Dieser Artikel wurde maschinell übersetzt.
Der Benutzerzugriff ist den meisten Unternehmen ein Dorn im Auge. In einer sich entwickelnden Cybersicherheitslandschaft, in der der Mensch der Perimeter ist, reichen einfache Anmeldeanmeldedaten nicht aus, um die Benutzer und Daten eines Unternehmens zu schützen. Tatsächlich sind Benutzer Anmeldedaten ein wichtiger Bedrohungsvektor: Forrester Research schätzt, dass 80 % der Sicherheitsverletzungen privilegierte Anmeldedaten wie Zertifikat, Schlüssel, Passwörter und Token betreffen. Und die Auswirkungen davon können verheerend sein.
Ein Angriff auf ein nationales Einzelhandelsnetzwerk im Jahr 2013 war das Ergebnis eines unbefugten Zugriffs auf die Systeme des Unternehmens, indem Hacker Anmeldedaten von einem Drittanbieter stahlen – und die IT führte zum Verlust von fast 70 Millionen Kunden. Um diese Situationen zu vermeiden, müssen Unternehmen Zugriffsmanagement-Methoden wie den Least-Privilege-Zugriff einsetzen, um sicherzustellen, dass Benutzer und Prozesse nur die minimalen Zugriffs- und Bearbeitungsrechte auf die Ressourcen haben, die sie benötigen.
Was ist der Zugriff mit den geringsten Rechten?
Die Gewährung des Zugriffs mit den geringsten Berechtigungen geht über die Kodifizierung von Benutzern und Gruppen in einem Softwaresystem hinaus, indem auch festgelegt wird, auf welche Ressourcen sie zugreifen und welche Funktionen sie ausführen können. Durch die Implementierung dieses Prozesses in ihre umfassendere Identity and Access Management (IAM)-Strategie können Unternehmen sicherstellen, dass nur die richtigen Personen den richtigen Zugriff auf die richtigen Ressourcen haben – unter den richtigen Bedingungen und zur richtigen Zeit.
Wie sieht der Zugriff mit den geringsten Rechten in der Praxis aus?
In einer Unternehmensumgebung stellt das Prinzip des Least-Privilege-Zugriffs sicher, dass ein Benutzer oder eine Anwendung nur über die Berechtigung verfügt, die für die Ausführung seiner Rolle oder Funktion erforderlich ist – und nicht mehr. In diesem Kontext erhalten Benutzer je nach ihrer Rolle nur Zugriff auf Lese-, Schreib- oder Ausführungsdateien und Anwendungen, die sie benötigen, ohne Zugriff auf vertrauliche Informationen zu erhalten, die über diese Ressourcen hinausgehen.
Dieses Prinzip lässt sich auf das Zugriffsrecht über Anwendungen, Geräte, Prozesse und Systeme hinweg anwenden und kann von bestimmten Faktoren wie Ort oder Tageszeit abhängen. Rollenbasiertes Zugriffsrecht kann auch auf bestimmte Geschäftsbereiche wie Personal, ITund Marketing angewendet werden.
Wie erstellt man einen Least-Privilege-Zugriffsansatz?
Wenn Unternehmen versuchen, den Least-Privilege-Zugang einzuführen und ihre Strategien zur Risikominimierung zu verbessern, sind dies einige zusätzliche Praktiken, die sie anwenden können.
Audit-Berechtigungen:
Der erste Schritt bei der Implementierung des Least-Privilege-Zugriffs besteht darin, zu überprüfen, ob alle vorhandenen Konto- und Anmeldedaten über die entsprechende Berechtigung verfügen. Ein Audit sollte alle Benutzerkonten, Gruppen und Passwörter umfassen. Regelmäßige Überwachungen können eine Situation verhindern, in der Benutzerkonten und Prozesse auf gefährliche Weise Zugriffsebenen ansammeln, die über das entsprechende Scoping hinausgehen.
Privilegien-Bracketing:
Unternehmen sollten Administratorkonten nur dann erstellen, wenn dies unbedingt erforderlich ist – und nur für den kürzestmöglichen Zeitraum. Durch das Entfernen des Administratorzugriffsrechts auf Server und die Reduzierung jedes Benutzers auf Standardzugriff wird die Angriffsfläche verringert und dazu beigetragen, die sensibelsten Daten und Informationen eines Unternehmens zu schützen. Diesen Ansatz verfolgte auch die NSA, die die Zahl der Systemadministratoren um 90 % reduzierte, um die Sicherheit der IT-Systeme zu erhöhen.
Als weiteres Element des Privilege Bracketing sollte die Standardzugriffsebene für alle neuen Konten so niedrig wie möglich festgelegt werden.
Anmeldedaten zum einmaligen Gebrauch:
Unternehmen können Benutzeraktionen mit einmalig verwendbaren Anmeldedaten nachverfolgen. Ein gutes Beispiel hierfür ist ein Passwort-Safe, bei dem ein Einmalpasswort nur für die Dauer der Ausführung der Aktivität verwendet wird. Nach Abschluss wird das verwendete Passwort ungültig.
Ablauf des Zugriffs auf Berechtigungen:
In einem ähnlichen Ansatz wie bei Einmal-Anmeldedaten wird durch das Festlegen von Ablaufdaten für den privilegierten Zugriff sichergestellt, dass der Benutzerzugriff zeitlich begrenzt ist oder an die Erledigung einer Aufgabe oder eines Prozesses gebunden ist.
Just-in-Time-Berechtigungen:
Die Berechtigungen können erhöht werden, wenn sie für bestimmte Anwendungen und Aufgaben erforderlich sind, ohne dass Anmeldedaten des Administrators erforderlich sind oder Passwörter offengelegt werden müssen.
Durch die Festlegung strenger Grenzen für den Benutzerzugriff ist der Least-Privilege-Zugriff ein wichtiger Ansatz für Unternehmen, die ihre Daten schützen und potenzielle Insider-Angriffe verhindern möchten. Diese Prinzipien bieten einen stärkeren Sicherheitsansatz, eine verbesserte Stabilität und eine geringere Angriffsfläche – alles Dinge, die es einem Unternehmen ermöglichen, sich auf seine Abläufe und sein Wachstum zu konzentrieren.
