Der physische Standort der Nutzer spielt bei der Art und Weise, wie wir Geschäfte machen, immer weniger eine Rolle. Eine Studie aus dem Jahr 2019 hat gezeigt, dass 62 % der Befragten mindestens teilweise von zu Hause aus arbeiten. In derselben Studie gaben 82 % derjenigen, die zumindest teilweise aus der Ferne arbeiteten, an, dass sie beabsichtigen, dies auch weiterhin oder sogar noch mehr zu tun. Darüber hinaus wollten mehr als die Hälfte (51 %) derjenigen, die nicht aus dem Homeoffice arbeiten, gerne damit anfangen.
Zu berücksichtigen ist, dass diese Zahlen nicht die Anzahl der externen Dienstleister beinhalten, die wie interne Mitarbeiter wesentliche Aufgaben für das Unternehmen ausführen. Diese Benutzer benötigen häufig den gleichen Zugriff auf wichtige Systeme wie Mitarbeiter. Natürlich bringt diese größere Flexibilität für interne und externe Mitarbeiter auch größere Sicherheitsrisiken mit sich. Um Remote-Zugang zu gewähren, setzen Unternehmen oft auf unsichere und ineffiziente Methoden, wobei sie in der Regel auf VPNs für einen sicheren Zugang vertrauen.
Allerdings benötigen nicht alle Remote-Mitarbeiter die gleiche Berechtigungen. Einige benötigen möglicherweise nur Zugriff auf E-Mails und einzelne weniger kritische Geschäftsanwendungen, während andere möglicherweise Zugriff auf wichtige und sehr sensible Geschäftsanwendungen wie Gehaltsabrechnung, Personalwesen sowie Vertriebs- und Marketingdaten benötigen. Externe IT-Dienstleister, die ausgelagerten Helpdesk-Support leisten, benötigen denselben breiten Zugang wie der interne IT-Support.
Heute werden wir uns die fünf häufigsten Arten von Remote-Mitarbeitern anschauen, die häufig höhere Berechtigungen für Systeme benötigen, und darüber sprechen, wie Privileged Access Management (PAM) mit CyberArk Alero Unternehmen dabei helfen kann, sicheren und einfachen Zugang auf kritische Systeme zu gewähren, die von CyberArk verwaltet werden.
1. Remote-Mitarbeiter in den Bereichen IT oder Security
Zu diesen Benutzern gehören Personen wie Domain Admins, Netzwerkadministratoren und andere, die in der Regel von innen auf kritische interne Systeme zugreifen, dies aber jetzt aus der Ferne tun müssen. Wenn IT- oder Security-Arbeiten von außerhalb der Büros stattfinden, wird Sand ins Getriebe der Sicherheitsadministratoren geschüttet.
Es ist von entscheidender Bedeutung, die genauen Zugangsebenen zu ermitteln, die von Remote-IT- und Security-Mitarbeitern benötigt werden, und nur geringste notwendige Privilegien zu vergeben, um sicherzustellen, dass diese Benutzer nur auf das zugreifen, was sie benötigen. Herkömmliche Lösungen wie VPNs können hierfür nicht den erforderlichen granularen Zugang auf Anwendungsebene bieten. Die Zuweisung eines solchen granularen Zugangs ist wichtig, weil so verhindert wird, dass Windows-Administratoren Zugang auf Root-Konten haben.
Die Integration von Sicherheitstools in den Verzeichnisdienst zur Bereitstellung eines automatisierten, spezifischen Zugriffs muss im Voraus eingerichtet werden, damit bei einem ungeplanten Anstieg der Remote-Arbeit keine Lücke in den IT- oder Sicherheitsfunktionen aufgerissen wird und gleichzeitig sichere Bedingungen für das Arbeiten von zu Hause aus geschaffen werden.
2. Drittanbieter von Hard- und Software
Drittanbieter für Hard- und Software, einschließlich IT-Dienstleister und outgesourcter Helpdesk-Support, liefern häufig Remote-Dienste und -Wartungen, die erhöhte Privilegien erfordern. Solche Anbieter benötigen in der Regel Administratorzugang, um ihre Aufgaben auf beliebigen Windows- oder Linux-Servern oder -Datenbanken ausführen zu können, und werden hinzugezogen, um Patches, System-Updates und mehr durchzuführen.
Sie fungieren im Wesentlichen als Administratoren auf Domänenebene und können daher bei unzureichender Überwachung und Bereitstellung eine Gefahr für die Systemumgebung darstellen. Die Identifizierung dieser Benutzer und die Überwachung ihrer individuellen Zugangsebenen erfolgt jedoch in der Regel auf Einzelfall-Basis und ist damit für den Admin mit großem Zeitaufwand verbunden. Es ist wichtig, sicherzustellen, dass alle diese Benutzer identifiziert und der richtige Zugang bereitgestellt wird.
3. Unternehmen der Lieferkette Wenn die Produktion oder Lieferung von bestimmten Waren nicht zum Kerngeschäft eines Unternehmens gehört, ist es üblich, spezialisierte Lieferanten in die Lieferkette einzubinden, das Benötigte zu liefern.
Diese Remote-Benutzer haben oft Zugang auf das Netzwerk, um Lagerbestände im Einzelhandel oder in Fertigungsunternehmen zu überwachen. Sie haben möglicherweise auch Zugang auf sensible Daten in Bezug auf prognostizierte Leistung, Qualitätskontrolle und andere kritische Systeme, die sich auf industrielle Steuerungssysteme und Betriebstechnologien (ICS/OT) oder Lieferkettenprozesse vor Ort beziehen könnten.
An diese Dienstleister denken Sie vielleicht nicht als Erstes, weil sie nicht als Administratoren qualifiziert sind, aber diese Lieferanten haben Zugriffsmöglichkeiten, die von böswilligen Angreifern auf gefährliche Weise genutzt werden könnten oder aufgrund eines unbeabsichtigten internen Missbrauchs zu einem ernsthaften Problem werden könnten.
4. Dienstleistungsunternehmen
Dienstleistungsunternehmen, die Abteilungsaufgaben wie Recht, PR und Gehaltsabrechnung ausführen, benötigen möglicherweise Zugang auf bestimmte Geschäftsanwendungen, um effizient tätig zu sein. Es ist wichtig, diese Arten von Benutzern zu identifizieren und das Least-Privilege-Prinzip durchzusetzen, damit sie keinen Zugang außerhalb ihres Aufgabenbereichs erhalten oder länger Zugang behalten, als sie es benötigen. Es wäre wenig sinnvoll, wenn ein Rechtsberater auch Zugang zu Lohn- und Gehaltsdaten hätte, was nur ein erhöhtes potenzielles Risiko mit sich bringen würde.
Geschäftskritische Anwendungen wie Customer Relationship Management (CRM), Enterprise Resource Planning (ERP), Cloud-Konsolen und vieles mehr sind wichtig für die Geschäftskontinuität und den Betrieb, aber in den falschen Händen können die in diesen Anwendungen gespeicherten Daten sehr gefährlich sein. Die genaue Feststellung, wer Zugang auf diese Anwendungen hat, ist sehr wichtig, und die Minimierung der Möglichkeit, sich lateral von einer Geschäftsanwendung zur nächsten zu bewegen, kann den Unterschied zwischen dem normalen Geschäftsbetrieb und einer schwerwiegenden Datenschutzverletzung ausmachen.
5. Externe Berater
Geschäfts- und IT-Berater benötigen manchmal privilegierten Zugang, um in den Projekten, zu denen sie vertraglich verpflichtet sind, produktiv zu sein, sollten diesen Zugang jedoch nur während des Vertragszeitraums haben. Solche externen Dritten sind von Natur aus nur vorübergehend tätig und benötigen häufig nur tage-, wochen- oder monatelangen Zugang, während sie ihre Aufgaben erfüllen. Innerhalb dieses Zeitrahmens erhalten externe Berater jedoch oft einen weitreichenden Zugang zu bestimmten Geschäftsbereichen.
Die frühzeitige Identifizierung, wer diese Berater sind und welche Art von Zugang sie benötigen (und auf was und wie lange) trägt dazu bei, Risiken zu reduzieren und das eigene Unternehmen zu schützen. Darüber hinaus sollte der Zugang dieser externen Berater streng überwacht und gesichert werden, während sie aktiv sind, und ihre Berechtigungen sollten automatisch entzogen werden, sobald ihre Tätigkeit für das Unternehmen beendet ist.
Nehmen Sie nur dieses Beispiel: Ein Berater wird für ein dreiwöchiges Projekt hinzugezogen, bekommt schlechtes Feedback und fühlt sich außerdem hinsichtlich seines Honorars benachteiligt. Wenn ihm nicht automatisch die Berechtigung entzogen wird, könnte er möglicherweise nach Vertragsende größere Zugangsprivilegien behalten und sie aus Rache nutzen, um irreparablen Schaden für das Unternehmen zu verursachen. Dies mag wie ein unwahrscheinliches Szenario erscheinen, ist aber nur ein Beispiel für den Schaden, den ein erhöhter Zugang verursachen kann, wenn er nicht regelmäßig überwacht und aktualisiert wird.
Da sich immer mehr Unternehmen im Rahmen ihrer täglichen Geschäftsabläufe auf Remote-Benutzer stützen, ist es wichtig, dass sie die verschiedenen Benutzertypen verstehen, die sich außerhalb ihrer Büros in ihren Systemen anmelden. Und was noch wichtiger ist: Verwaltung, Überwachung und Sicherung dieses Zugangs.
CyberArk Alero ist ein SaaS-Angebot, das Unternehmen dabei unterstützt, Remote-Benutzern, die auf von CyberArk verwaltete kritische Systeme zugreifen, sicheren Zugang zu gewähren und zu widerrufen. Es kann einfach und ohne VPNs, Agenten oder Passwörter für beliebig viele Remote-Benutzer bereitgestellt werden.