Grundlagen des privilegierten Zugriffs

What Is Grundlagen des privilegierten Zugriffs?

Privilegierte Konten, also die Administrator- und Root-Zugangsdaten, die die kritischen Systeme Ihres Unternehmens steuern, sind das Hauptziel für Angreifer. Ein kompromittiertes Standardbenutzerkonto ist ein Problem. Ein kompromittiertes Administratorkonto ist eine Katastrophe. Diese Übung versetzt Sie in zwei gegensätzliche Szenarien, um zu zeigen, warum. Im ersten Fall sind Sie ein Systemadministrator, der eine routinemäßige Serveraktualisierung durchführen muss. Anstatt sich direkt mit Ihren Administrator-Anmeldedaten anzumelden, durchlaufen Sie einen Just-in-Time-Zugriffsworkflow: Sie fordern erhöhte Berechtigungen für eine bestimmte Aufgabe mit einem definierten Zeitfenster an und werden beim Schließen des Fensters automatisch widerrufen. Im zweiten Szenario untersuchen Sie die Folgen eines Vorfalls, bei dem ein Administrator sein privilegiertes Konto für alltägliche Aufgaben wie das Abrufen von E-Mails und das Durchsuchen interner Wikis verwendet hat. Ein Angreifer hat dieses Konto gefälscht und sofort an die Schlüssel zur gesamten Infrastruktur gelangt. Der Kontrast zwischen den beiden Szenarien macht die Lektion konkret. Sie praktizieren auch sichere Gewohnheiten für den privilegierten Zugriff: Verwenden Sie separate Administratorkonten für erhöhte Arbeit, speichern Sie niemals Administratorkennwörter in Browsern, aktivieren Sie die Sitzungsaufzeichnung für Prüfprotokolle und erkennen Sie, wann die Anfrage eines Kollegen nach „schnellem Administratorzugriff“ stattdessen über ordnungsgemäße Genehmigungskanäle erfolgen sollte.

What You'll Learn in Grundlagen des privilegierten Zugriffs

• Unterscheiden Sie zwischen Standard- und privilegierten Konten und erklären Sie, warum privilegierte Anmeldeinformationen strengere Kontrollen und separate Nutzungsmuster erfordern
• Nutzen Sie Just-in-Time-Zugriffsworkflows, um zeitlich begrenzte erhöhte Berechtigungen für bestimmte Verwaltungsaufgaben anzufordern
• Identifizieren Sie die Risiken der Verwendung privilegierter Konten für Routineaktivitäten wie E-Mail, Surfen und nicht-administrative Arbeiten
• Wenden Sie sichere Handhabungspraktiken für Administratoranmeldeinformationen an, einschließlich separater Kontonutzung, keine Speicherung von Browserkennwörtern und Sitzungsüberwachung
• Bewerten Sie Anfragen nach privilegiertem Zugriff von Kollegen und leiten Sie sie über geeignete Genehmigungs- und Dokumentationskanäle weiter, anstatt Ad-hoc-Zugriff zu gewähren

Grundlagen des privilegierten Zugriffs — Training Steps

1. Willkommen bei Northgate Financial

   Administratorzugriff bedeutet, dass Sie Datensätze in der gesamten Kundendatenbank lesen, schreiben und löschen können. Die meisten Mitarbeiter haben nur Lesezugriff auf ihre eigenen Kundenportfolios. Ihre Zugriffsebene ist ein mächtiges Werkzeug – und ein hochwertiges Ziel.

2. SOX-Konformitätsbenachrichtigung

   Alice erhält eine E-Mail vom IT-Sicherheitsteam über ein bevorstehendes SOX-Compliance-Audit. Vierteljährliche Prüfungen sind bei einem Finanzdienstleistungsunternehmen Routine – hier nichts Ungewöhnliches.

3. Ein Kollege braucht Hilfe

   Alices Telefon summt. Eine Telegram-Nachricht von Marcus Chen, einem Kollegen aus dem Analyseteam. Marcus benötigt für einen vierteljährlichen Bericht Zugriff auf die Kundendatenbank, sein Zugriff wurde jedoch während eines kürzlich erfolgten Rollenwechsels widerrufen. Er bittet Alice, ihre Administrator-Anmeldedaten mitzuteilen – nur dieses eine Mal.

4. Anmeldeinformationen teilen

   Marcus ist ein vertrauenswürdiger Kollege mit einer legitimen Frist. Alice denkt: „Es ist nur für eine Stunde. Was ist das Schlimmste, was passieren könnte?“ Sie teilt ihre Administrator-Zugangsdaten per Telegram mit.

5. Ein Moment zum Nachdenken

   Alice hat Marcus gerade ihre Administrator-Zugangsdaten per Telegram mitgeteilt. Bevor wir fortfahren, denken wir darüber nach, was gerade passiert ist.

6. Der Bruch

   Fünf Tage sind vergangen, seit Alice ihre Referenzen mitgeteilt hat. Eine dringende E-Mail vom CISO stoppt ihre Erkältung. Es wurde ein massiver Verstoß festgestellt – 47.000 Kundendatensätze wurden exfiltriert und eine gesamte archivierte Datenbanktabelle dauerhaft gelöscht. Der Angriff wurde auf Alices Administrator-Zugangsdaten zurückgeführt, die durch Informationsdiebstahl-Malware von Marcus‘ Workstation erfasst wurden.

7. Die Untersuchung des Verstoßes

   Alice klickt sich zum Dashboard für die Untersuchung von Sicherheitsverletzungen durch. Das Ausmaß des Schadens ist verheerend – und alles geht auf einen gemeinsamen Satz von Administrator-Anmeldedaten zurück.

8. Wie ein gemeinsames Passwort zu einem Verstoß wurde

   Die Angriffskette zeigt genau, wie Alices gemeinsame Zugangsdaten von einer Telegram-Nachricht zu einem katastrophalen Datenverstoß gelangten – ohne dass ein Angreifer Alice jemals direkt kontaktierte.

9. Unkontrollierte Rechteausweitung

   Dieser Vergleich zeigt die Hauptgefahr der gemeinsamen Nutzung von Anmeldeinformationen. Als Alice ihr Administrator-Login mitteilte, umging sie jegliche Zugriffskontrolle, die die Organisation eingerichtet hatte. Marcus – und im weiteren Sinne jeder, der Marcus‘ Maschine kompromittiert hat – erhielt unbegrenzten Administratorzugriff ohne zeitliche Begrenzung, ohne Umfangsbeschränkungen und ohne Prüfungsverantwortung.

10. Explosionsradius – Warum die Berechtigungsstufe wichtig ist

    Die gleichen gemeinsamen Anmeldeinformationen. Die gleiche Malware. Der Schaden wäre jedoch völlig anders ausgefallen, wenn Alice statt Administratorrechten Standardbenutzerzugriff gehabt hätte. Aus diesem Grund wenden Unternehmen das Prinzip der geringsten Privilegien an – die Minimierung des Explosionsradius, wenn etwas schief geht.