20100506g Netiq Echtzeitsicherheit für Active Directory
|
|
|
»manage
it«
als
|
Weniger Risiken durch Insider-Angriffe, Datenverlust und unsystematische Änderungen Echtzeitsicherheit für Active Directory Unternehmen arbeiten fortlaufend daran, die Risiken von Insider-Angriffen und Datenmissbrauch in den Griff zu bekommen. Die für Sicherheit und Betrieb zuständigen Teams wissen, wie wichtig es ist, unsystematische Änderungen am Active Directory und an den Gruppenrichtlinien zu erkennen und so weit wie möglich zu verhindern. Dieser Notwendigkeit wird dadurch Nachdruck verliehen, dass Unternehmen und Prüfer aufsichtsrechtlichen Vorschriften nachkommen müssen. Dies ist nur möglich, wenn es gelingt, die Tauglichkeit der hierzu eingesetzten Kontrollen nachzuweisen und zu dokumentieren.
T-Umgebungen sind ständigen Veränderungen unterworfen. Jede Veränderung ist ein potenzielles Risiko: Externe Angreifer können Sicherheitskontrollen überwinden. Insider können höhere Rechte nutzen, um sensible Daten zu stehlen. Einem Administrator kann ein Fehler unterlaufen, der gravierende geschäftliche Folgen hat. Was auch passieren kann, ist dass ein Administrator aus Zeitgründen die Change-Control-Richtlinien umgeht, um eine dringende Aufgabe schneller zu erledigen. Wenn ihm hier ein Fehler unterläuft, kann das Serviceunterbrechungen für Tausende Benutzer nach sich ziehen. Unsystematische Änderungen sind zudem eine häufige Ursache für Systemausfälle und Sicherheitsvorfälle. Doch auch bei ordnungsgemäßer Verwaltung können Änderungen am Active Directory Systemausfälle nach sich ziehen, weil die Abhängigkeiten innerhalb der Infrastruktur nicht transparent waren. Üblicherweise werden problematische Änderungen erst im Nachhinein bekannt und behoben, was völlig inakzeptabel ist. Das Active Directory bildet die Grundlage für Benutzerverwaltung und Zugriffskontrolle. Ein gut geschütztes Active Directory ist daher unerlässlich, damit Verfügbarkeit, Integrität und Vertraulichkeit der kritischen Systeme ebenso wie der darin gespeicherten Daten gewahrt bleiben. Risiken reduzieren und Kontrollen standardisieren Nur mit einem wirksamen Change Management können standardisierte Prozesse für sämtliche Änderungen durchgesetzt werden. Diese Prozesse sollten so ausgelegt sein, dass sie die effiziente und schnelle Handhabung aller Änderungen erleichtern. Hierbei ist eine ausgewogene Balance zwischen der Notwendigkeit einer Änderung und dem damit verbundenen Risiko für das Geschäft zu wahren. Änderungskontrollen beruhen leider oft auf umständlichen manuellen Prozeduren, was sie ineffektiv und aufwendig macht. Gravierender ist, dass diese manuellen Prozesse meist nicht gut in andere Technologien für die Erkennung und Verwaltung von Änderungen integriert sind. Das erschwert es den Betrieb- und Sicherheitsteams, schnell auf Änderungen zu reagieren und das Risiko für Daten und Services zu reduzieren. Solange eine Änderung an einer wichtigen Komponente der organisatorischen Infrastruktur nicht im Kontext anderer Ereignisse und Prozesse betrachtet werden kann, lässt sich nur schwer feststellen, ob ein berechtigter Benutzer gerade einen Angriff ausführt oder ob der Vorfall die Folge einer versehentlichen Änderung ist. Änderungsüberwachung integrieren Eine integrierte Änderungsüberwachung bindet den Change-Management-Prozess ein und setzt die wirksame Kontrolle von Änderungen durch. Alle Änderungen werden während der gesamten Umsetzung lückenlos kontrolliert. Sie lassen sich verifizieren und rückgängig machen. Eine gute Änderungsüberwachung dokumentiert nachweislich, dass die Änderungs- und Sicherheitskontrollen wirksam sind, zeigt auf, dass nur autorisierte und beabsichtigte Änderungen an den AD-Umgebungen durchgeführt worden sind, und unterstützt Change-Control-Richtlinien und bewährte Sicherheitsverfahren. Darüber hinaus gilt es auch internen und externen Auflagen zu genügen; demnach wirkt sich eine gute Änderungsüberwachung unmittelbar darauf aus, wie das Active Directory verwaltet wird. Sie erleichtert es, unsystematische Änderungen endgültig abzuschaffen. Change-Monitoring-Prozesse sollten in der Lage sein, eine unsystematische oder unbefugte Änderung schnell zu erkennen und sicherzustellen, dass darauf in geeigneter Weise reagiert wird, indem beispielsweise eine Warnmeldung ausgegeben wird, indem die Informationen an das Sicherheitspersonal weitergeleitet werden oder ein Prozess veranlasst wird, der eigenständig Abhilfe schafft. Richtlinien einhalten Für die Überwachung von Änderungen am Active Directory spricht ferner die Notwendigkeit, die Einhaltung von Richtlinien und Standards dokumentieren zu können. Die Sicherheitsauflagen für das Active Directory haben viele Urheber. Die wohl gängigsten Quellen sind Vorschriften und Industriestandards, wie PCI-DSS (Payment Card Industry Data Security Standard), Sarbanes-Oxley und FISMA. Im Rahmen einer Rechnungsprüfung unterziehen Prüfer das Compliance-Programm ihrer Kunden einer regelmäßigen Prüfung. Leider haben viele Unternehmen keine belastbaren oder umfassenden Compliance-Richtlinien. Doch auch wenn solche Richtlinien vorhanden sind, müssen sie für eine derart dynamische Komponente wie das Active Directory erst einmal durchgesetzt werden. Ohne die Dokumentation von Change-Control-Richtlinien und den Nachweis, dass die Richtlinien implementiert sind, ist keine Compliance zu erreichen. Eine integrierte Erkennung und Verwaltung aller Änderungen gewährleistet am besten, dass aufsichtsrechtliche Vorgaben und andere Richtlinien wirksamer eingehalten werden. Das Risiko herkömmlicher Strategien für eine Active-Directory-Überwachung Die Sicherheit und Integrität der Datenressourcen lässt sich nur aufrechterhalten, wenn man in der Lage ist, Änderungen am Active Directory zu erkennen. Die Entwicklung von Verfahren, die die Sicherheit des Active Directory gewährleisten, hat allerdings nicht mit dem Entwicklungstempo der Risiken Schritt gehalten. Daraus ergibt sich für Unternehmen eine wachsende Gefährdung. Herkömmliche Strategien für das Management von Änderungen am Active Directory gehen auf die ersten AD-Implementierungen in der Unternehmensumgebung zurück. Angesichts der heutigen Bedeutung und Verwendung dieses Verzeichnisdienstes sind solche Konzepte daher oft nicht mehr zeitgemäß. Herkömmliche Prozesse zeichnen sich häufig durch folgende Schwachstellen aus: Starke manuelle Ausprägung – Manuelle Prozesse unter Einsatz nativer Tools erhöhen den Arbeitsaufwand für die AD-Management-Teams erheblich. Solche Prozesse sind kaum unternehmensweit skalierbar, sie sind fehleranfällig, kostspielig und gehen häufig zulasten strategischer Aufgaben und Projekte. Langsame Änderungserkennung – Weil Änderungen am Active Directory nicht schnell erkannt werden können, sind Sicherheit und Compliance erheblich gefährdet. Praktisch jedem Administrator können Fehler unterlaufen, die eine Unterbrechung des Geschäftsbetriebs zur Folge haben können. Ein hochmotivierter und kundiger Angreifer kann die Sicherheitsrichtlinien durch Änderungen am AD und an den Gruppenrichtlinien unterlaufen. Werden diese Änderungen nicht schnell erkannt, ist ein Angriff möglicherweise nicht mehr zu stoppen. Keine Integration in andere Sicherheitstechnologien – Die mangelnde Integration zwischen AD-Verwaltung, Änderungskontrollen und sonstigen Sicherheitstechnologien, wie Compliance-Bewertung und insbesondere SIEM-Tools (Security and Information Event Management), ist ein gefährlicher blinder Fleck in der Sicherheitsüberwachung. Die fehlende Integration hindert die für Sicherheit und AD zuständigen Teams daran, Änderungen im Kontext anderer Ereignisse zu sehen oder auf Anhieb zu überprüfen, ob Änderungen tatsächlich im Change-Management- oder Ticketing-System genehmigt und geplant sind. Nicht unternehmensweit skalierbar – Manuelle, langsame und schlecht integrierte Prozesse sind oft nur schwer in einem Unternehmen skalierbar, dessen Umgebung sich laufend ändert. So wird es immer schwieriger, für ein sicheres Active Directory zu sorgen und Änderungen so zu verwalten, dass sie im Einklang mit den geschäftlichen und sicherheitstechnischen Anforderungen stehen. Dies wird noch schwieriger, wenn Technologien wie Active Directory in IAM-Programme (Identity and Access Management) integriert werden.
Kriterien für eine Ideallösung Eine Ideallösung zur Active-Directory-Überwachung sollte folgende Voraussetzungen erfüllen: Weniger Arbeitsaufwand für IT-Prüfer und andere Beteiligte – Das AD-Management sollte so effizient wie möglich sein. Es sollte Automatisierungstechniken nutzen und die Zahl der manuellen Prozeduren minimieren. Bewertung der Übereinstimmung mit Richtlinien, Vorschriften, Normen und Verfahren – Die Einhaltung der anwendbaren Richtlinien und Normen und sonstigen Vorgaben (etwa PCI-DSS, Sarbanes-Oxley, FISMA) ist in der modernen Wirtschaft unerlässlich. Die angestrebte Lösung sollte die Compliance erleichtern, indem Ausnahmen von Richtlinien und Normen benannt werden. Nutzung vorhandener Infrastrukturen – Unternehmen sollten kein völlig neues Framework einsetzen müssen, nur um das Active Directory überwachen und überprüfen zu können. Eine Ideallösung würde die vorhandenen Systeme und Mittel zur Überwachung, Dokumentation und Meldung von Änderungen am Active Directory nutzen. Genaue Bewertung der Sicherheitslage – Active-Directory-Audits sollten ein umfassendes Bild der Sicherheit vermitteln können. Sie sollten eine Sicht von außen ermöglichen, um Lücken und Gefährdungen Risiken kenntlich zu machen. Unterstützung von Echtzeitüberwachung und fortlaufender Prüfung – Die Lösung sollte vollständig automatisiert sein und ohne manuelle Eingriffe auskommen und in der Lage sein, Bewertungen planmäßig und außerhalb der Geschäftszeiten automatisch durchzuführen. Die Ergebnisse und Daten sollten für die anschließende Berichterstattung und Analyse gut geschützt sein. Sichere Skalierbarkeit – Die Lösung sollte mit dem Geschäft mitwachsen und das gesamte Unternehmen unterstützen können. Sie sollte also auch mit großen und verteilten AD-Domänen zusammenarbeiten und dabei möglichst wenig Ressourcen benötigen, darüber hinaus sollte sie Daten sicher kommunizieren und speichern, damit die Lösung nicht selbst zu einer möglichen Gefahrenquelle wird. Einblick in verschiedene Änderungstypen – Zu wissen, dass eine Änderung stattgefunden hat, reicht nicht aus. Zur Unterstützung von Administratoren, Führungskräften und Prüfern sollte die Ideallösung dazu beitragen, die Art der Änderung, die in der AD-Umgebung stattgefunden hat, zu klassifizieren und zu identifizieren. So lässt sich feststellen, welche Änderungen mit den definierten Prozessen übereinstimmen und ob Mitarbeiter davon abgewichen sind. Active Directory Change Management: Was ein sicheres Konzept ausmacht Lösungen wie Netiq Change Guardian for Active Directory übernimmt die Überwachung in Echtzeit und meldet Änderungen an der Active-Directory-Umgebung. Die Lösung liefert detaillierte Prüfungsberichte, die aufzeigen, welche Änderungen innerhalb und außerhalb der Änderungsprozesse vorgenommen wurden und welche Bedeutung die jeweilige Änderung hatte. So ist sichergestellt, dass Änderungen an der Produktionsinfrastruktur autorisiert, geprüft und genehmigt sind. Unbefugte Änderungen und deren Auswirkung auf die Prüfungsergebnisse werden zudem identifiziert. Diese Technologie ist eng in führende SIEM-Lösungen integriert, um eine schnelle Erkennung von Änderungen im Kontext der übrigen Aktivitäten zu ermöglichen. Dies gilt insbesondere für Aktivitäten bevorrechtigter Benutzer. So lassen sich Insider-Angriffe erkennen, bevor gravierende Schäden entstanden sind. Die Lösung minimiert die Risiken betriebsbedingter Änderungen am Active Directory und verleiht die nötige Transparenz, um die Active-Directory-Umgebung vor gefährlichen Sicherheitsrisiken und kostspieligen Serviceausfällen zu schützen. Änderungen an der Active-Directory-Umgebung werden hierzu einfach und automatisch überwacht. Bessere Compliance und höhere Sicherheit für das Active Directory Die Risiken operativer Änderungen lassen sich am wirksamsten mit einer Strategie in den Griff bekommen, bei der die Änderungen am Active Directory akribisch überwacht werden. Lösungen wie Netiq Change Guardian for Active Directory ermöglicht IT-Sicherheitsteams und AD-Administratoren, IT-Sicherheitsaudits zu den wichtigsten Aspekten effizient durchzuführen. Die Lösung ist auf große und kleine Implementierungen gleichermaßen skalierbar, ob in einzelnen oder in weltweit verteilten Domänen. Da die Überwachung fortlaufend und in Echtzeit erfolgt, werden potenzielle Compliance-Probleme jederzeit ermittelt und gemeldet. So ist sichergestellt, dass Probleme innerhalb weniger Minuten und nicht erst nach Stunden oder Tagen bekannt werden. Kosten minimieren und die Nutzung der vorhandenen Infrastruktur maximieren Dabei nutzt die Lösung bestmöglich vorhandene Technologie. Weil für die Überwachung und Meldung von AD-Änderungen keine neue Infrastruktur eingesetzt werden muss, können die Mitarbeiter von den zusätzlichen Überwachungs- und Berichtsfunktionen profitieren, ohne sich erst mit neuen Programmen vertraut machen zu müssen oder sogar Leistungseinbußen hinnehmen zu müssen. Change-Control-Prozesse durch Metriken flankieren Unternehmen haben die Möglichkeit, zwischen systematischen, unsystematischen und kritischen Änderungen im Active Directory zu unterscheiden. So wird auf Anhieb deutlich, welche Änderungen innerhalb oder außerhalb des definierten Change-Controll-Prozesses erfolgen, womit eine wichtige Metrik für den Audit-Prozess zur Verfügung steht. Verfügbarkeit erhöhen und Risiken senken Wenn gewährleistet ist, dass AD-Administratoren und andere privilegierte Benutzer Änderungen gemäß den Unternehmensrichtlinien durchführen, und alle Änderungen intelligent überwacht werden, hat ein Unternehmen die Gewissheit, potenzielle Risiken zu minimieren und die Verfügbarkeit der Systeme und Services zu optimieren. Änderungen erkennen und Risiken minimieren IT-Prüfer, Manager und AD-Administratoren gleichermaßen benötigen eine Lösung, die es ihnen ermöglicht, die Einhaltung der Richtlinien zu bewerten, die operative Integrität zu dokumentieren und potenziell gefährliche Änderungen in Echtzeit zu melden. Netiq Change Guardian for Active Directory automatisiert und rationalisiert den AD-Auditing-Prozess, entlastet Administratoren von der manuellen Erhebung von Daten aus Protokolldateien und ermöglicht es Sicherheitsteams, potenzielle Angriffe zu erkennen und wirksam darauf zu reagieren. Unsystematische Änderungen am Active Directory schnell zu erkennen und schnell darauf zu reagieren, versetzt Unternehmen in die Lage, vorhandene Sicherheitskontrollen unmittelbar zu unterstützen und zu stärken und den Arbeitsaufwand der für die AD-Verwaltung zuständigen Sicherheits-Teams zu reduzieren – also den Teams, die in erster Linie dafür zuständig sind, Angriffe auf kritische Systeme und sensible Daten abzuwehren. Jörn Dierks ___________________________________________ Jörn Dierks ist Chief Security Strategist EMEA bei NetIQ, einem Geschäftsbereich von Attachmate
|
