PAM-ITSM-Integration: Welche bewährten Praktiken sollten angewandt werden?
Laut Forrester sind 80 % der Sicherheitsverletzungen auf kompromittierte Berechtigungsnachweise für privilegierte Konten zurückzuführen, was erhebliche Auswirkungen auf das Geschäft eines Unternehmens haben kann. Das Risiko, das von diesen Konten ausgeht, kann jedoch durch die Integration eines PAM-Systems (Privileged Access Management) mit einer ITSM-Lösung (Information Technology Service Management) gemindert werden. Durch die Integration dieser beider Technologien wird zum einen das Konzept der Genehmigung beibehalten (um zu verhindern, dass sich irgendjemand bzw. selbst autorisierte Personen ohne Grund auf Rechnern anmeldet), zum anderen gewährleistet es außerdem eine durchgängige Rückverfolgbarkeit von Eingriffen durch das Management. Diese Prinzipien von Zero Trust und Least Privilege in Kombination mit dem ITSM Incident Management System schützen die sensiblen Vermögenswerte des Unternehmens, schließen die Tür für Angriffe und gewährleisten die Einhaltung der Cybersicherheitsvorschriften.
Just-in-Time Incident Management
Privileged Access Management (PAM) ist ein Teilbereich von Identity and Access Management (IAM), der sich ausschließlich auf den Schutz privilegierter Konten und Zugriffe konzentriert. Darüber hinaus ist PAM Teil der allgemeinen Cybersicherheitsstrategie von Unternehmen, indem es alle privilegierten Konten in IT- oder Industrieumgebungen kontrolliert, überwacht, sichert und prüft. Es ermöglicht auch die Nachverfolgung, wer wann auf Ressourcen zugreift, um die Privilegien der Benutzer zu kontrollieren. All dies geschieht durch drei Schlüsselprozesse: Identifizierung, Authentifizierung und Autorisierung.
IT-Service-Management-Tools (ITSM) sind Lösungspakete, die Workflow-Management-Systeme für die Bearbeitung von Vorfällen, Serviceanfragen und/oder Konfigurationsänderungen integrieren. Zu diesen Tools gehört auch eine Datenbank, in der alle Konfigurationen, die auf den Anlagen des Unternehmens eingesetzt werden, aufgelistet und garantiert werden – die Configuration Management DataBase (CMDB).
Diese beiden Lösungen sind also unabhängig voneinander sehr nützlich, aber erst durch ihre enge Integration wird das allgemeine Sicherheitsniveau angehoben. Durch die Integration von PAM und ITSM ist es beispielsweise möglich, Aktionen auf Maschinen zu verfolgen, indem der Zugriff auf ein Ziel direkt über ein Just-in-Time-Ticket gewährt wird. Jedes Mal, wenn ein Mitarbeiter eine Verbindung zu einem Ziel herstellen möchte, muss er seinen Verbindungswunsch begründen, bevor er eine Genehmigung für einen bestimmten Zeitraum erhält. Auf diese Weise wird die Zugangssicherheit verstärkt und durchgängig verfolgt.
Bessere Korrelation von Informationen
Wenn PAM-Lösungen in Verbindung mit IdaaS-Lösungen Identitäten, Zugriff und Passwörter von privilegierten Konten verwalten können, wie behalten Sie dann den Überblick über den Zugriff auf Ziele und Details von Eingriffen?
In vielen Unternehmen ist die Isolierung von ITSM- und PAM-Lösungen zu beobachten. Auf der einen Seite erkennt das ITSM-Tool den Vorfall und listet Anfragen für Eingriffe oder Anfragen zur Erstellung neuer Dienste auf, auf der anderen Seite konzentriert sich die PAM-Lösung auf die Personen, die identifiziert und autorisiert wurden, an diesen Anfragen zu arbeiten.
Der isolierte Betrieb und die fehlende ITSM/PAM-Integration ermöglichen es nicht, Eingriffe zu validieren und zu rechtfertigen, und machen die Analyse nach einem Vorfall aufgrund fehlender Spuren und Beweise komplexer.
Alle in der PAM-Lösung gestellten Anfragen müssen daher mit denen verknüpft werden, die auch in der ITSM-Lösung erfasst und integriert sind. Dank des Zusammenspiels dieser beiden Lösungen werden alle Handlungsanfragen vom ITSM aus gemeldet und können überprüft werden. Diese Politik ermöglicht es, die Fähigkeiten der PAM-Lösung, wie z.B. WALLIX Bastion PAM4ALL, zu nutzen, um Ereignisse zu verfolgen und nicht nur die Personen zu autorisieren, die den Eingriffsbefehl ausführen werden, sondern auch die Personen, die diesen Vorgang autorisiert haben, sowie die Motivation dafür.
Im Falle eines Audits nach einem Vorfall oder eines Compliance-Audits ist es dann möglich, die mit dem Ereignis verbundenen Informationen und die durchgeführten Aktionen über die im ITSM-Tool registrierte Ticketnummer zu korrelieren. Die Prüfer können dann eine Verbindung zu einer ausgeführten Sitzung herstellen und die Gültigkeit (oder auch nicht) der ursprünglichen Anfrage nachvollziehen.
Damit diese Richtlinie wirksam ist, wird daher empfohlen, dass sowohl PAM als auch ITSM über eine synchronisierte Bestandsliste verfügen.
Kohärenz zwischen ITSM, CMDB und PAM: Ein zusätzlicher Schutz
Diese perfekte Synchronisierung zwischen der Configuration Management DataBase des ITSM-Systems und der eingesetzten PAM-Lösung erweist sich bei der Analyse nach einem Vorfall als sehr nützlich, um sich auf Spuren und Beweise zu stützen.
Dies erleichtert die Identifizierung eines betrügerischen Zugriffs auf ein Ziel, insbesondere wenn die Akteure ausgelagert sind. Remote-Sitzungen müssen das gleiche Maß an Kontrolle, Genehmigung, Überwachung und Beaufsichtigung aufweisen wie interne Sitzungen, so dass die Zuordnung der CMDB zu den in der PAM-Lösung angegebenen Zielen einen zusätzlichen Schutz bietet.
Dank des in der PAM-Lösung implementierten und mit der CMDB verknüpften Provisioning ist es dann möglich zu überprüfen, ob ein identifizierter und autorisierter Benutzer tatsächlich versucht, sich mit dem Ziel zu verbinden, das in dem zuvor im ITSM eröffneten Ticket angegeben wurde.
Diese Konsistenz zwischen CMDB, ITSM und PAM kann in verschiedenen Stufen erreicht werden, je nachdem, welchen Integrationsgrad das Unternehmen anstrebt:
Die erste Integrationsstufe kann zwischen dem ITSM Ticketing System und dem PAM4ALL Bastion Genehmigungsworkflow sein. In diesem Fall besteht das Ziel darin, die Verbindung mit Hilfe eines speziellen Skripts herzustellen, das sich automatisch an die verschiedenen Arten von Workflows auf der ITSM-Seite anpassen kann. Da diese nämlich unterschiedlich sein können, ob es sich um die Lösung eines Vorfalls oder die Erstellung eines Dienstes handelt, müssen die Genehmigungsworkflows auf der PAM-Seite diese Unterscheidung berücksichtigen. Je nach Konfiguration können Genehmigungen auch automatisch oder manuell erfolgen, mit Unterstützung dynamischer Berechtigungen.
Es ist auch möglich, eine zweite Ebene der engen Integration zwischen der CMDB und PAM auf Ressourcenebene mit API-Aufrufen von der PAM-Lösung einzurichten. In diesem Fall kann Bastion Provisioning in Verbindung mit der CMDB durchgeführt werden. Diese Integrationsebene fügt eine zusätzliche Sicherheitsebene hinzu, indem beispielsweise überprüft wird, ob die Person, die eine Genehmigung beantragt, auf der ITSM-Seite ein Ticket ausfüllt, das dasselbe Ziel betrifft wie das, auf das sie über Bastion zugreifen möchte.
Wie wir soeben gesehen haben, sind ITSM- und PAM-Lösungen von den Unternehmen in hohem Maße konfigurierbar. Es ist notwendig, ein Integrationsprojekt entsprechend den strategischen Zielen jeder Organisation zu erstellen: eine standardisierte ITSM/PAM-Integration gibt es als solche nicht.
Jedes Unternehmen muss seine Bedürfnisse nach Prioritäten auflisten, festlegen, was im Rahmen seiner Cybersicherheitspolitik möglich ist, seine Autorisierungs- oder Verbotseinstellungen anpassen, die gewünschte Automatisierung definieren, seine IT- und Geschäftsgenehmigungs- oder Delegationsworkflows anpassen und vor allem die Benutzererfahrung nicht vernachlässigen.
Bei jeder Integration müssen daher die Teams, die das ITSM verwalten, die Teams, die die PAM-Lösung verwalten, und oft auch das Devops-Team, das an den Skripten arbeitet, im Vorfeld einbezogen werden.
Eine gute Praxis
Der Einsatz einer PAM-Lösung ermöglicht eine zuverlässige Überwachung des privilegierten Zugangs zu kritischen IT-Infrastrukturen. Um die Analyse- und Forschungszeit der IT- und Sicherheitsteams zu reduzieren, kann eine entsprechende Integration mit einer ITSM-Lösung die Aufgabe durch die Verknüpfung mit dem Incident Management oder der Anfrage zur Serviceerstellung erleichtern. Es wird möglich, den Bedarf an Eingriffen mit den Eingriffen selbst zu korrelieren.
Die Sicht auf eine Aktion ist somit vollständig, von der ersten Anfrage bei der Erstellung des Tickets im ITSM-System über den Genehmigungs-Workflow bis hin zum Bericht über die Bearbeitung des Vorfalls und der von der PAM-Lösung bereitgestellten Videoaufzeichnung: ein Schlüsselelement im Falle eines Audits und im Zusammenhang mit der Einhaltung von Vorschriften.