Die IT ist heutzutage sehr beschäftigt. In der Tat ist die IT schon so lange beschäftigt, wie Sie sich erinnern können. Sicherheitsprobleme allein könnten Sie heute ganztägig beschäftigen, aber der Tag hat einfach nicht genug Zeit. Strategische Initiativen und Brände scheinen jeden Tag einen Präzedenzfall zu nehmen und einige der notwendigeren, aber rudimentäreren Teile Ihres Jobs ständig an den unteren Rand der Liste zu drängen.
Eines davon ist der einfache Akt der Verwaltung von Berechtigungen. Mit einer lokalen Microsoft-Umgebung, die wahrscheinlich bis in die Cloud reicht, bieten die zugeteilten Berechtigungen den Zugriff auf Systeme, Anwendungen, Ressourcen und Daten buchstäblich überall auf der Welt. Und weil die IT so beschäftigt ist, sich um andere wichtige Anliegen zu kümmern, können Berechtigungen, die in den letzten Jahren vergeben wurden, mehr Zugriff ermöglichen als notwendig.
Sollte dies der Fall sein (und wir sind sicher, dass dies für die meisten von Ihnen der Fall ist), ist Ihre Umgebung alles andere als privilegiert, was das Unternehmen einem Cyberangriff mit einer relativ großen Bedrohungsfläche aussetzt.
Aber ist der Status der zugewiesenen Berechtigungen in Ihrer Umgebung wirklich so schlecht?
Die folgenden Probleme plagen fast jede Umgebung, die Active Directory nutzt. Sehen Sie, ob diese auf Ihre Organisation zutreffen.
- Zu viele Gruppen – Denken Sie darüber nach, wie lange Sie in Ihrer aktuellen Organisation sind. Denken Sie zurück an Tag 1; es gab einige Gruppen, von denen Sie keine Ahnung hatten, deren Zweck unklar war, und so taten Sie, was die meisten IT-Leute tun – ließen sie in Ruhe. Wenn Sie bis heute vorspulen, wissen Sie wahrscheinlich immer noch nicht, was diese Gruppen sind, aber niemand ist bereit, etwas dagegen zu unternehmen. Und viele Organisationen haben im Laufe der Zeit weitere Gruppen hinzugefügt, ohne a) zu wissen, ob eine Gruppe bereits existiert, um den Bedarf zu decken, und b) die Gruppe und ihren Zweck nirgendwo zu dokumentieren, wodurch der Teufelskreis fortgesetzt wird. Das Ergebnis sind zu viele Gruppen, die beim Zuweisen oder Verwalten von Active Directory-Berechtigungen falsch verwendet werden können, oder Gruppen, die mit neuen Berechtigungen neu verwendet werden, aber immer noch die alten Berechtigungen zugewiesen haben.
- Zu viele Mitglieder – Wann hat ein Benutzer das letzte Mal angerufen und gefragt, ob der Zugriff auf eine bestimmte Ressource entfernt werden soll? Wahrscheinlich nie, oder? Und selbst wenn, würde das Helpdesk-Personal überhaupt wissen, aus welcher Gruppe es sie entfernen soll? Wahrscheinlich nicht, da wir bereits festgestellt haben, dass Sie zu viele Gruppen haben. Das Endergebnis im Laufe der Zeit ist aufgeblähte Gruppenmitgliedschaften und niemand in der IT weiß, wer Mitglied sein sollte und wer nicht. Das ist etwas, auf das Cyber-Angreifer zählen, denn sie nutzen Gruppenmitgliedschaften, um sich Zugriff auf weitere Systeme oder Daten zu verschaffen.
- Zu viele Zuweisungen – Niemand mag es, einen zentralisierten Zugriffsspeicher zu haben, der Ihnen alle Berechtigungszuweisungen eines bestimmten Kontos mitteilt. Und solange Sie keinen Änderungskontrollprozess haben, der die Berechtigungszuweisungen dokumentiert (und sich strikt daranhalten, jedes Mal, wenn eine Änderung vorgenommen wird, zu füllen!), ist Ihnen der aktuelle Status der Berechtigungen völlig unbekannt.
Das Ergebnis von all dem ist etwas wie: „Sie haben einen unbekannten Satz von Berechtigungen, der einer Gruppe erteilt wird, die möglicherweise die richtige ist oder nicht und deren Mitgliedschaft nicht als korrekt bestätigt wurde“, aber sie multiplizierten sich mit Dutzenden, Hunderten oder sogar Tausenden.
Klingt für mich nach einem schlechten Zustand.
Immer noch nicht überzeugt? Stellen Sie sich die folgenden Fragen, um zu sehen, ob es wahrscheinlich ist, dass Ihre Berechtigungen in einem schlechten Zustand sind. Je mehr „Nein“-Antworten, desto höher ist das Risiko für Ihre Berechtigungen.
- Haben wir Dokumentation über den Zweck jeder Gruppe in AD?
- Dokumentieren wir Änderungen an Gruppenmitgliedschaften?
- Dokumentieren wir Berechtigungen, die Gruppen zugeordnet sind?
- Entfernen wir jemals Mitglieder aus Gruppen?
- Besitzt irgendjemand den Prozess der regelmäßigen Überprüfung bewährter Praktiken der Nutzerbereitstellung?
Ich vermute, es gibt ziemlich viele „Nein“-Antworten, wenn Sie an Ihre Umgebung denken. Es ist wahrscheinlich an der Zeit, eine dieser kritischen strategischen Initiativen zu machen: „Lasst uns unsere Genehmigungen in Ordnung bringen“.
Weitere Einzelheiten zu den spezifischen Schritten, die Sie ergreifen können, um Ihren schlecht verwalteten Zugriffsstatus zu korrigieren, finden Sie im Artikel Mismanaged Rights: A Cyberattacker’s Greatest Ally.