Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Helpful TipsEndbenutzer sind eine bekannte, chronische Schwachstelle in der Sicherheitsinfrastruktur von Netzwerken. Darauf weist Palo Alto Networks eindringlich hin, denn mit zunehmender Mobilität droht sich das Problem weiter zu verschärfen.

Bis zum Jahr 2020 rechnet IDC in den USA mit einem Anteil mobiler Mitarbeiter von knapp drei Vierteln der gesamten Belegschaft. (U.S. Mobile Worker Forecast, 2015-2020, International Data Corporation (IDC), Mai 2015)

In Europa dürfte der Anteil zwar etwas geringer ausfallen, eine Studie von Crisp Research für die DACH-Region geht immerhin von einem Anteil von 37 Prozent bis 2020 aus (The Adaptive Workplace – Arbeiten im 21. Jahrhundert: Wie sich die Arbeitsumgebung den Menschen anpasst, Crisp Research, Juni 2015).

Endbenutzer wechseln zudem ständig zu zwischen Standorten und nutzen mehrere Geräte, Betriebssysteme und Anwendungsversionen, um auf die benötigten Daten zuzugreifen. Daher ist es jetzt entscheidend, zu ermitteln, wer die Netzwerkbenutzer – jenseits nur der IP-Adresse – sind und welche Risiken aus dem jeweils verwendeten Gerät hervorgehen.

Das Bedrohungsrisiko, das unwissentlich von den Nutzern erhöht wird, gilt es in den Griff zu bekommen. Hier bietet sich eine benutzerbasierte Zugriffskontrolle an. Damit lässt sich der Zugriff auf sanktionierte Anwendungen erlauben, basierend auf Daten zur Benutzeridentität und nicht auf IP-Adressen. Dies verschafft einen Einblick, wer welche Anwendungen im Netzwerk verwendet und welche Dateien übertragen werden und möglicherweise Bedrohungen darstellen.

Bei ordnungsgemäßer Anwendung kann die benutzerbasierte Zugriffskontrolle die Reaktionszeiten bei einem Vorfall reduzieren und das Sicherheitsniveau maßgeblich erhöhen. Die Sicherheitsexperten von Palo Alto Networks haben fünf wichtige Tipps für Administratoren und Sicherheitsverantwortliche zusammengestellt, wie sich User-ID-Technologie optimal nutzen lässt.

1. Sorgen Sie dafür, dass Sie die Benutzerumgebung und Architektur des Unternehmens verstehen. Hierzu sollten Sie sich folgende Fragen stellen:

  • An welchen Standorten ist mein Unternehmen aktiv? Dies können verschiedene Standorte sein, wie etwa Hauptniederlassung/Hauptcampus, Zweigstellen und sonstige entfernte Standorte.
  • Welche Authentifizierungsmethode wird an jedem Standort verwendet? Melden sich Benutzer direkt bei den Verzeichnisservern an oder müssen sie sich an WLAN-Controllern, VPN-Systemen oder Network Access Control (NAC)-Geräten authentifizieren und autorisieren?
  • Was sind die Betriebssysteme an jedem Standort? Es könnten heterogene Umgebungen mit Windows, Mac und Linux oder homogene Umgebungen mit nur einem Betriebssystem existieren.
  • Wie können sich Endpunkte im Netzwerk anmelden? Werden Endpunkte vor der Anmeldung am Netzwerk identifiziert und authentifiziert?

2. Ermitteln Sie unterstützte User-to-IP-Mapping-Strategien und bestimmen Sie, welche verwendet werden sollen.

Ermitteln Sie, welche Benutzer-zu-IP-Zuordnungsstrategien von Ihrer Next-Generation-Firewall unterstützt werden. Eine Anzahl von Mechanismen werden typischerweise unterstützt, um Benutzer zu identifizieren: Drittanbieter-Proxy-Server, WLAN-Controller, Agenten für Terminaldienste, Verzeichnisdienstprotokolle und vieles mehr. Basierend auf den Erkenntnissen im ersten Schritt, wählen Sie die User-to-IP-Mapping-Strategien, die für Ihre Umgebung gelten.

3. Implementieren Sie eine ausgewählte User-to-IP-Mapping-Strategie für Benutzersichtbarkeit.

Implementieren Sie die ausgewählte Strategie, um das Verhalten des Benutzers sichtbar zu machen. Wichtig ist hierbei die Zusammenarbeit mit anderen Teammitgliedern, wie IT-Architekten, Sicherheitsbetreibern und Netzwerkadministratoren. Diese Sichtbarkeit ermöglicht die Identifizierung von Aktivitäten und Nutzungsmustern, die an die Benutzer gebunden sind, anstelle der IP-Adresse, einschließlich Einsichten wie: aktivste Benutzer und Browserverlauf; Top-Anwendungen, die in den letzten 24 Stunden von Nutzern der Marketinggruppe abgerufen werden; oder die Nutzung von Software-as-a-Service (SaaS) für jeden einzelnen Benutzer. Damit stehen wertvolle Daten zur Verfügung, um Kriterien für die benutzerbasierte Zugriffskontrolle zu formulieren.

IAM CONNECT

IAM CONNECT 2017: Wie cIAM die Welt verändert
Konferenz vom 20.-22.02.2017 in Berlin
iamconnect.de

4. Stellen Sie sicher, dass Richtlinien vorhanden sind, um die benutzerbasierte Zugriffskontrolle zu rechtfertigen.

Bevor Sie User-ID-Technologie ausrollen, stellen Sie sicher, dass unterstützende Richtlinien vorhanden sind, um die Zugriffsparameter zu definieren. Typischerweise werden solche Richtlinien durch die Personal- und/oder Rechtsabteilung vorgegeben. Wenn solche Richtlinien nicht vorhanden sind, arbeiten Sie mit den Abteilungen zusammen, um Richtlinien zu definieren, wobei benutzerbasierte Nutzungsberichte als Leitfaden dienen können. Darüber hinaus empfiehlt sich bei der Definition von benutzerbasierten Zugriffskontrollen diese basierend auf Gruppen, anstatt einzelne Benutzer vorzunehmen. So lassen sich Richtlinien vereinfachen und der Verwaltungsaufwand auf ein Minimum reduzieren.

5. Implementieren Sie eine benutzerbasierte Zugriffsrichtlinie.

Sobald die entsprechenden Geschäftsrichtlinien festgelegt und die Benutzergruppen definiert sind, können benutzerbasierte Zugriffskontrollen implementiert werden. Erstellen Sie eine Liste von Sicherheitsregeln, die akzeptable Anwendungen und Websites auflisten und den Zugriff auf ALLE anderen verweigern und implementieren sie dann die Richtlinie für die einzelnen Gruppen.

„Die von den neuen Zugriffskontrollen betroffenen Benutzergruppen werden wahrscheinlich Fragen haben. Kommunikation ist hier der Schlüssel. Lassen Sie die betroffenen Benutzergruppen wissen, was Sie planen, und wann Sie planen, etwas durchzuführen“, rät Martin Zeitler, Senior Manager System Engineering bei Palo Alto Networks. „Unternehmen können auch in Erwägung ziehen, ein spezielles Incident-Response-Team zu bilden, um Anfragen im Zusammenhang mit der Implementierung zu bearbeiten und die Informationssicherheit und den Datenschutz bei der Verarbeitung zu gewährleisten.“

www.paloaltonetworks.com
 

GRID LIST
Dashboard

Interaktives Dashboard für den Umgang mit der DSGVO

Mit dem interaktive Dashboard von ForgeRock sollen Unternehmen prüfen können, ob ihre…
Login

Neuer Sicherheitscheck als Managed-Service

Die SpyCloud soll gestohlene digitale Informationen von Kunden im Web finden. Gepaart mit…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

SecurEnvoy gibt Version 9 von SecurAccess frei

SecurEnvoy hat die neuest Version von SecurAccess, seiner Lösung zur…
Ausweiserkennung

Deep Learning: Die Ausweiserkennung der nächsten Generation

Mithilfe von Deep Learning setzt IDnow neue Standards in der digitalen Ausweiserkennung:…
Secured Access

One Identity Safeguard: mehr Sicherheit für privilegierte Konten

Der One Identity Safeguard bietet Sicherheit für privilegierte Konten und unterstützt…
Handscan

Fujitsu: Neue biometrische Authentifizierungslösung

Fujitsu sorgt mit der neuen biometrischen Authentifizierungslösung für hohe Sicherheit in…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security