Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Was ist das Prinzip der geringsten Privilegien?

Illumio Editorial
Illumio Editorial
Juli 28, 2022
23 min. lesen

Das Prinzip der geringsten Privilegien (PoLP) ist ein Konzept, das sich auf die Informationssicherheit bezieht, insbesondere wenn einem Benutzer ein Mindestzugriff oder eine Mindestberechtigung in einem Netzwerk gewährt wird. Dies ermöglicht es dem Benutzer, seine Arbeit oder die erforderlichen Funktionen auszuführen und nichts anderes.

Least Privilege gilt als Best-Practice-Methode für die Cybersicherheit und wird von vielen Unternehmen eingesetzt, um die Zugriffskontrolle zu verwalten und Netzwerkverletzungen zu verhindern, die Daten und Rechenressourcen gefährden.

PoLP gilt nicht nur für Netzwerkbenutzer. Es kann den Zugriff zwischen Anwendungen, Geräten und integrierten Systemen einschränken, was bedeutet, dass sie nur über die Mindestberechtigungen verfügen, die zum Ausführen ihrer Funktion erforderlich sind.

Warum ist die geringste Privilegierung so wichtig?

Da die Cyberkriminalität immer ausgefeilter wird, ist es von größter Bedeutung, sicherzustellen, dass jeder Aspekt eines Netzwerks gesichert ist und keine Schwachstellen offengelegt werden.

Es gibt mehrere Gründe, warum die geringsten Privilegien für den Aufbau von Cyber Resilience so wichtig sind:

  • Der Zugriff mit den geringsten Rechten reduziert die Angriffsfläche eines Netzwerks. Das bedeutet, dass die geringsten Rechte die Anzahl der anfälligen Punkte in einem Netzwerk minimieren, die von einem Cyberkriminellen ins Visier genommen werden könnten. Indem sie den Benutzern die Berechtigungen zur Verfügung stellen, die zum Ausführen einer Aufgabe erforderlich sind – und nicht mehr – haben Angreifer weniger Möglichkeiten, sich im Netzwerk zu verbreiten und Schaden anzurichten.

    Viele Sicherheitsverletzungen zielen auf Benutzer ab, die über erweiterte Netzwerkzugriffsrechte verfügen, die es dem Hacker ermöglichen, vertrauliche Informationen einzusehen. Daher schränkt die Beschränkung des Zugriffs auf Benutzer und Geräte auch die Cyberkriminellen ein, die es auf eine Person abgesehen haben.
     
  • Die Gesamtreichweite von Malware wird auch durch die Implementierung der geringsten Rechte für Benutzer und Endpunkte begrenzt. Sollte das Netzwerk einem solchen Angriff ausgesetzt sein, kann sich Malware keinen zusätzlichen Zugriff verschaffen und sich frei bewegen , um bösartigen Code zu installieren und auszuführen. Dadurch wird Malware die Möglichkeit verwehrt, eine Remote-Verbindung aufzubauen oder auf sensible Daten zuzugreifen.
     
  • Die funktionale Zugriffskontrolle bietet Benutzern genau die richtige Menge an Berechtigungen, um ihre Aufgaben zu erledigen und nicht mehr. Dadurch werden Anfragen, die über das Netzwerk gesendet werden, und Support-Tickets, die im Zusammenhang mit Zugriffsproblemen an den IT-Helpdesk gesendet werden, reduziert. Es hat sich gezeigt, dass es die Produktivität der Benutzer in einem Netzwerk verbessert.
     
  • Die geringsten Rechte können dazu beitragen, die Compliance in Bezug auf Daten zu verbessern und die Überwachung erheblich zu vereinfachen. Die Etablierung einer klaren Hierarchie von Benutzern und ihren relevanten Berechtigungen bedeutet, dass das Netzwerk viel strukturierter ist und nur die Benutzer auf Daten zugreifen können, die sie benötigen.

Was ist Privilege Creep?

Privilege Creep bedeutet, dass zu viele Benutzer in einem Netzwerk Administratorrechte für bestimmte Anwendungen, Systeme oder Netzwerke erhalten, was zu einem Sicherheitsrisiko führt. Privilege Creep tritt auf, wenn Unternehmen die Administratorrechte von Benutzern während einer Neubewertung des Zugriffs und der Berechtigungen widerrufen, nur um die Administratorberechtigungen zu einem späteren Zeitpunkt wiederherzustellen, damit Benutzer bestimmte Aufgaben ausführen können.

Das häufigste Beispiel hierfür ist, wenn ältere (Legacy-)Anwendungen zusätzliche Berechtigungen benötigen, um ausgeführt zu werden. Dies bedeutet, dass einem Benutzer möglicherweise Administratorrechte erteilt werden müssen, um eine Software zu installieren oder auszuführen. Die wichtigsten Sicherheitsrisiken treten auf, wenn diese umfassenderen Berechtigungen nicht widerrufen werden, sobald der Benutzer die Aufgabe abgeschlossen hat, was dazu führt, dass viele Benutzer über Berechtigungen verfügen, die sie nicht benötigen.

Privilege Creep vergrößert die Angriffsfläche eines Netzwerks. Durch die sorgfältige und konsequente Anwendung des Prinzips der geringsten Rechte kann dieses Problem jedoch behoben werden, indem sichergestellt wird, dass alle Benutzer (sowohl menschliche als auch nicht-menschliche) nur über die erforderlichen Zugriffsebenen verfügen.

Was ist ein Superuser, und was hat er mit den geringsten Rechten zu tun?

Ein Superuser ist ein Netzwerkbenutzer, der uneingeschränkten Zugriff auf alle Bereiche hat, einschließlich vollständiger Lese- und Schreibberechtigungen, der Berechtigung zum Ausführen von Software und zum Ändern von Netzwerkeinstellungen, Daten und Dateien.

Superuser können nicht nur eine Reihe von Einstellungen und Daten ändern, sondern auch Zugriff und Berechtigungen für andere Benutzer festlegen. Diese Berechtigung wird nur sehr vertrauenswürdigen Personen innerhalb einer Organisation gewährt, z. B. einem Systemadministrator oder IT-Manager. Superuser werden in der Regel nur als Administrator (oder root) im Netzwerk selbst bezeichnet.

Superuser melden sich selten beim Netzwerk an und führen stattdessen bei Bedarf Aktionen für andere Konten aus. Mit einem Sudo-Befehl, einem Befehl, der es ermöglicht, einzelne Aktionen für ein Konto auszuführen, und zwar mit den Rechten eines Superusers, ist es unwahrscheinlich, dass Sitzungen gekapert werden, da sie unvorhersehbar sind.

Welche Arten von Cyberangriffen können mit den geringsten Rechten gestoppt werden?

Least Privilege kann dazu beitragen, praktisch alle bekannten Cyberangriffe zu verhindern, indem die Angriffsfläche eines Netzwerks erheblich reduziert wird.

Das Ziel des Zugriffs mit den geringsten Rechten besteht darin, offene Reisewege für nicht autorisierte Benutzer zu schließen. Standardmäßig würde dies jeden Eindringling von außen blockieren, der nicht in der "Zulassungsliste" enthalten ist.

Cyberangriffe, die mit den geringsten Rechten abgewehrt werden können:

  • Malware
  • Ransomware-Angriffe
  • Phishing-Angriffe
  • SQL-Injection-Angriffe
  • Man-in-the-Middle-Angriffe
  • Zero-Day-Exploits

Implementieren der geringsten Rechte

Das Prinzip der geringsten Privilegien kann auf verschiedene Weise umgesetzt werden, aber hier ist unser Best-Practice-Ansatz, um sicherzustellen, dass jedes Detail berücksichtigt wird und dass die zusätzlichen Maßnahmen mit einer umfassenderen Cybersicherheitsstrategie einhergehen.

Sie können den Zugriff mit den geringsten Rechten in sechs wichtigen Schritten implementieren:

  1. Führen Sie eine Prüfung durch , um privilegierte Konten in allen Teilen eines hybriden Netzwerks zu identifizieren, einschließlich Clouds, Rechenzentren und Endpunkten.

    Das Audit sollte die folgenden Bereiche abdecken: Anmeldedaten, Passwörter, Passwort-Hashes, SSH-Schlüssel und Zugriffsschlüssel – über alle physischen Endpunkte und Entwicklungsumgebungen hinweg. Es sollte auch eine vollständige Überprüfung aller Cloud-Netzwerkberechtigungen und Gateways umfassen, um sicherzustellen, dass alle Berechtigungen mit den neuen Richtlinien übereinstimmen – um sicherzustellen, dass kein unnötiger Zugriff gewährt wurde.
     
  2. Sobald die Überwachung abgeschlossen ist, widerrufen Sie den Zugriff auf menschliche und nicht-menschliche Konten, denen unnötige lokale Administratorberechtigungen erteilt wurden. Erteilen Sie dann nur Berechtigungen, die zum Ausführen ihrer Funktion erforderlich sind.

    Darüber hinaus sollten Superuser-Sitzungen nur bei Bedarf stattfinden, wobei der Befehl Sudo für zusätzliche Sicherheit verwendet werden sollte. Der Just-In-Time-Zugriff (der automatisch deaktiviert wird) kann normalen Benutzern den Zugriff auf Konten mit zusätzlichen Berechtigungen oder das Ausführen von Befehlen auf Administratorebene bei Bedarf ermöglichen.
     
  3. Trennen Sie Standardbenutzerkonten von Administratorkonten mithilfe von Mikrosegmentierung. Dies bietet eine weitere Schutzebene für den Fall, dass ein Benutzer nicht durch die Least-Privilege-Kontrollen eingeschränkt ist und verletzt wird. Es hilft insbesondere, Administratorkonten aufgrund ihrer Schlüsselzugriffsberechtigungen vor Infektionen und breiteren Schäden zu schützen.
     
  4. Verwenden Sie einen digitalen Tresor, um die Anmeldeinformationen aller Administratorkonten zu sichern, wobei der Zugriff nur den Personen gewährt wird, die ihn benötigen.
     
  5. Ändern Sie die Administratorpasswörter nach jeder Verwendung , um zu verhindern, dass Cyberkriminelle sie mit Hilfe von Keylogging-Software aufzeichnen. Diese Software protokolliert den Passwort-Hash (einen verschlüsselten Algorithmus) und nicht die Zeichen im Passwort. Durch das Abrufen dieses Hashes können Hacker dann versuchen, das Authentifizierungssystem dazu zu verleiten, eine neue Sitzung im Netzwerk zu erstellen. Dies wird als Pass-the-Hash-Angriff bezeichnet.
     
  6. Überwachen Sie kontinuierlich die administrativen Aktivitäten. Eine gründliche Überwachung kann dazu beitragen, verdächtiges Verhalten, das mit einem Cyberangriff in Verbindung stehen könnte, schnell zu erkennen oder eine Sicherheitslücke aufzudecken.

Geringste Privilegien + Zero Trust = Cyber-Resilienz

Das Prinzip der geringsten Privilegien ist für die Implementierung einer Zero-Trust-Sicherheitsarchitektur von grundlegender Bedeutung. Bei dieser Art von Sicherheitsmaßnahme wird davon ausgegangen, dass alle Benutzer und Geräte, die auf ein Netzwerk zugreifen, eine potenzielle Bedrohung darstellen. Mit den geringsten Rechten werden die Prinzipien von Zero Trust durchgesetzt, indem nur der Zugriff auf vertrauenswürdigen Datenverkehr gestattet und der gesamte andere Datenverkehr blockiert wird.

Nach dem Prinzip der geringsten Rechte erhält ein Benutzer, sobald er verifiziert wurde, nur eingeschränkten Zugriff auf die Anwendung oder Computerressourcen, die er zur Ausführung seiner Aufgabe benötigt. Diese Taktiken wurden von Regierungen und Unternehmen auf der ganzen Welt übernommen, da ältere Praktiken wie Netzwerk-Firewalls nicht vor den raffinierten und gut finanzierten Cyberkriminellen von heute schützen

Zero Trust und PoLP sind heute unverzichtbare Best-Practice-Sicherheitsmaßnahmen, die jedes Unternehmen ergreifen muss, um seine digitale Infrastruktur vor immer aggressiveren Cyberangriffen zu schützen.

Führen Sie die nächsten Schritte aus, um zu sehen, ob Illumio der richtige Partner ist , wenn Sie Ihr nächstes Segmentierungsprojekt entwerfen und umsetzen:

Verwandte Themen

No items found.

Verwandte Artikel

Definieren von Metriken für die erfolgreiche Verwaltung Ihres Zero-Trust-Implementierungsplans
Zero-Trust-Segmentierung

Definieren von Metriken für die erfolgreiche Verwaltung Ihres Zero-Trust-Implementierungsplans

Die Zero-Trust-Denkweise geht davon aus, dass die Perimeter-Abwehr durchbrochen wurde, und die Prioritäten verlagern sich auf die Eindämmung der lateralen Bewegungen böswilliger Akteure. Illumio hat den 3-stufigen Zero-Trust-Plan veröffentlicht, mit dem Einzelpersonen ihre Zero-Trust-Reise planen und operationalisieren.

Read more
Illumio in 5 Gartner® Hype Cycle™ Berichten ausgezeichnet
Zero-Trust-Segmentierung

Illumio in 5 Gartner® Hype Cycle™ Berichten ausgezeichnet

Erfahren Sie, warum Gartner die Mikrosegmentierung als eine Technologie mit hohem Nutzen betrachtet, die innerhalb der nächsten zwei Jahre eine breite Akzeptanz erreichen wird.

Read more
So stellen Sie erfolgreiche Mikrosegmentierungsprojekte sicher: 3 strategische Prinzipien
Zero-Trust-Segmentierung

So stellen Sie erfolgreiche Mikrosegmentierungsprojekte sicher: 3 strategische Prinzipien

Mikrosegmentierung ist wichtig. Wenn Sie es richtig machen, werden Sie Ihre Anfälligkeit für Angriffe wie Ransomware drastisch reduzieren und gleichzeitig die Compliance erreichen und aufrechterhalten.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more