Neues Buch von Morey Haber über privilegierte Angriffsvektoren: 11 Fragen an den Autor

In IT-Sicherheitsjahren gerechnet liegt das Jahr 2017 schon weit zurück, insbesondere im Hinblick auf der momentanen Coronavirus-Pandemie. Ja, die Cloud-Migration war damals in vollem Gang, und Organisationen erkannten die Herausforderungen durch eine schwindende Perimeter-Sicherheit, aber die meisten Mitarbeiter arbeiteten (in der Regel) in gewohnter Weise. Die Vorstellung einer globalen Pandemie, von Social-Distancing-Vorschriften und einer fast kompletten Verlagerung der Arbeit ins Home-Office war indes nicht in dieser Form vorhersehbar, in Geschäfts- oder Krisenmanagementplänen auch nicht eingeplant.

Für IT-Teams waren DevOps-Strukturen prägend und wurden fast überall implementiert, obwohl Entwicklungsteams immer noch sehr skeptisch oder abweisend gegenüber Best-Practice-Empfehlungen für die DevOps-Sicherheit waren. Und die Blockchain-Technologie war ebenfalls in fast aller Munde. Was hat sich also verändert? Eine Nischentechnologie ist die Blockchain jedenfalls nicht mehr, sondern mittlerweile Alltag.

In diesem thematischen Umfeld, wurde damals die erste Ausgabe des Buches „Privileged Attack Vectors“ von BeyondTrusts CTO/CISO, Morey J. Haber veröffentlicht. Jetzt ist das Werk in überarbeiteter Form erschienen. Die komplett aktualisierte und erweiterte Neuauflage spiegelt die sich stark veränderte Welt beim Privileged Access Management (PAM) wider.

Hier ist eine kurze Zusammenfassung, was in der neuesten Buchausgabe thematisch aufgegriffen wird, gefolgt von einem aufschlussreichen Interview mit dem Autor höchstpersönlich über das Buch, Cybersicherheit, PAM-Trends und mehr!

Darum geht es im Buch „Privileged Attack Vectors“:

• Definitionen, Grundlagen und Konzepte für privilegierte Zugriffe, einschließlich der Frage, wo Privilegien anzutreffen sind, und wie privilegierte Zugriffe eingesetzt werden — ob rechtmäßig oder nicht.
• Die Bedrohungslage klassischer, neu aufkommender und sich weiterentwickelnder Privileged-Access-Angriffsvektoren.
• So nutzen Hacker die Nutzerprivilegien für Cyberangriffe aus — Privileged Access Management erkennt und schützt vor diesen Angriffen in externen oder internen Umgebungen.
• Anwendungsfälle für Privileged Access Management und bewährte Bereitstellungsmethoden greifen jetzt auch moderne Bedrohungsszenarien exemplarisch auf, einschließlich neuer Herausforderungen durch Remote-Mitarbeiter.
• Ein zehnstufiger Ansatz für Universal Privilege Management.
• Die Weiterentwicklung von PAM-Einsatzbereichen (z. B. durch Anwendung maschineller Lernverfahren zur Verbesserung privilegierter Sicherheitskontrollen, Schutzmechanismen und Reaktionsmöglichkeiten).
• Gesetzliche Compliance-Initiativen, einschließlich einer Neubewertung von CCPA und Frameworks wie Mitre Att&ck.

11 Fragen an Morey J. Haber, Autor, CTO und CISO von BeyondTrust

1. Was war die Inspiration für die Erstausgabe von „Privileged Attack Vectors“?

Privilegierte Zugriffe stellten jahrzehntelang eine Sicherheitsbedrohung dar, aber erst in den letzten fünf bis sieben Jahren ist die privilegierte Angriffsfläche förmlich explodiert und zur gefährlichsten IT-Sicherheitsbedrohung geworden. Dennoch gab es eine Wissenslücke, was das Ausmaß und Verständnis über privilegierte Bedrohungen betrifft, und wie man dieses gewaltige Risiko systematisch angehen kann. Ich bin seit 20 Jahren ein begeisterter Technikautor und schreibe im Durchschnitt etwa 2.000 Wörter pro Woche für Blogs, Artikel und Presseanfragen. Deshalb verfügte ich bereits über genügend Inhalte zum Thema privilegierter Zugriffe, fasste sie thematisch zusammen und bat meine externe Presseagentur, bei der Suche nach einem Verleger zu helfen. Nach einem kurzen Treffen auf der RSA-Konferenz geriet alles in Bewegung, und innerhalb eines Jahres lag mein erstes, komplettes Manuskript vor. Drei Jahre später hatte ich bereits drei Cybersicherheitsbücher sowie die zweite Ausgabe meines ersten Buches geschrieben. Diese Werke greifen alle wichtigen Themen bei der Verwaltung privilegierter Zugriffe auf und erörtern, wie eine erfolgreiche Strategie zur Minderung der Bedrohungen tatsächlich implementiert werden kann. Sie sind das Ergebnis jahrelanger Arbeit und erläutern die Themen in leicht lesbarer Form — deutlich besser als thematisch eng gefasste Fachpublikationen.

2. Wieso ist eine Neuauflage und Überarbeitung des Buches „Privileged Attack Vectors“ nötig? Und wie umfangreich war diese Überarbeitung?

Es ist drei Jahre her, dass ich das erste Buch geschrieben habe, und was die Cybersicherheit betrifft, ist das eine kleine Ewigkeit. Konzepte wie maschinelles Lernen, Blockchain, Cloud und sogar die privilegierten Angriffsvektoren selbst haben sich in den letzten drei Jahren drastisch verändert. Deshalb erhielt das Buch eine vollständige Aktualisierung, wobei 40 Prozent des Inhalts neu geschrieben wurden. Die zweite Ausgabe enthält außerdem mehr als 100 neue Seiten mit Inhalten zu privilegierten Sicherheitskonzepten, Bedrohungen und Best Practices. Darüber hinaus wurde der in der ersten Ausgabe beschriebene zwölfstufige Prozess für ein privilegiertes Zugriffsmanagement mit Blick auf veraltete Technologien, Marktkonsolidierung und neue Lösungen, die Privileged-Access-Probleme ganzheitlich angehen, in ein Zehn-Schritte-Konzept verdichtet. Es ist wirklich ein Standardwerk für die Wissensvermittlung zum Gesamtthema privilegierter Zugriffsverwaltung.

3. An wen richtet sich das Buch?

Das Buch richtet sich an alle, die sich für Cybersicherheit interessieren, insbesondere in Bezug auf Bedrohungen und Abwehrstrategien rund um Privilegien oder Privileged Access. Es dient als hilfreiche Informationsquelle für Anfänger, für fortgeschrittene Sicherheitsexperten, die sich auf privilegiertes Zugriffsmanagement spezialisiert haben, und für Führungskräfte, die sich über IT-Risiken für ihre Organisation informieren. Das Buch verzichtet auf schweren Fachjargon und legt die Probleme, Fakten und Technologien in verständlicher Sprache dar, damit sie jeder verstehen kann. Selbst erfahrene Sicherheitsexperten und Vertriebsteams können davon profitieren, indem sie das Ausmaß privilegierter Angriffe und PAM-Anwendungsfälle besser verstehen und ihre eigene IT-Strategie verbessern.

4. Was waren die wichtigsten Trends oder Tempogeber, die seit der Erstveröffentlichung des Buches die IT-Branche geprägt haben? Haben sich die Probleme verlagert und bekommt PAM jetzt eine höhere Priorität zugeordnet? Sind bestimmte PAM-Technologien jetzt mehr gefragt, und warum ist das so?

Der größte Schub beim privilegierten Zugriffsmanagement war die Ausrichtung auf Identity-Governance-Lösungen und die Notwendigkeit eines ganzheitlichen Ansatzes zur Lösung privilegierter Angriffsvektorprobleme. Das Buch nähert sich diesen Problemen mit einem Universal-Privilege-Management-Ansatz und vereint die wichtigsten PAM-Disziplinen: Kennwortverwaltung, Endpunktverwaltung mit niedrigen Berechtigungen, sichere Remote-Access-Technologie und vieles mehr. Das ist sehr wichtig, da es bei privilegierten Angriffen nicht mehr nur um sensible Daten geht, deren Anmeldeinformationen mit besonderen Vorkehrungen in einem Passworttresor gesichert werden. Zu weit gefasste Administratorrechte, Remote-Verbindungen über privilegierte Konten sowie Herausforderungen in der IT-Umgebung, wie z. B. die steigende Unwirksamkeit von Perimeter-Sicherheitskonzepten und die schnelle Migration in die Cloud: Diese Entwicklungen haben insgesamt zu Risiken durch Privilegien beigetragen, die behoben werden müssen. Für die Lösung dieser Probleme ist indes ein umfassender Ansatz erforderlich.

5. Inwiefern hat die Ausbreitung des Coronavirus und die damit verbundenen Social-Distancing-Vorgaben die Risikolage bei privilegierten Zugriffen verändert? Was sind die wichtigsten Maßnahmen, die Organisationen treffen müssen?

COVID-19 und die gesellschaftlichen Folgen daraus hatten massive Auswirkungen auf das privilegierte Zugriffsmanagement und privilegierte Angriffsvektoren. Mitarbeiter, die von zu Hause aus arbeiten, verwenden dieselben Anmeldeinformationen wie im Büro. Viele dieser Anmeldedaten und Benutzer verfügten über höhere Zugriffsrechte. Wie sichern Sie aber die Zugriffe und Anmeldeinformationen in unsicheren Heimnetzwerken? Für die Lösung dieser Probleme kommen sie um einen modernen, universellen Ansatz für das Rechtemanagement nicht herum. Bei allen Remote-Access-Sitzungen handelt es sich um eine Form von Privileged-Access-Verbindungen die entsprechend abgesichert werden müssen, um die Bedrohungslage zu entschärfen — unabhängig von den Daten, die abgerufen oder verändert werden. Das ist nur einer von vielen zusätzlichen Anwendungsfällen und Kapiteln, die in der zweiten Ausgabe aufgegriffen werden.

6. Welche Entwicklungen haben PAM in den vergangenen drei Jahren am meisten geprägt?

Der größte Bedarf nach PAM-Technologien in den letzten drei Jahren entstand durch die explosionsartige Vermehrung von privilegierten Konten – sowohl bei Nutzer- als auch bei Maschinenkonten. Privilegierte Konten sind jetzt überall. Sie werden nicht mehr nur von Administratoren oder nur von Menschen verwendet. Jeder hat Berechtigungen – vom Marketing über Administratoren bis hin zu Helpdesk-Mitarbeitern und allen Geräten, die mit dem Netzwerk verbunden sind. Anwendungen verfügen über Berechtigungen. Rechner verfügen über Berechtigungen. Jeder von ihnen stellt ein Risiko dar, und jedes Privileg ist ein potentielles Angriffsziel. Das betrifft praktisch alles, von kabelgebundenen Netzwerkgeräten bis hin zu drahtlosen Zugriffen, unabhängig von der jeweiligen Implementierung. Wie verwalten Sie also alle privilegierten Zugriffe, wie entfernen Sie unnötige Administratorrechte und wie sichern Sie jedes privilegierte Konto, jede Sitzung und jeden Endpunkt überall und jederzeit vor potentiellem Missbrauch? Dafür werden moderne PAM-Lösungen entwickelt, und deshalb ist der Bedarf in den letzten drei Jahren massiv gestiegen. Privilegierte Bedrohungen sind jetzt wirklich überall.

7. In der Sicherheitsbranche hören wir immer wieder, dass Unternehmen keine isolierten Produkte, sondern vollständige integrierte Lösungen wünschen. Welche sind die wichtigsten Lösungen, mit denen PAM zusammenarbeitet? Welche Synergien mit anderen Technologien ergeben sich durch eine PAM-Integration?

Das ist kein PAM-spezifisches Problem. Es geht um die Drittanbieterkonsolidierung. PAM-Lösungen sind ein Teil des Identity-Governance-Marktes. Zur Umsetzung von Identity-Governance-Strategien benötigen Sie eine Vielzahl an Lösungen, die von IAM und MFA bis zu SSO oder PAM reichen. IAM und PAM sind die umfassendsten Konzepte, werden aber von unterschiedlichsten Käufern und Benutzern auf unterschiedliche Weise implementiert. Darüber hinaus kommen verschiedene Technologiestandards wie Radius, OAuth, SCIM und SAML zum Einsatz, so dass alle Anbieter in diesem Umfeld koexistieren und Probleme mit Best-of-Breed-Produkten lösen. Dies bedeutet zugleich, dass es vier oder mehr Anbieter geben kann, die für das Identity-Governance-Management verantwortlich sind. Im Ergebnis gibt es deshalb Einzellösungen, die aber branchenweit toleriert werden, weil die IT-Werkzeuge nahtlos zusammenarbeiten. Unternehmen wollen jedoch nicht unterschiedliche Produkte in jedem Einzelszenario. Sie möchten nicht, dass mehrere Anbieter ihre PAM-Probleme lösen. Es gibt keine Standards für PAM-Anbieter, damit sie zusammenarbeiten könnten. Die APIs sind jeweils unterschiedlich, und es gibt keinen gemeinsamen Standard für den Austausch von Informationen, um privilegierte Zugriffe und Datenaustausch zwischen PAM-Mitbewerbern zu unterstützen. Zur wirksamen Unterstützung unterschiedlicher PAM-Anwendungsfälle, muss der einzelne PAM-Anbieter selbst für ein integriertes Produktportfolio sorgen. Natürlich können Breite, Vollständigkeit und Funktionsumfang von einem PAM-Anbieter zu PAM-Anbieter erheblich variieren.

8. Sind die vielen Sicherheitsvorfälle und Datenschutzverletzungen ein Indiz dafür, dass Unternehmen insgesamt zu wenig in Cybersicherheitstechnologien/-ressourcen investieren? Oder werden die IT-Ressourcen nur falsch eingesetzt?

Diese Frage lässt sich nicht so einfach beantworten. Ich glaube nicht, dass dies auf unzureichende Gesamtinvestitionen bei der IT-Sicherheit zurückzuführen ist, sondern eher auf Ausgaben, die sich nicht auf die passenden Technologien mit hohem Mehrwert konzentrieren. Viele Lösungen funktionieren als Insellösungen und gehen die „großen“ Probleme nicht wirksam an. Wenn Sie bedenken, dass sich 88 Prozent der kritischen Microsoft-Schwachstellen durch das Entfernen von Administratorrechten beheben lassen, warum sollte sich ein Unternehmen nicht auf die Kontrolle von Administratorrechten konzentrieren, um das Risiko von Missbrauch, Malware und Ransomware zu verringern? Und wenn 80 Prozent der Angriffe über gestohlene Zugangsprivilegien erfolgen, warum sollten Unternehmen dann nicht die Sicherung Ihrer privilegierten Konten priorisieren? Es ist eine Bildungsprozess für Führungskräfte und IT-Sicherheitsteams, wie sie Technologien und Strategien bewerten, und welche Investitionen am wirkungsvollsten sind.

9. Was lesen Sie als CTO/CISO, Buchautor, Blogger und Sprecher, um bei PAM, IAM und Sicherheitsthemen insgesamt auf dem Laufenden zu bleiben? Ist das anspruchsvoller oder einfacher als früher?

Ich lese querbeet. Es gibt eine Reihe von Websites, die ich regelmäßig besuche, um auf dem Laufenden über aktuelle Trends und Technologien zu bleiben. Wenn ein bestimmtes Thema wirklich meine Neugier weckt, suche ich nach passenden Experten und lese, was sie zu diesem Thema veröffentlicht haben. Der wichtigste Punkt für mich ist jedoch, stets eine offene Einstellung zu haben. Selbst wenn ich als Experte für ein bestimmtes Gebiet eingestuft werde, fühle ich mich doch oft wie ein Anfänger. Das ist typisch für unsere Branche, die sich immer wieder neu der Realität im Cybersicherheitsumfeld stellen muss. Durch Analyse und Kombination von Erkenntnissen aus den unterschiedlichsten Quellen sehe ich mich am besten gewappnet, eine Antwort zu geben. Mir ist es wichtig, allem Neuen und veränderten Herausforderungen gegenüber offen zu sein. Verschließt man sich zu sehr gegenüber diesen Veränderungen, verliert man auch die erforderliche Führungsmentalität, egal was man liest.

10. Drei Bücher haben Sie bereits geschrieben: Gibt es Pläne für weitere Buchprojekte?

Vielleicht. Ich habe ein paar Ideen für Science-Fiction-Bücher umrissen, aber ich hatte nicht die Zeit, sie abzuschließen (vielleicht, wenn ich im Ruhestand bin). Was Cybersicherheitsbücher betrifft, so habe ich zwei neue Gliederungen zu Themen außerhalb von PAM. Ich sehe den Bedarf, Fachleute und Unternehmen zu wichtigen Cybersicherheitsthemen zu schulen, und wenn ich etwas finde, das den Menschen hilft, echte Probleme zu lösen, werde ich wahrscheinlich weiter darüber schreiben. Aber vorerst reichen drei Bücher in drei Jahren, plus eine zweite Auflage. Wir werden sehen, ob ich mich von der Tastatur fernhalten kann... Ich werde wahrscheinlich nicht in der Lage sein, Zurückhaltung zu üben.

11. Möchten Sie noch etwas anmerken, was vielleicht nicht angesprochen wurde?

Einer der schwierigsten Aspekte beim Schreiben dieser Bücher war die Entscheidung, wem ich das Buch widme. Wem soll ich danken, und wem sollten meine Co-Autoren danken? Ich nannte meine Kinder und dankte meiner Frau für ihre endlose Geduld, während ich am Rechner tippte — auch im Urlaub. Die Widmung für „Privileged Attack Vectors“ wurde vor dem Ausbruch von COVID-19 geschrieben und bedeutet mir jetzt wirklich viel. Ich denke, Sie verstehen, warum. „Ein glückliches und gesundes Leben zu führen, ist alles, was jeder auf der Welt jemals brauchen sollte.“

Holen Sie sich Ihre Ausgabe von „Privileged Attack Vectors“

Hier können Sie die neue Ausgabe von „Privileged Attack Vectors: Building Effective Cyber-Defense Strategies to Protect Organizations“ bestellen.

Zwei weitere Bücher von Morey Haber sind bei Apress Media erschienen:

Identity Attack Vectors (Mitautor ist Darran Rolls, CTO bei SailPoint)

Asset Attack Vectors: Building Effective Vulnerability Management Strategies to Protect Organizations

Die drei Bücher über moderne Angriffsvektoren verschaffen einen umfassenden Einblick in Sicherheitsrisiken von Unternehmen und effektives IT-Management beim Schutz von Nutzeridentitäten, IT-Assets und Privilegien.