Ist dir eine Sicherheitsverletzung widerfahren?
|
Unterstützung
|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Segmentierung
Illumio Editorial
Illumio Editorial
Juli 28, 2022
23 min. lesen

Was ist das Prinzip der geringsten Privilegien?

Das Prinzip der minimalen Berechtigungen (PoLP) ist ein Konzept aus dem Bereich der Informationssicherheit, das sich insbesondere darauf bezieht, wann einem Benutzer nur minimaler Zugriff oder minimale Berechtigungen in einem Netzwerk gewährt werden. Dies ermöglicht es dem Benutzer, seine Aufgaben oder erforderlichen Funktionen auszuführen, und nichts anderes.

Least Privilege gilt als Best-Practice-Methode für die Cybersicherheit und wird von vielen Unternehmen eingesetzt, um die Zugriffskontrolle zu verwalten und Netzwerkverletzungen zu verhindern, die Daten und Rechenressourcen gefährden.

PoLP gilt nicht nur für Netzwerkbenutzer. Es kann den Zugriff zwischen Anwendungen, Geräten und integrierten Systemen einschränken, was bedeutet, dass sie nur über die Mindestberechtigungen verfügen, die zum Ausführen ihrer Funktion erforderlich sind.

Warum ist die geringste Privilegierung so wichtig?

Da die Cyberkriminalität immer ausgefeilter wird, ist es von größter Bedeutung, sicherzustellen, dass jeder Aspekt eines Netzwerks gesichert ist und keine Schwachstellen offengelegt werden.

Es gibt mehrere Gründe, warum die geringsten Privilegien für den Aufbau von Cyber Resilience so wichtig sind:

  • Das Prinzip der minimalen Berechtigungen verringert die Angriffsfläche eines Netzwerks. Dies bedeutet, dass das Prinzip der minimalen Privilegien die Anzahl der Schwachstellen in einem Netzwerk minimiert, die von einem Cyberkriminellen ins Visier genommen werden könnten. Indem Benutzern nur die Berechtigungen erteilt werden, die sie zur Ausführung einer Aufgabe benötigen – und nichts weiter –, verringern Angreifer ihre Möglichkeiten, sich im Netzwerk auszubreiten und Schaden anzurichten.

    Viele Sicherheitsverletzungen zielen auf Benutzer mit erweiterten Netzwerkzugriffsrechten ab, wodurch der Hacker sensible Informationen einsehen kann. Daher schränkt die Beschränkung des Zugriffs auf Benutzer und Geräte auch die Möglichkeiten von Cyberkriminellen ein, Einzelpersonen ins Visier zu nehmen.
     
  • Die Gesamtreichweite von Schadsoftware wird auch durch die Implementierung des Prinzips der minimalen Berechtigungen für Benutzer und Endpunkte begrenzt . Sollte das Netzwerk einem solchen Angriff ausgesetzt sein, kann Schadsoftware keinen zusätzlichen Zugriff erlangen und sich nicht frei bewegen, um bösartigen Code zu installieren und auszuführen. Dadurch wird Schadsoftware die Möglichkeit verwehrt, eine Fernverbindung herzustellen oder auf sensible Daten zuzugreifen.
     
  • Die funktionale Zugriffskontrolle bietet Benutzern genau die richtige Menge an Berechtigungen, um ihre Aufgaben zu erledigen und nicht mehr. Dadurch werden Anfragen, die über das Netzwerk gesendet werden, und Support-Tickets, die im Zusammenhang mit Zugriffsproblemen an den IT-Helpdesk gesendet werden, reduziert. Es hat sich gezeigt, dass es die Produktivität der Benutzer in einem Netzwerk verbessert.
     
  • Die geringsten Rechte können dazu beitragen, die Compliance in Bezug auf Daten zu verbessern und die Überwachung erheblich zu vereinfachen. Die Etablierung einer klaren Hierarchie von Benutzern und ihren relevanten Berechtigungen bedeutet, dass das Netzwerk viel strukturierter ist und nur die Benutzer auf Daten zugreifen können, die sie benötigen.

Was ist Privilege Creep?

Privilegienkriechen bezeichnet den Fall, dass zu vielen Benutzern in einem Netzwerk Administratorrechte für bestimmte Anwendungen, Systeme oder Netzwerke erteilt werden, was zu einem Sicherheitsrisiko führt. Privilegienausweitung tritt auf, wenn Unternehmen im Zuge einer Neubewertung von Zugriffsrechten und Berechtigungen die administrativen Rechte von Benutzern widerrufen, um diese Rechte zu einem späteren Zeitpunkt wiederherzustellen, damit die Benutzer bestimmte Aufgaben ausführen können.

Das häufigste Beispiel hierfür ist, wenn ältere (Legacy-)Anwendungen zusätzliche Berechtigungen benötigen, um ausgeführt zu werden. Dies bedeutet, dass einem Benutzer möglicherweise Administratorrechte erteilt werden müssen, um eine Software zu installieren oder auszuführen. Die wichtigsten Sicherheitsrisiken treten auf, wenn diese umfassenderen Berechtigungen nicht widerrufen werden, sobald der Benutzer die Aufgabe abgeschlossen hat, was dazu führt, dass viele Benutzer über Berechtigungen verfügen, die sie nicht benötigen.

Privilege Creep vergrößert die Angriffsfläche eines Netzwerks. Durch die sorgfältige und konsequente Anwendung des Prinzips der geringsten Rechte kann dieses Problem jedoch behoben werden, indem sichergestellt wird, dass alle Benutzer (sowohl menschliche als auch nicht-menschliche) nur über die erforderlichen Zugriffsebenen verfügen.

Was ist ein Superuser, und was hat er mit den geringsten Rechten zu tun?

Ein Superuser ist ein Netzwerkbenutzer, der uneingeschränkten Zugriff auf alle Bereiche hat, einschließlich vollständiger Lese- und Schreibberechtigungen, der Befugnis zur Ausführung von Software und zur Änderung von Netzwerkeinstellungen, Daten und Dateien.

Superuser können nicht nur eine Reihe von Einstellungen und Daten ändern, sondern auch Zugriff und Berechtigungen für andere Benutzer festlegen. Diese Berechtigung wird nur sehr vertrauenswürdigen Personen innerhalb einer Organisation gewährt, z. B. einem Systemadministrator oder IT-Manager. Superuser werden in der Regel nur als Administrator (oder root) im Netzwerk selbst bezeichnet.

Superuser melden sich selten beim Netzwerk an und führen stattdessen bei Bedarf Aktionen für andere Konten aus. Mit einem Sudo-Befehl, einem Befehl, der es ermöglicht, einzelne Aktionen für ein Konto auszuführen, und zwar mit den Rechten eines Superusers, ist es unwahrscheinlich, dass Sitzungen gekapert werden, da sie unvorhersehbar sind.

Welche Arten von Cyberangriffen können mit den geringsten Rechten gestoppt werden?

Least Privilege kann dazu beitragen, praktisch alle bekannten Cyberangriffe zu verhindern, indem die Angriffsfläche eines Netzwerks erheblich reduziert wird.

Das Ziel des Zugriffs mit den geringsten Rechten besteht darin, offene Reisewege für nicht autorisierte Benutzer zu schließen. Standardmäßig würde dies jeden Eindringling von außen blockieren, der nicht in der "Zulassungsliste" enthalten ist.

Cyberangriffe, die mit den geringsten Rechten abgewehrt werden können:

  • Malware
  • Ransomware-Angriffe
  • Phishing-Angriffe
  • SQL-Injection-Angriffe
  • Man-in-the-Middle-Angriffe
  • Zero-Day-Exploits

Implementieren der geringsten Rechte

Das Prinzip der geringsten Privilegien kann auf verschiedene Weise umgesetzt werden, aber hier ist unser Best-Practice-Ansatz, um sicherzustellen, dass jedes Detail berücksichtigt wird und dass die zusätzlichen Maßnahmen mit einer umfassenderen Cybersicherheitsstrategie einhergehen.

Sie können den Zugriff mit den geringsten Rechten in sechs wichtigen Schritten implementieren:

  1. Führen Sie ein Audit durch , um privilegierte Konten in allen Teilen eines hybriden Netzwerks zu identifizieren , einschließlich Clouds, Rechenzentren und Endpunkten.

    Die Prüfung sollte folgende Bereiche umfassen: Anmeldeinformationen, Passwörter, Passwort-Hashes, SSH-Schlüssel und Zugriffsschlüssel – über alle physischen Endpunkte und Entwicklungsumgebungen hinweg. Dies sollte auch eine vollständige Überprüfung aller Cloud-Netzwerkberechtigungen und Gateways umfassen, um sicherzustellen, dass alle Berechtigungen den neuen Richtlinien entsprechen und keine unnötigen Zugriffsrechte gewährt wurden.
     
  2. Sobald die Überwachung abgeschlossen ist, widerrufen Sie den Zugriff auf menschliche und nicht-menschliche Konten, denen unnötige lokale Administratorberechtigungen erteilt wurden. Erteilen Sie dann nur Berechtigungen, die zum Ausführen ihrer Funktion erforderlich sind.

    Darüber hinaus sollten Superuser-Sitzungen nur bei Bedarf stattfinden, wobei der Befehl Sudo für zusätzliche Sicherheit verwendet werden sollte. Der Just-In-Time-Zugriff (der automatisch deaktiviert wird) kann normalen Benutzern den Zugriff auf Konten mit zusätzlichen Berechtigungen oder das Ausführen von Befehlen auf Administratorebene bei Bedarf ermöglichen.
     
  3. Trennen Sie Standardbenutzerkonten von Administratorkonten mithilfe von Mikrosegmentierung. Dies bietet eine zusätzliche Schutzebene für den Fall, dass ein Benutzer nicht durch das Prinzip der minimalen Berechtigungen eingeschränkt ist und ein Sicherheitsverstoß begangen wird. Es trägt insbesondere dazu bei, Administratorkonten aufgrund ihrer wichtigen Zugriffsberechtigungen vor Infektionen und umfassenderen Schäden zu schützen.
     
  4. Verwenden Sie einen digitalen Tresor, um die Anmeldeinformationen aller Administratorkonten zu sichern, wobei der Zugriff nur den Personen gewährt wird, die ihn benötigen.
     
  5. Ändern Sie die Administratorpasswörter nach jeder Benutzung , um zu verhindern, dass Cyberkriminelle diese mithilfe von Keylogger-Software aufzeichnen. Diese Software protokolliert den Passwort-Hash (einen Verschlüsselungsalgorithmus) anstelle der Zeichen im Passwort. Durch das Erhalten dieses Hashwerts können Hacker dann versuchen, das Authentifizierungssystem zu täuschen und es dazu zu bringen, eine neue Sitzung im Netzwerk zu erstellen. Dies wird als Pass-the-Hash-Angriff bezeichnet.
     
  6. Überwachen Sie kontinuierlich die administrativen Aktivitäten. Eine gründliche Überwachung kann dazu beitragen, verdächtiges Verhalten, das mit einem Cyberangriff in Verbindung stehen könnte, schnell zu erkennen oder eine Sicherheitslücke aufzudecken.

Geringste Privilegien + Zero Trust = Cyber-Resilienz

Das Prinzip der minimalen Berechtigungen ist grundlegend für die Implementierung einer Zero-Trust- Sicherheitsarchitektur. Diese Art von Sicherheitsmaßnahme geht davon aus, dass alle Benutzer und Geräte, die auf ein Netzwerk zugreifen, eine potenzielle Bedrohung darstellen. Das Prinzip der minimalen Berechtigungen setzt die Prinzipien des Zero Trust durch, indem es nur den Zugriff auf vertrauenswürdigen Datenverkehr erlaubt und den gesamten übrigen Datenverkehr blockiert.

Gemäß dem Prinzip der minimalen Berechtigungen erhält ein Benutzer nach erfolgter Verifizierung nur eingeschränkten Zugriff auf die Anwendung oder die Computerressource, die er zur Ausführung seiner Aufgabe benötigt. Diese Taktiken werden von Regierungen und Unternehmen weltweit angewendet, da ältere Praktiken wie Netzwerk-Firewalls keinen Schutz mehr vor den heutigen raffinierten und gut finanzierten Cyberkriminellen bieten.

Zero Trust und PoLP sind heute unverzichtbare Best-Practice-Sicherheitsmaßnahmen, die jedes Unternehmen ergreifen muss, um seine digitale Infrastruktur vor immer aggressiveren Cyberangriffen zu schützen.

Gehen Sie die nächsten Schritte, um herauszufinden, ob Illumio der richtige Partner für die Konzeption und Umsetzung Ihres nächsten Segmentierungsprojekts ist :

Verwandte Themen

Keine Artikel gefunden.

Verwandte Artikel

Ein Hacker nennt 3 Gründe, warum Zero-Trust-Segmentierung sein schlimmster Albtraum ist
Segmentierung

Ein Hacker nennt 3 Gründe, warum Zero-Trust-Segmentierung sein schlimmster Albtraum ist

Erfahren Sie, welche Taktiken Bedrohungsakteure in ihrem Hacking-Toolkit verwenden und wie Zero-Trust-Segmentierung sie schnell ineffektiv macht.

Mehr lesen
Wie Illumio kohärente Sicherheit für Container schafft
Segmentierung

Wie Illumio kohärente Sicherheit für Container schafft

Erfahren Sie, wie Illumio Sicherheitsrichtlinien durchsetzt und vollständige Transparenz in allen Umgebungen bietet – alles auf einer Plattform.

Mehr lesen
Gerald Caron teilt 5 Zero-Trust-Erkenntnisse für Bundesbehörden
Segmentierung

Gerald Caron teilt 5 Zero-Trust-Erkenntnisse für Bundesbehörden

Gerald Caron, ehemaliger CIO des US-Gesundheitsministeriums, spricht über Zero-Trust-Erkenntnisse und die Implementierung von Cybersicherheit in Regierungsbehörden.

Mehr lesen
Keine Artikel gefunden.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren