{"id":17680,"date":"2024-11-13T08:51:38","date_gmt":"2024-11-13T07:51:38","guid":{"rendered":"https:\/\/sits.com\/?p=17680"},"modified":"2025-01-23T10:00:15","modified_gmt":"2025-01-23T09:00:15","slug":"identitaet-trifft-resilience","status":"publish","type":"post","link":"https:\/\/sits.friendventure.dev\/de\/blog\/identitaet-trifft-resilience\/","title":{"rendered":"Identit\u00e4t trifft Resilience"},"content":{"rendered":"

[vc_row][vc_column]

Identity & Access Management im \u00dcberblick<\/h2>[vc_column_text]IAM ist eine lose definierte Sammlung von Funktionen, die auch als Konto- und Passwortverwaltung bekannt sind. Es umfasst Identity Governance and Administration (IGA), Access Management (Authentifizierung und Autorisierung) mit den Untergruppen Privileged Access Management (Zugang f\u00fcr sensible Konten) und Public Key Infrastructure (Verwaltung und Verwendung von kryptografischen Schl\u00fcsseln).<\/p>\n

IGA ist ein hybrider Satz von regelbasierten und anforderungsbasierten Provisioning-Workflows f\u00fcr Verzeichnisse und Anwendungen, die lokale Kontenspeicher nutzen und durch regelm\u00e4\u00dfige Best\u00e4tigungsfl\u00fcsse unterst\u00fctzt werden: Haben Sie als zust\u00e4ndiger Manager dies genehmigt? Typischerweise bietet Identity Governance ein Webportal und verf\u00fcgt \u00fcber eine Provisioning-Engine, die Warteschlangen von Aufgaben bei der Erstellung und \u00c4nderung von Benutzerkonten, Passw\u00f6rtern und Berechtigungen ausf\u00fchrt. Konzeptionell deckt sie das Prozess-Frontend der Kontosicherheit ab, w\u00e4hrend Access Management, Privileged Access Management und PKI das technische Back-End bilden, wo alle Echtzeit-Operationen stattfinden.[\/vc_column_text]

<\/div>\n

Resilience von Identit\u00e4ten<\/h2>[vc_column_text]Als Vertrauensanker des Unternehmens, insbesondere in einer modernen Zero-Trust-Architektur, steht die Identit\u00e4t an der Spitze der Nahrungskette der Sicherheit. In Anbetracht der Tatsache, dass sie ein gefundenes Fressen f\u00fcr Angreifer ist, sollte sie stark gegen eine Kompromittierung gesch\u00fctzt und (mit Verfahren und \u00dcbungen) f\u00fcr eine fr\u00fchzeitige und schnelle Wiederherstellung und Wiederherstellung im Falle eines gr\u00f6\u00dferen Cybervorfalls vorbereitet werden. Traditionell gilt die IGA nicht als unternehmenskritisch, da sie asynchron ist und das Onboarding neuer Mitarbeiter nicht als wesentliche F\u00e4higkeit angesehen wird. Das Onboarding von Notfallverst\u00e4rkungen ist jedoch gesch\u00e4ftskritisch, wie jede \u00dcbung zeigen wird. Dies ist ein guter Ausgangspunkt: Machen Sie einen Pen-Test als Auftakt.[\/vc_column_text]
<\/div>\n

Onboarding zus\u00e4tzlicher Mitarbeiter<\/h2>[vc_column_text]Der wahrscheinlichste Anwendungsfall in einer Cyber-Krise ist die Einbindung zus\u00e4tzlicher Mitarbeiter, wie z. B. Forensiker, zus\u00e4tzliche technische Unterst\u00fctzung und verschiedene Krisen- und Kommunikationsspezialisten. Dies sollte nichts Ungew\u00f6hnliches sein, sondern w\u00e4hrend des Einfrierens einer angegriffenen Umgebung m\u00f6glich sein. Es kann die Verteidigung beeintr\u00e4chtigen, da der Angreifer h\u00f6chstwahrscheinlich auch an den Konten herumspielt. Wenn Sie jedoch wissen, welche \u00c4nderungen bekannterma\u00dfen gut sind (da sie aus der IGA kommen - zumindest solange diese sicher ist), k\u00f6nnen Sie alles andere als bekanntlich schlecht einstufen. Und wenn Sie IGA Reconciliation haben, k\u00f6nnen Sie automatisch aufr\u00e4umen.[\/vc_column_text]
<\/div>\n

Alle Anmeldedaten zur\u00fccksetzen<\/h2>[vc_column_text]Der wichtigste aller Anwendungsf\u00e4lle bei einer Sicherheitsverletzung ist das Zur\u00fccksetzen aller Passw\u00f6rter\", wobei dies im weiteren Sinne alles Gleichwertige einschlie\u00dft, wie statische Schl\u00fcssel (wie in MDM, API, SSH und PKI) und f\u00fcr zus\u00e4tzliche Faktoren in MFA (wie TOTP). Sie sollten auch auf Faktoren achten, die Sie nicht zur\u00fccksetzen k\u00f6nnen - biometrische Daten und Ger\u00e4tefingerabdr\u00fccke. Die Aktualisierung von Anmeldeinformationen ist von entscheidender Bedeutung, da eine Kompromittierung sehr schwer zu erkennen ist und sie sich perfekt als Persistenz-Vektoren eignen.<\/p>\n

Dieser komplexe Anwendungsfall liegt irgendwo zwischen IGA und Access Management, je nach den verwendeten Produkten und den getroffenen Entscheidungen. Das Zur\u00fccksetzen aller Passw\u00f6rter h\u00f6rt sich einfach an - was es auch sein mag -, birgt aber einige Herausforderungen. Aber nichts, worauf man sich nicht vorbereiten k\u00f6nnte; eine Simulation (Trocken\u00fcbung) ist hilfreich, um die gr\u00f6\u00dften Hindernisse aus dem Weg zu r\u00e4umen. Wenn ein Angreifer jedoch ein paar Wochen Zeit hatte und Mimikatz verwendet, was f\u00fcr jede APT oder jeden orchestrierten Angriff Standard ist, ist dies wahrscheinlich unvermeidlich.<\/p>\n

In diesem Anwendungsfall geht es in erster Linie darum, zu wissen, wo und wie. Nat\u00fcrlich sollten Sie mit der Bereitstellung von Kern- und zentralen Systemen beginnen, die Single Sign On bieten, wie Azure Active Directory und das traditionelle AD. Solange Ihr Netzwerk nicht riesig ist und von Latenz und Warteschlangen geplagt wird, ist die Durchf\u00fchrung des gro\u00dfen Reset machbar. Nat\u00fcrlich werden Sie verwirrte Benutzer haben und verwaiste und ruhende Konten finden, und der Helpdesk wird \u00fcberflutet werden, aber das ist alles vorhersehbar.[\/vc_column_text]

<\/div>\n

Dezentrale Accounts zur\u00fccksetzen<\/h2>[vc_column_text]Aber was ist mit nicht integrierten Plattformen? H\u00e4ufig handelt es sich auch hier um privilegierte Konten, wie z. B. lokale Konten in der Linux-Schicht unter den Java-Servern oder die lokalen Administratorkonten auf Windows-Clients. Da sie nicht integriert sind, fallen sie aus Sicht der IT-Abteilung in der Regel nicht in den Anwendungsbereich. Da diese Konten bei Angreifern sehr beliebt sind, k\u00f6nnen sie aus der Sicherheitsperspektive f\u00fcr das Identit\u00e4tsmanagement nicht au\u00dfer Acht gelassen werden. Daraus ergibt sich der dritte Anwendungsfall von \"Resilience meets Identity\", und zwar ein wirklich schwieriger: die Verwaltung eigenst\u00e4ndiger Konten.<\/p>\n

Es sollte zumindest Transparenz herrschen, d. h. der Prozessverantwortliche sollte dar\u00fcber informiert sein, wo sich solche Konten befinden. In Krisenzeiten ist es unabdingbar zu wissen, welche Konten manuell zur\u00fcckgesetzt oder zumindest \u00fcberwacht werden m\u00fcssen (und wie).[\/vc_column_text]

<\/div>\n

Peripherie-Accounts zur\u00fccksetzen<\/h2>[vc_column_text]Der schwierigste Teil dieses Anwendungsfalls ist die Verwaltung aller Peripheriekonten, einschlie\u00dflich derjenigen, die von Mitarbeitern Dritter verwendet werden. Dazu geh\u00f6ren Konten in der Lieferkette (wie Kundensupportkonten bei IT-Anbietern und Voicemail - die sich als erfolgreicher Angriffsvektor erwiesen haben), SaaS-Konten (Github, ChatGPT usw.), einschlie\u00dflich sozialer Medien und Konten, die als Schatten-IT gelten. Als letzte Kategorie sollten wir die privaten Konten von Administratoren und Entwicklern erw\u00e4hnen, da diese selten wirklich getrennt sind. Ihre Workstations sind in der Regel eine Fundgrube f\u00fcr zwischengespeicherte Anmeldedaten und ein h\u00e4ufiger Ausgangspunkt f\u00fcr Sicherheitsverletzungen.[\/vc_column_text]
<\/div>\n

Area Denial & Breach Tracking \u00fcber Identit\u00e4t<\/h2>[vc_column_text]\u201eArea Denial\u201c ist der Teil der Eind\u00e4mmung von Sicherheitsverletzungen, bei dem es darum geht, interne Grenzen zu verschieben, Daten und Systeme abzuschotten und so hoffentlich eine Kompromittierung zu verhindern. Die Effektivit\u00e4t dieser Ma\u00dfnahme h\u00e4ngt davon ab, wie gut Sie wissen, was der Angreifer tut und vorhat zu tun. Wenn Sie sich im blinden Bereich befinden, kann die Verweigerung dennoch n\u00fctzlich sein, um die Gef\u00e4hrdung zu begrenzen, indem beispielsweise sensible Dateien ausgelagert werden oder der Zugriff auf Datenbanken unterbrochen wird. Dies kann m\u00f6gliche zus\u00e4tzliche Verluste verringern oder den Angreifer einfach nur frustrieren. Letzteres ist vielleicht nicht besonders n\u00fctzlich, aber es kann den Angreifer dazu bringen, aufzugeben - oder zumindest wird sich das Verteidigungsteam dadurch besser f\u00fchlen.[\/vc_column_text]
<\/div>\n

Vorbereitetes Hochsetzen von Kontosperren im Notfall<\/h2>[vc_column_text]Weniger einschneidend, aber bei einem gr\u00f6\u00dferen Vorfall m\u00f6glicherweise wirksam ist die Verst\u00e4rkung der Abwehrma\u00dfnahmen durch die Erh\u00f6hung der Regeln f\u00fcr die Passwortkomplexit\u00e4t, die Senkung des Z\u00e4hlers f\u00fcr die R\u00fccksetzung falscher Passworteingaben und\/oder die Verk\u00fcrzung der G\u00fcltigkeitsdauer des Passworts. Dies wird dazu beitragen, die Ausbreitung einer Sicherheitsverletzung einzud\u00e4mmen, zumindest die Wiederherstellungskosten zu senken und m\u00f6glicherweise die Ausfallzeiten zu verringern.<\/p>\n

Die Durchsetzung dieser Ma\u00dfnahmen ist jedoch wahrscheinlich nur in Unternehmenssystemen und m\u00f6glicherweise in einigen Lieferketten machbar. Und da diese \u00c4nderungen gro\u00dfe Auswirkungen haben k\u00f6nnen, k\u00f6nnen sie nur dann zuverl\u00e4ssig durchgef\u00fchrt werden, wenn man darauf vorbereitet ist.<\/p>\n

Es gibt noch mehr Dinge, die Sie tun k\u00f6nnen, Dinge, die Sie wahrscheinlich auch h\u00e4tten tun k\u00f6nnen, wenn die \u00c4nderung genehmigt worden w\u00e4re. Um nur einige zu nennen[\/vc_column_text]

<\/div>\n

Notfallintegration f\u00fcr die Bereitstellung<\/h2>

Rechte auf unstrukturierte Daten beschr\u00e4nken<\/h2>[vc_column_text]Dieser Anwendungsfall zielt im Wesentlichen darauf ab, die Berechtigungen zu reduzieren, und sollte Teil der Pr\u00e4vention sein - dennoch wird er dazu beitragen, laufende Sicherheitsverletzungen einzud\u00e4mmen. Obwohl \"Least Privilege\" mindestens seit den sp\u00e4ten 1970er Jahren ein Mantra in der Informationssicherheit ist, ist die Realit\u00e4t in vielen Netzwerken, dass gemeinsam genutzte Netzlaufwerke immer noch weit verbreitet sind und als so unverzichtbar f\u00fcr den t\u00e4glichen Betrieb angesehen werden, dass sie in einem Lift-and-Shift-Ansatz in die Cloud verlagert werden.<\/p>\n

Viel zu oft sind die Rechte f\u00fcr diese Freigaben auf praktisch jeden im Unternehmen festgelegt. Solche Dateifreigaben neigen dazu, im Laufe der Zeit eine Vielzahl von Dokumenten anzusammeln, darunter auch sensible Daten. Das Problem sind nicht nur Dateifreigaben, sondern alle Daten, die nicht zentral gespeichert und verwaltet werden, denn alles, was Sie \u00fcber einen Browser \u00f6ffnen, wird in Ihrem Download-Ordner gespeichert, und alles, was Sie drucken, wird auf der internen Festplatte des Druckers zwischengespeichert. Das sind alle MS-Office-Daten, E-Mail-Nachrichten, PDF-Dateien, aber auch so ziemlich alles, was Ihr Telefon in der Cloud sichert. Als regelm\u00e4\u00dfiger Nutzer haben Sie wahrscheinlich Zugang zu mehr Daten, als Sie vermuten w\u00fcrden, was mit KI-gesteuerten Chatbots wie CoPilot, der alle Daten anzeigt, die er f\u00fcr relevant h\u00e4lt und auf die Sie Zugriff haben<\/a>, immer deutlicher wird. Erwarten Sie also, dass dieses Thema bald auftaucht.<\/p>\n

In der realen Welt der Sicherheit sind unstrukturierte Daten tendenziell ein gro\u00dfer blinder Fleck: Es gibt keinen Eigent\u00fcmer, kein quantifizierbares Risiko und keine einfache L\u00f6sung in Form eines allm\u00e4chtigen Tools. Identit\u00e4tsmanagement kann helfen, aber es gibt keine einfachen L\u00f6sungen oder schnellen Erfolge, so dass es oft eine niedrige Priorit\u00e4t erh\u00e4lt. \"Big-Data-Experten sch\u00e4tzen, dass unstrukturierte Daten 90 % aller neuen Unternehmensdaten ausmachen. Dieser Trend<\/a> zeigt, dass unstrukturierte Daten jedes Jahr um 55-65 % zunehmen - eine Rate, die dreimal schneller ist als das Wachstum strukturierter Daten.<\/p>\n

Angreifer, insbesondere Ransomware-Angreifer<\/a>, lieben unstrukturierte Daten, da sie sich viel leichter verschl\u00fcsseln lassen als eine Datenbank, die \"in Gebrauch\" ist und die Verschl\u00fcsselung verweigert. Das absolute Minimum ist das Entfernen von Rechten, die \"Jedem\" zugewiesen sind, mindestens aber den \"authentifizierten\" Benutzern<\/a>. Die Gruppe \"Authentifizierte Benutzer\" umfasst alle Benutzer, deren Identit\u00e4ten bei der Anmeldung authentifiziert wurden. Die Gruppe \"Jeder\" umfasst das integrierte Gastkonto und integrierte Sicherheitskonten wie SERVICE, LOCAL_SERVICE, NETWORK_SERVICE und andere. Auf diese Weise wird der Zugriff auf menschliche Benutzer beschr\u00e4nkt, wobei Angreifer in der Regel integrierte Konten bevorzugen, da diese eher unauff\u00e4llig sind.<\/p>\n

Und wenn Sie schon dabei sind - Dateifreigaben werden auch zum Ausf\u00fchren von Anwendungen verwendet, als bequeme M\u00f6glichkeit, kleine Anwendungen, \"portable\" Versionen regul\u00e4rer Anwendungen und\/oder Schatten-IT auszuf\u00fchren. Diese Eigenschaft wird h\u00e4ufig von Malware missbraucht, die sich in Ihren Netzwerken ausbreitet, und kann leicht durch Entfernen des ausf\u00fchrbaren Bits im Dateisystem \u00fcberwunden werden. Beachten Sie, dass dadurch alle ausf\u00fchrbaren Dateien gestoppt werden und es sich um ein vererbtes Recht handelt, also probieren Sie es aus, bevor Sie es in gr\u00f6\u00dferem Umfang anwenden.<\/p>\n

Zu diesem Thema kann - und muss - noch viel mehr gesagt werden, aber das w\u00fcrde den Rahmen dieses Dokuments sprengen.[\/vc_column_text]

<\/div>\n

Accounts abgleichen (Reconciliate)<\/h2>[vc_column_text]Eine Grundvoraussetzung f\u00fcr ein ausgereiftes Identity Management-Stack ist die Abgleichsfunktion. Sie berechnet das Delta zwischen den Konten, die welche Berechtigungen haben (IST), und den Berechtigungen, die sie haben sollten (SOLL), wodurch Sie verwaiste Konten (vor\u00fcbergehend) deaktivieren k\u00f6nnen, wodurch ein h\u00e4ufiger Dreh- und Angelpunkt bei Sicherheitsverletzungen und eine g\u00e4ngige Methode der Persistenz beseitigt wird.[\/vc_column_text]
<\/div>\n

Access Management trifft Resilience<\/h2>[vc_column_text]AM-Systeme bieten Echtzeit-Zugang f\u00fcr die von IGA verwalteten Konten. AM ist der Ort, an dem sich die Passw\u00f6rter befinden, und daher sind sie das wahrscheinlichste Ziel oder Sprungbrett f\u00fcr jeden Angriff. Daher m\u00fcssen Sie zun\u00e4chst sicherstellen, dass Sie \u00fcber Hochverf\u00fcgbarkeit und Disaster Recovery f\u00fcr AM verf\u00fcgen. Wie der viel beachtete Fall von Maersk gezeigt hat, sollten Sie sicherstellen, dass Sie auch f\u00fcr jedes Verzeichnis wiederherstellbare Backups haben. Bedenken Sie, dass ein kompromittiertes System vielleicht noch funktioniert, aber nicht mehr f\u00fcr Sie; Sie brauchen eine Datenwiederherstellung von sauberen Daten, nicht nur eine Systemwiederherstellung.[\/vc_column_text]
<\/div>\n

Weitere Faktoren der MFA<\/h2>[vc_column_text]Der erste Anwendungsfall, f\u00fcr den Sie AM-Funktionen einbauen sollten, wenn Sie belagert werden, ist die Durchsetzung strengerer Zugriffsrichtlinien - f\u00fcgen Sie MFA-Faktoren hinzu und - wenn Sie \u00fcber die entsprechende Technologie verf\u00fcgen - die Versch\u00e4rfung zus\u00e4tzlicher Richtlinien, wenn Zugangskontrollen vorhanden sind (Plattformen, Patch-Levels usw.). Solche Funktionen sind oft die Produktmerkmale, die w\u00e4hrend des Implementierungsprojekts nicht ausgew\u00e4hlt wurden, aber sie k\u00f6nnten bei einem Angriff ein gutes Back-up sein. Eine flexible Konfiguration der Authentifizierung kann ein n\u00fctzliches Instrument in Ihrem Cyber-Arsenal sein.[\/vc_column_text]
<\/div>\n

Reset aller User Sessions & Login erzwingen<\/h2>[vc_column_text]Der wichtigste Anwendungsfall f\u00fcr identit\u00e4tsbasierte Ausfallsicherheit ist das Zur\u00fccksetzen aller Anmeldeinformationen (Passw\u00f6rter, Geheimnisse wie SSH- und PKI-Schl\u00fcssel usw.), um ein m\u00f6gliches erneutes Eindringen des Angreifers zu verhindern. Es gibt einen Vorbehalt: offene Sitzungen - auch bekannt als die G\u00fcltigkeit des Vertrauens. Kurz gesagt: Wie und wie oft \u00fcberpr\u00fcfen Sie eine Benutzersitzung? Und wie schlie\u00dft man eine bestehende Sitzung, wenn etwas Verd\u00e4chtiges auftaucht?<\/p>\n

Dies ist der Bereich des Access Managements, der mittels Authentifizierung pr\u00fcft, ob der Nutzer, der etwas anfordert, auch der ist, f\u00fcr den er sich ausgibt. Das gebr\u00e4uchlichste Mittel ist die Abfrage von Benutzername und Kennwort, aber es gibt auch immer mehr Alternativen, wie z. B. \"passwortlose\" Verfahren, die sich auf gespeicherte geheime Schl\u00fcssel und PIN oder biometrische Daten st\u00fctzen. Nach erfolgreicher Authentifizierung erh\u00e4lt der Kunde ein Zugangs-Token. Mit diesem Token ist der Zugang f\u00fcr einen bestimmten oder unbestimmten Zeitraum m\u00f6glich, je nach Einsatz und Protokoll. Solange das Token g\u00fcltig ist, ist der Client vertrauensw\u00fcrdig. Wenn die Netzwerksitzung abl\u00e4uft, reicht das Token aus, um eine neue Sitzung zu erhalten. Und das gilt auch f\u00fcr jeden anderen, der eine Kopie des Tokens hat - es ersetzt die echte Authentifizierung f\u00fcr die Dauer der Sitzung, die ewig dauern kann. Aus diesem Grund ist der Schutz des Session-Tokens von entscheidender Bedeutung, wie es die bew\u00e4hrte Sicherheitspraxis vorschreibt, indem es nicht auf einem Datentr\u00e4ger, sondern im Speicher des Clients gespeichert wird. Insbesondere wenn die Speicheradressen randomisiert sind, ist es schwierig, Schl\u00fcssel aus dem Speicher zu stehlen. Das bedeutet auch, dass, wenn eine Sitzung einen Neustart \u00fcberlebt (d. h. Sie m\u00fcssen sich nicht erneut anmelden), etwas auf der Festplatte gespeichert werden muss, was sie weniger sicher macht.<\/p>\n

Die Erzwingung einer Revalidierung durch Begrenzung der Dauer der Validierung eines Clients zur Erh\u00f6hung der Sicherheit w\u00e4re machbar, ist aber nicht \u00fcblich. Wahrscheinlich, weil es benutzerunfreundlich ist, da sich der Benutzer oft neu authentifizieren m\u00fcsste, was das Single Sign On Erlebnis st\u00f6rt. Wir opfern also etwas Sicherheit, und gestohlene Token sind eine gro\u00dfe Sache.<\/p>\n

Und nun zum gro\u00dfen \"Reset\"-Use Case. Sie werden versuchen, die G\u00fcltigkeit offener Sessions zu begrenzen, um sicherzustellen, dass nur legitime Benutzer und Systeme weiterhin Zugang haben. Leider lassen die meisten Session-Token-Mechanismen keine serverseitige Sitzungsbeendigung zu; nur der Client kann sich abmelden. So kann z. B. http, das am weitesten verbreitete Protokoll, eine User Session nur dann beenden, wenn es persistente Cookies verwendet, indem es die Verfallszeit \u00e4ndert. Persistente Cookies sind Dateien, die auf der Festplatte gespeichert werden; eine Methode, die als unsicher gilt, da sie bei Diebstahl Zugriff auf die Nutzer-Session geben.\u00a0 Dies erkl\u00e4rt, warum das \u00c4ndern des Passworts oder Schl\u00fcssels einer REST- oder SOAP-API nichts bewirkt - APIs melden sich nicht ab.<\/p>\n

\u00c4hnliche - aber andere - Vorbehalte gibt es bei Kerberos, dem anderen verbreiteten Protokoll, das von lokalen aktiven Verzeichnissen verwendet wird. Kerberos-Tickets, die nach erfolgreicher Authentifizierung empfangen werden, bleiben so lange g\u00fcltig, wie sie als g\u00fcltig angesehen werden, es gibt keinen Widerrufsmechanismus. Kerberos-basierte Dienste validieren die empfangenen Tickets \"offline\", ohne einen Dom\u00e4nen-Controller oder eine andere zentrale Instanz zu kontaktieren - solange das Ticket mit dem Schl\u00fcssel des Dienstes (keytab) entschl\u00fcsselt wird, gilt es als g\u00fcltig. Es gibt keine M\u00f6glichkeit, Tickets zentral zu widerrufen, sobald sie ausgestellt wurden.<\/p>\n

Das bedeutet, dass ein Benutzer, der nur ein \"krbtgt\"-Ticket besitzt, dieses am Dom\u00e4nen-Controller (KDC) \"widerrufen\" kann, indem das Benutzerkonto deaktiviert wird. Auf diese Weise weigert sich das KDC, weitere Tickets auszustellen. Wenn der Benutzer jedoch bereits Tickets f\u00fcr andere Dienste besitzt, bleiben diese Tickets g\u00fcltig, und es obliegt den einzelnen Diensten, das Konto zu validieren, wenn sie dies w\u00fcnschen. Das bedeutet, dass das Deaktivieren eines gehackten Kontos - oder das \u00c4ndern des Passworts oder das Reduzieren von Berechtigungen - den Angreifer nicht aussperrt.<\/p>\n

Bei Diensten, die keinen zus\u00e4tzlichen Autorisierungs-Server verwenden (z. B. APIs oder SSH-Hosts, die nur ein Ticket ben\u00f6tigen), haben Sie Pech - das Ticket bleibt so lange g\u00fcltig, wie es g\u00fcltig ist. Das ist in vielen F\u00e4llen unbegrenzt. Viel Gl\u00fcck also, wenn Sie den Angreifer loswerden wollen.<\/p>\n

Selbst wenn die Tickets durch Ablauf ung\u00fcltig werden, f\u00fchrt dies nicht zum sofortigen Abbruch der Sessions. Kerberos-authentifizierte RDP- oder SSH- Sessions k\u00f6nnen auf unbestimmte Zeit aktiv bleiben. RDP- und SSH- Sessions sind in der Regel privilegierte User Sessions - der bevorzugte Weg f\u00fcr Angreifer, sich an Ihren Systemen und Daten zu vergreifen. Kerberos-authentifiziertes Web SSO (http) bleibt ebenfalls aktiv, solange die SSO-Cookies g\u00fcltig sind. Hacker haben gelernt, sich niemals abzumelden - eine Erkenntnis, die f\u00fcr Incident Responder von entscheidender Bedeutung ist. Wenn Sie dies ignorieren, sind Ihre Chancen, das Chaos zu beseitigen, minimal.<\/p>\n

Dies gilt generell f\u00fcr jeden Authentifizierungsmechanismus, nicht nur f\u00fcr Kerberos. Wenn Sie sich beispielsweise per SSH mit einem Pubkey bei einem Server anmelden, bleibt Ihre Sitzung auch dann bestehen, wenn dieser Schl\u00fcssel sp\u00e4ter aus authorized_keys entfernt wird. Wenn Switches und Router neben der Kerberos-Authentifizierung zus\u00e4tzliche Mittel wie RADIUS- oder TACACS-AAA-Server f\u00fcr die Autorisierung verwenden, und wenn sie mit einer Autorisierung pro Befehl \u00fcber AAA eingerichtet sind (im Gegensatz zu einer einfachen \u00dcberpr\u00fcfung bei der Anmeldung), dann werden sie die Sitzungen wahrscheinlich schlie\u00dfen, sobald der n\u00e4chste Befehl ausgegeben wird und der AAA-Server sagt: \"Das Konto scheint laut LDAP gesperrt zu sein\". Andernfalls bleibt die Session offen, und die Angreifer k\u00f6nnen unbegrenzt weitermachen.<\/p>\n

In der Regel ist die gro\u00dfe Reset-Funktionalit\u00e4t in einer Standardkonfiguration nicht verf\u00fcgbar, da Identit\u00e4tssysteme nicht verpflichtet sind, diese Funktionen bereitzustellen. Das hei\u00dft aber nicht, dass nichts getan werden kann - zu wissen, was m\u00f6glich ist und was nicht, ist von entscheidender Bedeutung, insbesondere bei einem Einbruch. Zero Trust lehrt die Bedeutung von \"never trust, always verify\", doch wir sehen hier, dass beim Thema der Dauer von \"Validated Trust\" noch eine Menge wichtiger Arbeit zu leisten ist, die h\u00e4ufig \u00fcbersehen wird.[\/vc_column_text]

<\/div>\n

Use Cases f\u00fcr Privileged Access Management<\/h2>[vc_column_text]PAM ist die Absicherung der Nutzung von Accounts mit h\u00f6heren Privilegien, den Berechtigungen zum \u00c4ndern von Rechten, die Benutzer haben - einschlie\u00dflich seiner eigenen. Dies sind Administratoren- und Root-Konten sowie deren \u00c4quivalente. F\u00fcr einen erfolgreichen Angreifer sind sie unerl\u00e4sslich, um sich lateral durch ein Netzwerk zu bewegen. Privilegierte Konten sind daher die h\u00e4ufigsten Ziele, und der Einsatz einer PAM-L\u00f6sung zentralisiert das, was Sie verteidigen, wodurch Sie einen besseren \u00dcberblick erhalten und leichter reagieren k\u00f6nnen. Sie bietet Ihnen die M\u00f6glichkeit, an einer Stelle die Logging-Ebenen zu erh\u00f6hen und alle Benutzersitzungen zur\u00fcckzusetzen (anstatt auf jedem Host einzeln!), sie bietet die Funktionalit\u00e4t, Admin-Sitzungen aufzuzeichnen und einen einzigen Weg, um privilegierte Notfall-Accounts f\u00fcr zus\u00e4tzliche Support-Mitarbeiter zu erstellen. Dies alles sind Vorteile des PAM-Konzepts, aber kaum das, was man im Falle eines vermuteten Angriffs tut.[\/vc_column_text]
<\/div>\n

Lokale Admins resetten und bereinigen<\/h2>[vc_column_text]Die erste Ma\u00dfnahme, die Sie mit PAM ergreifen sollten, ist ein globales Zur\u00fccksetzen der lokalen Administratorkennw\u00f6rter und ein Entfernen zus\u00e4tzlicher lokaler Accounts. Dies ist wahrscheinlich eine Mischung aus IGA-, AM- und PAM-Tools, so dass es sich lohnt, sich vorzubereiten und sogar Probel\u00e4ufe durchzuf\u00fchren.[\/vc_column_text]
<\/div>\n

Andere Aktionen mit PAM<\/h2>[vc_column_text]Je nach Tool und Einsatzgebiet stehen Ihnen weitere Funktionen zur Verf\u00fcgung, die bei der Abwehr eines Angriffs sehr n\u00fctzlich sein k\u00f6nnen:<\/p>\n