CyberArk hat mit der Version 9 der CyberArk-Privileged-Account-Security-Lösung eine umfassende Schlüsselverwaltung für Secure Shell (SSH) vorgestellt. Anwender können jetzt sowohl privilegierte Passwörter als auch SSH-Schlüssel mit einer einzigen, integrierten Plattform sichern und verwalten und sie damit gegen externe Angreifer sowie missbräuchliche interne Benutzung schützen.
SSH-Schlüssel werden von IT-Teams häufig verwendet, um direkte Root-Zugriffe auf kritische Systeme zu erhalten; sie werden aber oft ohne Kontrolle und ohne Management angelegt und ermöglichen so einen unkontrollierten privilegierten Zugriff auf die jeweiligen Zielsysteme.
Eine Untersuchung des Ponemon Institute ergab, dass drei von vier Unternehmen keine Sicherheitskontrollen für SSH-Schlüssel implementiert haben; 51 Prozent der Unternehmen mussten demnach bereits eine Störung in Zusammenhang mit SSH-Schlüsseln verzeichnen (1). Da SSH-Schlüssel normalerweise im Rahmen einer automatisierten Anwendung-zu-Anwendung-Authentifizierung verwendet werden, ist es möglich, dass Schlüssel erzeugt, verteilt und dann vergessen werden; dadurch entstehen Systeme mit nicht erkannten und undokumentierten Schwachstellen.
Die wichtigsten Vorteile der CyberArk-Lösung sind:
– Sichere Verwaltung privilegierter Accounts über Passwörter oder SSH-Schlüssel mit einer einzigen Plattform, die vor Bedrohungen schützt, diese erkennt und überwacht.
– Ermittlung der Anzahl, Verwendung und möglichen Risiken von SSH-Schlüsseln.
– Verhinderung des Verlusts von SSH-Schlüsseln durch Speicherung an einem gehärteten, zentralen Speicherplatz.
– Beseitigung von „zeitlosen“ Schlüsseln durch automatische Erneuerung in regelmäßigen Abständen.
– Erweiterung von Kontrollen für SSH-Schlüssel, die in Unix-Images von Amazon Web Services verwendet werden.
– Unterstützung von Audit- und Compliance-Teams mit vollständigem SSH Key Session Recording.
Über die SSH-Schlüsselverwaltung hinaus bietet die CyberArk-Privileged-Account-Security-Lösung in der Version 9 den Anwendern folgende Features:
– Reduzierung der Kosten für das Management des Benutzer-Provisioning unter Unix durch agentenlose Active-Directory-Bridging-Funktionen, bei gleichzeitiger Erhöhung der Sicherheit durch vollständiges Session Monitoring.
– Beseitigung hartkodierter Passwörter in Anwendungen und Skripten in einem agentenlosen Web-Services-basierten Ansatz.
„Cyber-Kriminelle wissen, dass es in großen Unternehmen Hunderttausende von SSH-Schlüsseln gibt und dass sie sich darüber einen privilegierten Zugang zu kritischen Systemen verschaffen können“, erklärt Jochen Koehler, Regional Director DACH bei CyberArk in Heilbronn. „Unsere Lösung schützt diese privilegierten Accounts vor allen Angriffsarten. Die Absicherung der SSH-Schlüssel stellt damit eine logische Erweiterung unserer Privileged-Account-Security-Lösung dar und verbessert die Sicherheit der Anwender sofort.“
(1) „The Ponemon 2014 SSH Security Vulnerability Report“, Februar 2014
