUnternehmenkeineGefahrdurchHackerbesteht.Tatsacheist,dassjedeseinzelnevernetzteSystemheutzutagezueinem
Zielwerdenkönnte.SobaldeinsolchesSystemdirektoderindirektmitdemInternetverbundenwird,stellteseinpotenziellesAngriffszieldar.HackerführenpermanentautomatisierteAngriffedurch,umentwederdirektMalwareindieSystemeeinzuschleusenoderZugangspunktezudenNetzwerken
auszuloten,umumfangreichereAngriffedurchführenzukönnen.ZudemnutzenHackerspezielle„Computer-Suchmaschinen“wiebeispielsweiseShodan,umAngriffszieleausfindigzumachen.KleinebismittlereUnternehmen,auchinnichtkritischenBranchen,sindnichtnurpotenzielleAngriffszielefür
Blackmailing,RansomwareundanderenBedrohungen,sondernkönnenauchzumSprungbrettfürAngriffeaufandereUnternehmenwerden.
InterneBedrohungensindnichtzuunterschätzen
AngriffewerdensowohlvoninternenalsauchvonexternenHackernausgeführt.WährendderFokuszwarhauptsächlichaufexternenCyberangriffenliegt,zeichnetsichinderRealitätjedocheinetwasanderesBildab.SoistdieAnzahlinternerAngriffeindenletztenJahrennichtnuraufeinemhohen
Niveaugeblieben,sonderneskamenauchzahlreichebedeutendeVorfälleansTageslicht,indenenesinternenAngreiferngelungenist,DatenausdemUnternehmenherauszuschleusen.DerDiebstahlvonfürdieSteuerfahndungrelevantenDatenzuSchweizerKonten,WikileaksoderdieEnthüllungenvon
EdwardSnowden–alldieseAngriffegingenvonInsidernaus.EswäreeinFehler,dasvonexternenHackernausgehendeRisikozuunterschätzen–allerdingsdürfenauchdievoninternenMitarbeiternausgehendenBedrohungennichtaußerAchtgelassenwerden.
DasHauptzielausgeklügelterexternerAngriffesindinterneAccountsmithohenBerechtigungsstufen.InterneAngreiferhabeninderRegelschonZugriffaufderartigeAccountsoderschaffenes,dieBerechtigungenihrereigenenAccountszuerweitern.LetztlichhabenessowohlinternealsauchexterneHackeraufeinunddasselbeZielabgesehen,nämlichprivilegierteAccountszu„kapern“,umsoihreAngriffeerfolgreichdurchführenzukönnen.
EsgehtummehralsnurdenRoot-Account
PrivilegedAccountManagementumfasstsehrvielmehralsweithinvermutetwird.EsgehtummehralsdieVerwaltungvonRoot-AccountsaufUnix-oderLinux-SystemenodervonAdmin-AccountsaufWindows-Systemen.EsgehtwederausschließlichumAdministrator-AccountsnochumgemeinsamgenutzteAccounts.PAM-LösungendeckeneineVielzahlanAccountsinallenSystemenundDiensteninderIT-Umgebungab–unddasnichtnurimlokalen
Unternehmensnetzwerk,sondernauchinderCloud.
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite6von19
Wieerwähnt,beschränktsichPrivilegedAccountManagementnichtausschließlichaufgemeinsam
genutzteAccounts.MitdergemeinsamenNutzungvonAccountsgehtzwareinhohesSicherheitsrisikoeinher,beimPrivilegedAccountManagementgehtesaberummehr.InAbbildung1werdendiebeidenHauptdimensionenvonPrivilegedAccountManagementdargestellt.Wieaufderx-Achsezusehen,ist
dieVerwaltunggemeinsamgenutzterAccountseinewichtigeAufgabe.DerrichtigeUmgangmitprivilegiertenAccountsstelltjedochebenfallseineHerausforderungdar.HierzugehöreninderRegeleinzelneAccounts,dieeinemspezifischenBenutzerzugewiesenwerden.DieseAccountskönnenjedoch
beispielsweisevonAngreifernübernommenoderzurDurchführungvonAngriffengenutztwerden.
BeimPrivilegedAccountManagementgehtesummehralsgemeinsamgenutzteAccounts
Abb.1:BeimPrivilegedAccountManagementgehtesummehralsgemeinsamgenutzteAccountsErhöhtesRisikoSessionManagementStandardpersönlichPrivilegeManagementgemeinsamgenutztSAPPoweruUserWindows-BedienerStandard-BenutzeraccountRootFunktionaleAccounts
NebenderzunehmendenBedeutungvonMSPs(ManagedServiceProviders)zähltderWechselvoneinerklarabgegrenztenundhauptsächlichinternenIT-InfrastrukturhinzuCloud-DienstenzueinerderwichtigstenHerausforderungenimBereichPrivilegedAccountManagement.BeideEntwicklungenziehenneueHerausforderungenfürdieZugriffsverwaltungvonBenutzernmithohenBerechtigungsstufennachsich.
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite7von19
EinerseitsgibtesbeivielenCloud-DienstenkeinausgereiftesKonzeptfüradministrativeAccountsundderenRollen.DerZugriffübergemeinsamgenutzteAccountsfürprivilegierte,administrativeTätigkeitenistdeshalbbeivielendieserDienstedieNorm.
AndererseitsverlassensichimmermehrUnternehmenaufMSPs,wennesdarumgeht,TeileihrerlokalenInfrastrukturundihrerCloud-Dienstezuverwalten.DieseDienstanbieterführenprivilegierteAktionendurchundgreifendabeiinvielenFällenaufgemeinsamgenutzteAccountsodersogarauf
einzelneAccountszurück.DieseAccountswerdendabeivonmehrerenBenutzerndesMSPverwendet.ObdurchKonfigurationdesZugriffsoderdurcheineentsprechendeRichtlinie–injedemFallsindseitensdesKundenMaßnahmenerforderlich.MithilfevonPrivilegedAccountManagement
undinsbesondereSessionManagement-FunktionenkönnendieRisikensolcherSzenariengesenktwerden.
EinhäufigunterschätzterVorteildesPrivilegedAccountManagementsbestehtdarin,dassumfassendeSystemeundeineVielzahlanAccountsabgedecktwerden–Netzwerkkomponenten,Host-Betriebssysteme,Hypervisoren,Gast-BetriebssystemesowiesämtlicheAnwendungsebenen.AberauchSystemaccountsinClient-SystemenunddieverschiedenenBenutzerundAdministratoreninCloud-UmgebungengehörenzumUmfangvonPrivilegedAccountManagement.
EinenbesonderenStellenwertnehmendabeitechnischeoderfunktionaleBenutzeraccountsein.SiesinddasperfekteBeispieldafür,umprivilegierteAccountsauszweiunterschiedlichenBlickwinkelnzu
betrachten.EinerseitshandeltessichinderRegelumsowohlgemeinsamgenutztealsauchumprivilegierteAccounts,dasieübererhöhteBerechtigungenverfügen.LetztereshängteinfachmitderArtderAccountszusammen,denndieSystemeführenüberdieseAktivitätenfürvieleBenutzeraus.
SomitmüssendieAccountsmitsehrumfangreichenRechtenfüralldieseBenutzerausgestattetsein.FunktionaleAccountsaufderanderenSeitewerden,wennüberhaupt,nuringeringemAusmaßverwaltet.
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite8von19
Abb.2:EsgibtweitmehrprivilegierteAccountsalsvermutet–undzwaraufallenEbeneneinerIT-Infrastruktur.DiegelbenDreieckezeigendasVerhältniszwischengemeinsamgenutztenundEinzelaccountsan.ClientNetzwerkkomponentenWeb-ServerAnwendungsserver/Backend-SystemDatenbankserverGast-BetriebssystemHypervisorHost-BetriebssystemGemeinsamgenutzteAccountsEinzelaccountsÜblicheVerteilungderAccount-Typen
AlleintegriertenAccountsmüssenidentifiziertwerden.
LokaleSystem-undService-AccountssindeinweiteresBeispielfürweitgehendvernachlässigte,jedoch
sensibleAccounts.DiesesindeinhäufigesZielvonZero-Day-ExploitsoderwerdeneinfachaufgrundderAnnahmeausgenutzt,dassvieleSystemenichtausreichendverwaltenundnurseltengepatchtwerden.
Einfachausgedrücktlässtsichfesthalten,dassesbeimPrivilegedAccountManagementumweitmehrgehtalsnureinpaarAdministrator-Accounts.VielmehrgehtumRisiken,diealleSystemeundeineVielzahlanBenutzeraccountsbetreffen.
AusdiesemGrundrückenauchEndgeräteimmermehrinsZentrumderAufmerksamkeit.Aufallen
EndgerätengibtesprivilegierteBenutzeraccounts,diedenZugriffaufSystemeinstellungenundweiterevertraulicheInformationenundKonfigurationensteuern.DadieEndgeräteeinwichtigerAngriffspunktvonHackernsind,wirdesimmerwichtiger,dieseangemessenzuschützen.DerSchwerpunktdes
PrivilegeManagementsolltesichalsoaufdenBereichdesEndpointPrivilegeManagementsrichten,unterBerücksichtigungspeziellerAspektedesprivilegiertenZugriffsaufdieseSysteme.
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite9von19
WenndieHackerbereitsdrinsind
PerimetersicherheitgiltweithinalseineguteersteVerteidigungslinie–sielöstjedochnichtdie
HerausforderungendesPrivilegedAccountManagement.Was,wennsichderAngreiferbereitsZugriffaufIhrNetzwerkverschaffthat?BeiinternenAngreifernistdiestrotzausgeklügelterPerimetersicherheitderFall.InterneHackerwerdenweitgehendvernachlässigtundviele
UnternehmenkonzentrierensichnachwievoraufdiePerimetersicherheit.AllerdingskönneninterneAngriffemassiveSchädenanrichten.AngesichtsderzunehmendenMobilität,desCloud-ComputingundderdamiteinhergehendenAuflösungvonPerimeternistesschlichtwegzunehmendunmöglich,
eineeinheitlicheVerteidigungsliniefüreineneinzelnen,insichgeschlossenenPerimeteraufzubauen.WirmüssendenSchutzdesKernseinerIT-Infrastruktursicherstellen.EinwichtigerAspekthierbeiistdieEinschränkungundSteuerungderNutzungvonprivilegiertenAccounts.
IndenletztenJahrenkameineVielzahlvonAngriffenansLicht.Die„AnatomiederAngriffe“lässtsich
immerbesseranalysieren.WährenddieverwendetenAngriffsvektorenvariierenundesfasttäglichneueMöglichkeitenfürZero-Day-Exploitsgibt,basierendiemeistenAngriffeimWesentlichenaufzweiHerangehensweisen.Schwachstellenwerdenausgenutzt,umMalwareinSystemeeinzuschleusenund
diesedirektalsBotnetsoderfürBlackmailing-Angriffeetc.zunutzen.
DerandereAnsatzistunterderBezeichnung„AdvancedPersistentThreats“(APTs)bekannt.ZwarkanndieBezeichnunginFragegestelltwerden,dasKonzeptistjedocheineHerausforderungfürsämtlicheUnternehmenundzeigtauf,warumprivilegierteAccountsunbedingtgeschütztwerdenmüssen.
ExterneHackerversuchen,privilegierteAccountszukapern.
SolcheAngriffebeginnenfastimmermitSocialPhishingoderAngriffen,beidenensogenannteZero-
Day-Exploitsausgenutztwerden–inmanchenFällenwerdendabeiSicherheitslückenausgenutztdiebis„zumTagNull“nichtbekanntwaren.OftmalsgehtesbeidenerstenAngriffenumlokaleSystemaccountsmiterhöhtenBerechtigungenunddiedarauffolgendeAusweitungderBerechtigungsstufen.SobalddieerstenSystemebetroffensind,weitendieAngreiferihrZielausundversuchenso,sichZugriffaufAccountsmiterweitertenBerechtigungenzuverschaffen.DasZieldabeiist,dieKontrolleüberprivilegierteAccountszuübernehmen.DiesegehacktenAccountswerdendannfürdenAngriffverwendet;dieDatenwerdenzurückandieentferntenServerübertragen.Voneinigen
dieserAngriffeweißman,dasssieübermehrereMonateodersogarüberJahrehinwegunentdecktgebliebensind.Eswärenaivzuglauben,dassalleAngriffeentdecktwerden.
Aberunabhängigdavon,umwelcheArtvonAngriffessichhandelt–privilegierteAccountsstehenimMittelpunktdesInteressesderAngreifer–sowohlinterneralsauchexterner.SomitistderangemesseneSchutzdieserAccountssowiedieErkennungundVermeidungvonMissbraucheinunverzichtbarerBestandteileinerjedenStrategiezurVereitelungvonCyberangriffen.
DiewichtigstenHerausforderungenvonPrivilegedAccountManagement
PrivilegedAccountManagementistfürjedesUnternehmeneineAufgabeundHerausforderung.BeiderEinführungoderErweiterungeinesPrivilegeManagement-KonzeptsmüssendieUnternehmendengesamten„ZyklusdesPrivilegedAccountManagement“imBlickbehalten.
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite10von19
• SiemüssendieNotwendigkeitvonPrivilegedAccountManagementvollständigverstehenundnachvollziehenkönnen
• AlleprivilegiertenAccountsinallenSystemenmüssenidentifiziertwerden
• DerZugriffaufprivilegierteAccountsmussgeschütztundderenNutzungeingeschränktwerden
• DieNutzungprivilegierterAccountsmusskontrolliertwerden• AuffälligkeiteninderNutzungprivilegierterAccountsmüssenerkanntwerden,dadieseauf
möglicherweisebetrügerischeAktivitätenhindeuten
• EsmussangemessenundrechtzeitigaufeventuelleBedrohungenreagiertwerden
• PrivilegeManagementmusskontinuierlichverbessertwerden.
Abb.3:DerZyklusvonPrivilegedAccountManagementVerstehenIdentifizierenSchützenÜberwachenErkennenReagierenVerbessern
DiewesentlichenFragen,diesichUnternehmenstellensollten:
• KennenwirallunsereprivilegiertenAccounts?• WerdenallunsereprivilegiertenAccountsausreichendgeschützt?
• WerdenallunsereprivilegiertenAccountsverwaltet?
LautetdieAntwortaufeinedieserFragen„nein“,solltedasUnternehmenumgehenddamitbeginnen,eineStrategiefürPrivilegedAccountManagementzuentwickelnunddieseumzusetzen.
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite11von19
4 ElementeeinerPrivilegedAccountManagement-Lösung
BeimPrivilegedAccountManagementhandeltessichnichtumeineneinzigentechnischen
Ansatz.FürdiekontinuierlicheVerwaltungvonprivilegiertenAccountsüberdiegesamteLebensdauerunddieBerücksichtigungsämtlicherNutzungsfällebedarfeseinerkoordiniertenundintegriertenImplementierungeinerReihevonFunktionen.
ZwarverwendendieverschiedenenAnbieterzahlreicheunterschiedlicheNamenfürLösungenim
BereichPrivilegedAccountManagement,allerdingsgibtesnureinebegrenzeAnzahlantechnischenKernelementen,dieumfassendePrivilegeManagement-Lösungensicherstellen.
PrivilegeManagementbeginntmitSharedAccountPasswortManagement,beinhaltetjedochnochsehrvielmehr
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite12von19
WieinAbbildung1dargestellt,umfasstPrivilegedAccountManagementzweiHaupttechnologien:SharedAccountPasswordManagementundSessionManagement.DiesebeideKonzeptesetzensichallerdingsauseinerReihevonFunktionenzusammenundwerdendurchandereTechnologienergänzt.
Abb.4:BausteinevonPrivilegeManagement.ErweiterteFeaturesPrivilegedBehaviorAnalytics&AnomalyDetectionApplicationPrivilegeManagementEndpointPrivilegeManagementKernfunktionenSharedAccountPasswordManagementOne-TimePasswordsAccountScanningPrivilegedSSO...undmehr.SessionManagementÜberwachungForensikAufzeichnung...undmehr.IntegrationenIdentityProvisioning&AccessGovernanceSIEM&SecurityIntelligencePlatformsAdaptiveAuthentication&mehr
BeimSharedAccountPasswordManagementgehtesnichtnurumeinmaligePasswörterfürden
ZugriffaufgemeinsamgenutzteAccounts,sondernauchumSingleSign-On(einmaligesAnmelden)fürmehrereAccounts,dievoneinerbestimmtenPersonregelmäßigverwendetwerden.AußerdemumfasstSharedAccountPasswordManagementdieErkennungundVerwaltungprivilegierterAccounts
ingeteiltenUmgebungen,dieIntegrationmitIdentityProvisioning-LösungenzurVerwaltungderEigentümerschaftgemeinsamgenutzterAccountsundeinenstarkenAuthentifizierungs-SupportfürdenZugriffaufdiePrivilegeManagement-Lösungselbst.
SessionManagementbeinhaltetFunktionenzurÜberwachungundAufzeichnungaktiverSitzungenund
bietetdieMöglichkeit,aktiv inSitzungeneinzugreifen.ZudemstellensicheineVielzahlan technischenHerausforderungen.AngefangenbeiderAnalysevonSitzungenübergrafischeBenutzeroberflächenbishinzurBerücksichtigungderDetailskomplexerServerinfrastrukturendurchJump-HostsoderdieVerwaltungvonSSH-KeysfürdieseSitzungen.
AbgesehenvondenKernfunktionengibtesandereauchBereiche,diezunehmendzudenStandardfunktioneneinerPAM-Lösungzählen–bedingtdurchKundenanforderungenundder
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite13von19
zunehmendenAnzahlanBedrohungen.PrivilegedBehaviorAnalyticsundAnomalyDetectionzählen
beispielsweisezudenBereichen,dieverstärktindenMittelpunktrücken.DiesekönnensowohlspeziellaufprivilegierteAccountsundalsauchalleBenutzerimAllgemeinenausgerichtetsein.DiesistinsbesonderebeiAnwendungsfällenvonBedeutung,beidenenesumdieVerwaltungvonCloud-
ServicesoderdieVerwaltungdurchMSPsgeht.AberauchinderfrühzeitigenErkennungvonAngriffenspielensolcheLösungeneinewichtigeRolle,dadieseinderRegelmitAuffälligkeitenbeiderNutzungbestimmterprivilegierterAccountsverbundensind.
EineweitereFunktionistApplicationPrivilegeManagement,dassowohldieAuslagerungvonZugangsdateninAnwendungenundCode-Skriptsunterstützt,alsauchZugangsdateninderApplication-to-Application-Kommunikationabsichert.
EndpointPrivilegeManagementzähltebenfallszudenerweitertenunderforderlichenFunktionen.DieseFunktionbietetumfangreichenSupportfürEndgerätesystemeundschränktdenprivilegierten
Zugriffaufdieseein,ohnedabeidieBenutzerinderAusführungihrertäglichenAufgabenzubehindern.
InderRegelwerdendieeinzelnenFunktionendesPrivilegedAccountManagementschrittweise
eingeführtundgleichzeitigentsprechendeRichtlinienundOrganisationsstrukturenfestgelegt.BeiderAuswahlderrichtigenToolsgehtesinsbesonderedarum,dassdieletztendlicheLösungein
ausreichendesMaßanfunktionalerTiefebesitzt.DarüberhinausmussaucheineflexibleIntegrationmitanderenElementenderIT-Infrastrukturgegebensein,beispielsweiseIdentityProvisioning&AccessGovernance,SIEM(SecurityInformationandEventManagement)oderSIP(SecurityIntelligence
Platforms).AußerdemzieltPrivilegeManagementnichtmehrnuraufeinigewenigeBenutzerab,sondernaufstetigwachsendeBenutzerzahlen.AusdiesemGrundmusseineeinfacheEinführungdieserToolssichergestelltsein,vorausgesetztdassAdministratoren,Bedienerund
privilegierteNicht-IT-BenutzerimUnternehmeneinigeFunktionendieserToolsbenutzensollen.
5 DerPrivilegedAccountManagement-AnsatzvonThycotic
ThycoticgehörtzudenführendenAnbieternaufdemMarktfürPrivilegedAccountManagement.Das
ProduktSecretServervereintleistungsstarkeFeaturesmiteinerschnellenEinsatzbereitschaftundeinerleichtzuverwendendenSchnittstelle.PrivilegeManagementwirddabeialsgroßflächigeMaßnahmeverstanden,diesichnichtalleinaufeinigeAdministratorenbeschränkt.
DasUS-amerikanischeUnternehmenThycoticzähltzudenführendenAnbieternaufdemMarktfürPrivilegedAccountManagement-Lösungen.DasUnternehmenistinternationalexpandiertundbetreibt
heuteBürosinLondon,VereinigtesKönigreich,undSydney,Australien.ThycotickannaufeinerfolgreichesNetzwerkanglobalenPartnernzurückgreifen.ZuBeginnbestanddasPortfolioausLösungenimBereichWindows-Server-Management.DaraufaufbauendhatsichSecretServer,das
SchlüsselproduktvonThycotic,zueinerumfassendenPrivilegeManagement-LösungfüreineVielzahlanZielsystemenentwickelt.ZwarläuftdasProduktnochimmeraufWindows-ServernundnutztdieFunktionalitätenderMicrosoftServer-Plattform,esunterstütztaberaucheineReihevonweiteren
Zielsystemen,einschließlichNetzwerkgeräte,Unix,LinuxsowieHypervisoren.ZudemhatThycoticseinProduktportfolioumEndpointPrivilegeManagementerweitert,umdieverschiedenenEndgerätesystemeinNetzwerkenvollumfänglichabdeckenzukönnen.ThycoticverfügtübereinecloudbasierteAnalyse-
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite14von19
Funktion,diedasVerhaltenvonBenutzernundprivilegiertenAccountsinderSecretServer-Umgebung
analysiertundbeiEintretenbestimmterkonfigurierbarerBedingungenMaßnahmenergreift.DiePrivilegedAccountManagement-LösungenvonThycotickönnenOn-Premise,viaCloudoderalsManagedService(MSP)bereitgestelltwerden.
MitdemPrivilegeReadyProgramstelltThycoticsicher,dasssichdieSecretServer-LösungenumfassendinbestehendeIT-Sicherheitslösungenintegrierenlassen.Inmehrals30Lieferantenintegrationen,darunterIdentity-andGovernance-Lösungen,SIEMsundSecurityIntelligence-PlattformensowieAdaptiveAuthentication,istesThycoticgelungen,einfacheundeffizienteLösungenfürdieautomatisierteVerwaltungunddenSchutzvonZugangsdatenumzusetzen.
Abb.5:ThycoticvereintumfassendeFeaturesmiteinerbenutzerfreundlichenOberfläche.
SchlankeundschnelleinsetzbareLösungensindbeiThycoticTeildesUnternehmensverständnisses
ImGegensatzzuvielenanderenAnbieternhatsichThycoticvonBeginnandaraufkonzentriert,eineschnellundeinfacheeinzurichtendeLösungmiteinerbenutzerfreundlichenOberflächezuentwickeln.EinGrundhierfüristdasVertriebsmodell,dasThycoticanfangseingeführthat.AnstelledesbranchenüblichenVertriebswegsüberunternehmenseigeneVertriebsteamsoderVertriebspartnerhat
sichdasUnternehmenaufdendirektenTelefon-undInternetvertriebkonzentriert.IneinemsolchenModellbrauchteseinenschlankenAnsatzimHinblickaufprofessionelleDienstleistungsangeboteundSupport.ImZugedesWandelsvonPrivilegedAccountManagementvoneinemreinadministrativenToolfüreinesehrbegrenzteBenutzeranzahlhinzueinemsehrvielbreiterenBereichvonAnwendungsfällenprofitiertThycoticvondieserschlankenAusrichtung.EinweitererwichtigerPunktbestehtdarin,dassPrivilegedAccountManagementauchfürkleineundmittelgroßeUnternehmenleichtanwendbarseinmuss–dennheutzutagekommtnahezukeinUnternehmenmehrohneeinePAM-Lösungaus.
ThycoticsetztdiesesVertriebskonzeptnachwievorfortundergänztdiesesumeinschnellwachsendes
NetzwerkvonglobalenPartnern,zudemaucheinigeweltweittätigeBeratungsunternehmenzählen.DasUnternehmenhataußerdemeineReiheprofessionellerServicepaketeeingeführt,mitderenHilfe
UnternehmendenWertihrerInvestitionmaximierenkönnen.DieseprofessionellenServicessindinderRegelnurvonkurzerDauerundhelfendenBenutzern,schnellzu100%unabhängigzuwerden.
DerschlankeAnsatz(unddiewettbewerbsfähigenPreise)lässtjedochkeinenRückschlussaufden
Funktionsumfangzu.BasierendaufderWindows-UmgebunghatsichSecretServervonThycoticzueinemProduktentwickelt,dasdieAnforderungenvonUnternehmenunterstütztundumfassendenSupportfürglobalverteilteInfrastrukturensowieeinehoheVerfügbarkeitundzuverlässigeAusfallsicherungbietet.
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite15von19
„UnsereIT-AdministratorenhabengeradeeinmaleinpaarMinutengebraucht,umsichinSecretServereinzuarbeiten–unddieSicherheitunsererDatenhatsichsofortverbessert.MithilfedesToolszurVerwaltungsensiblerAnmeldedatenmüssenwir
unskeineGedankenmehrüberineffizienteMethodenmachen,dieineinemUnternehmenunsererGrößeeinegroßeRollespielenkönnen.“(MichaelBoeglin,
DirektorvonGlobal
Infrastructure,InternationalRescueCommittee)
ThycoticSecretServerunterstütztdieHauptbereichevonPrivilegeManagement,einschließlichShared
AccountPasswordManagement,SessionManagement,BehavioralAnalyticsundApplicationIdentityManagement.DasProduktbieteteinSetangrundlegendenFunktioneninallenBereichen,wobeidie
besonderenStärkenimBereichSharedAccountPasswortManagementliegen.HierunterstütztdieLösungErkennungsfunktionalitäteninWindows-sowieinUnix-undLinux-Systemen.DarüberhinausbietetThycoticSecretServerumfassendenSupportfürverwalteteGeräte.
ZudenbesonderenStärkenzähltdiebreitePaletteanAPIssowiederSupportvonMicrosoftPowerShell.
DadurchkönnenZielsystemeüberbenutzerspezifischePowerShell-Scriptsidentifiziertundverwaltetwerden,wodurchsichspezielleverwalteteGeräteschnellerundeffizienterineinSystemintegrierenlassen.ThycoticSecretServerhatsichsomiterfolgreichvoneinerWindows-basiertenEinstiegslösung
fürPrivilegedAccountManagementhinzueinerUnternehmenslösungentwickelt–undistdabeiimmernochschlankundschnelleinsetzbarwiezuBeginn.
„Wirkönnennurimmerwiederbetonen,wiegutsichSecretServermitanderenLösungenintegrierenlässt.DurchdieVerwendungvonAPIs,Scriptsund
Automatisierungistesjetztsehrvielleichter!“(JoshShoefield,SeniorSystemsEngineerbeiAvaility,einführendes
TechnologieunternehmenfürHITRUST-zertifizierteInformationstechnologienimGesundheitswesen)
ZusätzlichzuEndpointPrivilegeManagementbietetThycoticeinumfangreichesAngebotanFeaturesimBereichPrivilegedBehaviorAnalytics.DadurchwerdendieSessionManagement-Funktionenerweitert
undsowiezusätzlicheFunktionenfürdieErkennungvonbetrügerischemBenutzerverhaltenundexternenAngriffenhinzugefügt.
AusSichtvonKuppingerColeistThycoticSecretServereindeutiginderengerenAuswahl,wennesumLösungenfürPrivilegedAccountManagementgeht.DasProduktistinsbesondereaufgrundderwettbewerbsfähigenPreisgestaltung,derschnellenEinsatzbereitschaftunddeskurzenROIinteressant.
DarüberhinausunterstütztesaucheineVielzahlankomplexenundindividuellenAnwendungsfälleninUnternehmen.
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite16von19
6 MaßnahmenplanfürPrivilegedAccountManagement
PrivilegedAccountManagementisteineSchlüsselmaßnahmezurVerringerungvonSicherheitsrisiken
sowiezumSchutzvorCyberangriffen.ZusätzlichzurNutzungdesToolsistfürUnternehmensomitaucherforderlich,dieRisikenzuverstehenundpassendeRichtlinienundOrganisationsstrukturenzuentwickeln.
WiebeijederInvestition,istesfüreineGeschäftsleitungvonInteresse,welcheVorteilederEinsatzeiner
PrivilegedAccountManagement-Infrastrukturbietet.WährenddieBedrohungendurchinternewieexterneHackerklaraufderHandliegen,bestehteinwichtigerErfolgsfaktordarin,diekonkretenRisikenzuermittelnundaufzuzeigen,denensicheinUnternehmenaussetzt,wenneskeinePrivilege
Management-Lösungverwendet.DazugehörenDatendiebstahlund-lecks,VerletzungenvonVerträgenmitgroßenKundensowiedieNichteinhaltunggesetzlicherAnforderungen–umnureinigewenigezunennen.AnhandsolcherRisikenlässtsichaufzeigen,wiewichtigeineInvestitioninPrivilege
Managementist–undgleichzeitigkannaufdieseWeiseauchderErfolgeinesPrivilegeManagement-Ansatzesbemessenwerden.
„ImRahmeneinesAuditswurdefestgestellt,dassinunseremUnternehmenkeinePrivilegedAccountManagement-Lösunggenutztwird.Daraufhin
wurdesofortunsereFührungsebenealarmiert.“(CISO,EuropeanConsumerGoodsCompany)
ZusätzlichzurAuswahlundEinführungderbenötigtenToolssindfürPrivilegedAccountManagement
diefolgendenvierHauptelementeerforderlich:
• VorgabenfürPrivilegeManagement,vongoldenenRegelnbishinzukonkretenRichtlinien
• EineOrganisationsstruktur,dieumfassendeAnwendungsfälleimBereichdesRechtemanagementsabdecktundübereinebestimmtetechnischeDomänehinausgeht
• Benutzer,diediePrivilegeManagement-Umgebungverwalten,Ereignisseanalysierenunddarauf
reagieren
• SchnittstellenmitanderenElementenderIT-undinsbesonderederSicherheitsinfrastruktur,z.B.zurweiterenAnalysevonEreignissenoderzurVerknüpfungderZyklengemeinsamgenutzter
AccountsmitdenenvonBenutzern,dievonIdentityProvisioning-Toolsverwaltetwerden
DerinAbbildung3dargestellteZyklusdesPrivilegedAccountManagementsstelltdenAnfangspunkt
füreinenMaßnahmenplandar.DasErgebniseinessolchenPlanssollteeinfunktionalesToolsowie
diedafürnotwendigenElementeumfassen.
WhitepapervonKuppingerColeSchützenSieIhrUnternehmenvorCyberangriffenundinternenBedrohungenBerichtsnr.:72613
Seite17von19
7 Copyright
© 2017 Kuppinger Cole Ltd. Alle Rechte vorbehalten. Die Vervielfältigung und Verbreitung dieser Veröffentlichung ist ohnevorherige schriftliche Zustimmung in jeder Form untersagt. Sämtliche Schlussfolgerungen, Empfehlungen und Prognosenrepräsentieren die ursprüngliche Auffassung von KuppingerCole. Sobald weitere Informationen gesammelt und detailliertereAnalysen durchgeführt werden, können die in diesem Dokument vorgestellten Standpunkte Verbesserungen oder größerenVeränderungen unterliegen. KuppingerCole übernimmt keinerlei Haftung für die Vollständigkeit, Richtigkeit und/oderAngemessenheit dieser Informationen. Auch wenn die Forschungsdokumente von KuppingerCole juristische Belange imZusammenhangmitSicherheitundTechnologieenthalten,bietetKuppingerColekeinejuristischenDiensteoderBeratungen.DieVeröffentlichungendesUnternehmensdürfendementsprechendnichtalssolcheverwendetwerden.KuppingerColeträgtkeineHaftpflicht für Fehler oder Unvollkommenheit der in diesem Dokument enthaltenen Angaben. Sämtliche preisgegebenenMeinungenkönnenohnevorherigeMitteilunggeändertwerden.AlleProdukt-undFirmennamen sindHandelszeichen™odereingetragene®Handelszeichender entsprechendenEigentümer. IhreNutzung impliziert keine Zugehörigkeit zuoderBilligungdurchsie.
DieZukunftderInformationssicherheit–HeuteKuppingerColeversorgtIT-ProfismitherausragendemKnow-howinBezugaufdieDefinitionvonIT-
StrategienundbeiwichtigenEntscheidungsprozessenAlsführendesAnalystenunternehmenbietetKuppingerColeanbieterneutraleInformationenausersterHandan.UnsereDienstleistungenermöglichenesIhnen,ruhigenGewissensdiefürIhrUnternehmennotwendigenEntscheidungenzu
treffen.KuppingerCole,gegründetimJahr2004,isteinführendesAnalystenunternehmenfürInformationssicherheitundIdentitäts-andAccessManagement(IAM)mitSitzinEuropa.KuppingerColestehtfürseineFachkenntnis,seineVordenkerrollesowieeinenanbieterneutralenBlick
aufdieSegmentedesInformationssicherheitsmarktes,wozusowohlIdentitäts-undAccess-Management(IAM),Governance&AuditingTools,Cloud-undVirtualisierungssicherheit,Informationsschutz,mobilesowieSoftwaresicherheit,System-undNetzwerksicherheit,
Sicherheitsüberwachung,Analytics&Reporting,Governance,Organisation&Richtliniengehören.FürweitereInformationenstehenwieIhnenunterclients@kuppingercole.comgernezurVerfügung.
KuppingerColeLtd.SonnenbergerStr.1665193Wiesbaden|Deutschland
Tel.+49(211)237077–0 Fax+49(211)237077–11
www.kuppingercole.com