Zentrale von Cyberark in Newton/Massachusetts (Bild: Wikipedia/ Train/ CC)

Die US-amerikanische IT-Security-Spezialistin Cyberark hat ihr PAM-Portfolio (Privileged-Access- oder auch Privileged-Account-Management) um neue "Just-in-Time"-Funktionen erweitert. Risiken, die mit privilegierten Konten verbunden sind, sollen damit weiter reduziert werden. Ausserdem sollen mit den neuen Funktionen ganzheitliche "Least Privilege"-Strategien umgesetzt werden können.

Mit Hilfe der Cyberark-Lösungen können Unternehmen nun privilegierte Zugriffsrechte auf Bedarf und nicht länger als nötig vergeben – unabhängig vom Benutzertyp, Zielsystem oder von der Umgebung (lokal oder Cloud). Die privilegierten Sessions werden nun den Infos zufolge automatisch isoliert, aufgezeichnet und in Echtzeit überwacht, um Missbrauch oder auch Seitwärtsbewegungen von Angreifern im Netzwerk zu unterbinden. Hintergrund dazu sei, dass IT-Organisationen privilegierte Konten und Zugangsdaten häufig dauerhaft vergeben würden, obwohl die Zugriffsrechte nur kurzfristig erforderlich seien. Dies vergrössere die Angriffsfläche unnötig, so Cyberark. Das Sicherheitsproblem betreffe vor allem SSH-Keys, die oft schlecht verwaltet und damit leicht zu kompromittieren seien.

Die hauseigene Lösung biete nun eine zeitlich begrenzte SSH-Zertifikat-Authentifizierung, um den Zugriff auf bestehende oder neu erstellte Instanzen in Linux-Systemen zu sichern, ohne dass man Konten und Zugangsdaten manuell verwalten müsse. Der Just-in-Time-Zugang mit Authentifizierung per SSH-Zertifikat stehe über die CyberArk-Lösung Core Privileged Access Security wie auch über das SaaS-Angebot Privilege Cloud bereit.

Mit den Just-in-Time-Bereitstellungs- und -Zugriffsfunktionen im Cyberark-Tool Endpoint Privilege Manager könne eine IT-Organisation laut dem US-Unternehmen einen lokalen Administratorzugang zu Windows- und Mac-Rechnern sowie zu Unix- und Linux-Servern nach Bedarf für eine bestimmte Zeitdauer gewähren. Auf der Basis von Active-Directory-Berechtigungen könne die IT auch einen temporären Zugriff auf Unix- und Linux-Systeme ermöglichen oder einen zeitlich limitierten Account erstellen, um eine One-Time-Session für autorisierte Benutzer einzurichten. Die Software biete auch eine Integration in den AWS Security Token Service, um temporäre Zugangsdaten mit begrenzten privilegierten Rechten für Nutzer von Amazon IAM (Identity- and Access-Management) anzufordern.

Mit der Lösung Alero, die Cyberark im Juli letzten Jahres lanciert hat, könne die IT Remote-Usern oder Externen wie Drittanbietern und Dienstleistern einen solchen Just-in-Time-Zugang einräumen. Per Integration in gängige ITSM-Suiten (IT-Service-Management) sei es zudem möglich, Anwendern vorübergehend erweiterte Zugriffsrechte zu gewähren, sobald sichergestellt sei, dass der Benutzer ein gültiges offenes Ticket besitze oder eine manuelle Bestätigung eines autorisierten Mitarbeiters erhalten habe.