CIS Control 6: Zugriffssteuerungsmanagement

Das Center for Internet Security (CIS) veröffentlicht Critical Security Controls die Organisationen dabei helfen, die Cybersicherheit zu verbessern. In Version 8 befasst sich Kontrolle 6 mit dem Zugriffskontrollmanagement (in früheren Versionen wurde dieses Thema durch eine Kombination aus Kontrolle 4 und Kontrolle 14 abgedeckt).

Kontrollmechanismus 6 bietet Best Practices für das Zugriffsmanagement und skizziert Sicherheitsrichtlinien für die Verwaltung von Benutzerprivilegien, insbesondere die kontrollierte Verwendung von administrativen Privilegien. Best Practices erfordern, dass Rechte jedem Benutzer gemäß dem Prinzip der geringsten Berechtigung zugewiesen werden — jeder Benutzer sollte nur die minimal erforderlichen Rechte haben, um seine zugewiesenen Aufgaben zu erfüllen. Dies begrenzt den Schaden, den der Kontoinhaber entweder absichtlich oder versehentlich anrichten kann, und minimiert auch die Reichweite eines Angreifers, der die Kontrolle über ein Konto erlangt.

Leider neigen Organisationen dazu, Konten mehr Privilegien zu gewähren, als sie benötigen, weil es bequem ist – es ist einfacher, ein Konto zur lokalen Administratorengruppe auf einem Computer hinzuzufügen, zum Beispiel, als die genauen Privilegien herauszufinden, die das Konto benötigt und den Benutzer zu den entsprechenden Gruppen hinzuzufügen. Darüber hinaus versäumen sie oft, Privilegien zu widerrufen, die Benutzer nicht mehr benötigen, wenn sie ihre Rollen innerhalb der Organisation wechseln, oft aufgrund von mangelnder Kommunikation und standardisierten Verfahren. Infolgedessen sind Unternehmen unnötigen Risiken für Datenverlust, Ausfallzeiten und Compliance-Verstöße ausgesetzt.

Um diese Risiken zu mindern, bietet CIS Control 6 acht Richtlinien für die Etablierung eines starken Zugriffskontrollmanagements.

6.1 Einen Prozess zur Gewährung von Zugriff einrichten.

Ein definierter Prozess für die Vergabe von Zugriffsrechten an Benutzer, wenn sie der Organisation beitreten und wenn sich ihre Rollen ändern, hilft dabei, das Prinzip der geringsten Rechte durchzusetzen und aufrechtzuerhalten. Idealerweise sollte der Prozess so automatisiert wie möglich sein, mit standardisierten Berechtigungssätzen für verschiedene Vermögenswerte und Geräte im Netzwerk, die mit verschiedenen Rollen und sogar verschiedenen Ebenen innerhalb einer Rolle verbunden sind.

6.2 Einen Prozess zum Entziehen von Zugriffen etablieren.

Organisationen versäumen es oft, nicht mehr benötigte Zugriffsrechte zu widerrufen, und setzen sich so Angriffen und Ausnutzung aus. Wenn beispielsweise das Konto eines entlassenen Mitarbeiters nicht umgehend deaktiviert oder gelöscht wird, könnte diese Person oder jemand, der die Anmeldeinformationen des Kontos kompromittiert, dessen Privilegien ausnutzen.

Das Widerrufen von Zugriffsrechten ist oft notwendig, wenn ein Benutzer innerhalb der Organisation die Rolle wechselt. Dies gilt nicht nur bei Degradierungen, sondern auch bei horizontalen Versetzungen und Beförderungen. Wenn beispielsweise ein Benutzer vom Vertrieb ins Marketing wechselt, hat er möglicherweise keinen legitimen geschäftlichen Grund mehr, auf Daten und Anwendungen zuzugreifen, die vom Vertriebsteam verwendet werden; ebenso wird eine erfahrene Person, die in eine Managementposition wechselt, wahrscheinlich einige ihrer alten Rechte widerrufen und einige neue hinzugefügt bekommen müssen.

6.3. Erfordern Sie MFA für extern zugängliche Anwendungen.

Multifactor authentication (MFA) ist eine bewährte Methode, da sie gestohlene Anmeldeinformationen für Angreifer nutzlos macht. Mit MFA müssen Benutzer zwei oder mehr Authentifizierungsfaktoren angeben, wie zum Beispiel eine Kombination aus Benutzer-ID/Passwort plus einen an ihre E-Mail gesendeten Sicherheitscode. Ohne den zweiten Faktor wird einem potenziellen Angreifer der Zugriff auf die angeforderten Daten, Systeme oder Dienste verwehrt.

Kontrollpunkt 6.3 empfiehlt die Anforderung von MFA für alle extern zugänglichen (internet-facing) Softwareanwendungen, wie von Kunden, Geschäftspartnern und anderen Kontakten genutzte Tools.

6.4 Erfordern Sie MFA für den Fernzugriff auf das Netzwerk.

Diese Sicherheitsmaßnahme baut auf der vorherigen auf und empfiehlt MFA, wann immer Benutzer versuchen, sich aus der Ferne zu verbinden. Diese Praxis ist heute besonders wichtig, da viele Organisationen viele Fern- und Hybridarbeiter haben.

6.5. Erfordern Sie MFA für administrativen Zugang.

Gemäß Kontrolle 6.5 des CIS benötigen die Administratorkonten einer Organisation auch die zusätzliche Sicherheit von MFA, da diese Konten privilegierten Zugriff auf IT-Ressourcen gewähren, oft nicht nur auf sensible Daten, sondern auch auf die Konfiguration von Kernsystemen wie Servern und Datenbanken.

6.6. Erstellen und pflegen Sie ein Inventar von Authentifizierungs- und Autorisierungssystemen.

Auf einer höheren Ebene müssen Organisationen alle ihre Authentifizierungs- und Autorisierungssysteme überwachen. Das Inventar sollte mindestens jährlich überprüft und aktualisiert werden. Neben dem Wert für die Sicherheit kann dieses Inventar der Organisation auch dabei helfen, regulatorische Konformität zu erreichen.

6.7. Zentralisieren Sie die Zugriffskontrolle.

Zentralisierte Zugriffskontrolle ermöglicht es Benutzern, mit denselben Anmeldeinformationen auf verschiedene Anwendungen, Systeme, Websites und Tools zuzugreifen. Single Sign-On (SSO) ist ein Beispiel für zentralisierte Zugriffskontrolle.

Eine Reihe von Anbietern offeriert Produkte für zentralisierte Zugriffskontrolle und Identity Management, die darauf ausgelegt sind, Unternehmen die Vereinfachung des Benutzerzugriffs, die Verbesserung der Sicherheit und die Straffung der IT-Operationen zu erleichtern.

6.8. Definieren und pflegen Sie die rollenbasierte Zugriffskontrolle.

Den Versuch, jedem Benutzer individuell die richtigen Zugriffsrechte durch direkte Berechtigungszuweisungen zu geben und diese Rechte über die Zeit aktuell zu halten, ist einfach kein skalierbarer Ansatz für Zugriffskontrolle. Stattdessen empfiehlt Kontrolle 6.8 die Implementierung von rollenbasierter Zugriffskontrolle (RBAC) — Zugriffsprivilegien werden definierten Rollen in der Organisation zugewiesen und dann wird jeder Benutzer Mitglied der entsprechenden Rollen. Rollen und ihre zugehörigen Rechte sollten mindestens jährlich überprüft und aktualisiert werden.

Zusammenfassung

Die Kontrolle von Zugriffsrechten ist entscheidend für die Sicherung sensibler Daten, Anwendungen und anderer IT-Ressourcen. Zu den wesentlichen Prozessen der Zugriffskontrolle gehören Workflows, die es Benutzern ermöglichen, Zugriffsanfragen zu stellen und Datenbesitzern, diese zu genehmigen oder abzulehnen, sowie Prozesse, die es Datenbesitzern regelmäßig ermöglichen, Zugriffsrechte an ihren Daten zu überprüfen und zu ändern.

Privilegierte Konten erfordern besondere Aufmerksamkeit, da sie ernsthaften Schaden anrichten können, wenn sie von ihren Besitzern missbraucht oder von Angreifern kompromittiert werden. Netwrix Privileged Access Management solution vereinfacht die Kontrolle über privilegierten Zugriff, indem es Administratoren dynamisch genau die Berechtigungen gewährt, die sie benötigen, um eine bestimmte Aufgabe zu erledigen, und diese Rechte unmittelbar danach automatisch wieder entfernt. Dadurch können Organisationen nahezu alle ihre ständigen privilegierten Konten entfernen, was ihre Angriffsfläche erheblich reduziert und den Aufwand und die Haftung traditioneller, auf Tresoren zentrierter Lösungen vermeidet. Zudem ist die Netwrix Privileged Access Management solution kostengünstig, intuitiv und einfach zu implementieren.