Übersicht Privileged Access Management
Die Ausnutzung privilegierter, meist administrativer, Benutzeraccounts stehen sehr oft im Mittelpunkt von bekannten Cyber-Attacken, denn Hacker und Schadsoftware versuchen oft privilegierte Konten als Einstieg in Ihre IT-Infrastruktur auszunutzen. Das Eliminieren von Admin-Rechten und der Schutz von privilegierten Accounts steht somit seit langem an der Spitze jeglicher Risikominderungsstrategien für Organisationen jeder Größe. Compliance-Vorgaben sowie Schutz vor Insider-Angriffen werden ebenfalls am effektivsten durch die Sicherung und das Management von administrativen Privilegien erreicht.
Bestehende Lösungen in diesem Bereich sind häufig komplex, im Management ineffizient, haben zu viele Funktionen, schränken den Mitarbeiter ein und kommen einher mit riesigen Identity und Access Management Beratungsprojekten.
Made in Germany, konzentriert sich amitego seit 2003 darauf, ein branchenunabhängiges Portfolio im Bereich Privileged Access Management (PAM), Remote Support und einem sicheren Daten-Transfer kontinuierlich weiterzuentwickeln. Das Portfolio von amitego konzentriert sich auf die nahtlose Dokumentation von internen und externen privilegierten Benutzeraktivitäten und bietet zentrale Steuerungsfunktionen und Sichtbarkeit, sowie Kontrolle über die privilegierten Zugriffsrechte aller Konten und Benutzer.
Vorteile des Cyber Security Portfolios der amitego
Schutz vor böswilligen Angriffen
Der Großteil aller erfolgreichen Angriffe sind auf das bewusste Ausnutzen von hohen, also privilegierten Rechten zurückzuführen. Root-Cause Analysen von aktuellen Cyber-Vorfällen zeigen, dass die sogenannte „Privileged Escalation“, also das maximale Ausdehnen von administrativen Berechtigungen von bestimmten Benutzern auf Desktops und Servern häufig das Einfalltor und damit bidirektional oft auch der nicht verschlossene Ausgang für Cyber-Kriminelle darstellt. Verhindern Sie die Ausführung von Schadsoftware, indem Sie managen, welche Anwendungen in Ihrer Umgebung, durch welche Benutzer und zu welchem Zeitpunkt ausgeführt werden dürfen. Damit wird technisch verhindert, dass Zugriffe außerhalb Ihres eigenen Regelwerks möglich sind.
Insider Angriffe und Datenabfluss verhindern
Das Prinzip der kleinstmöglichen Rechtevergabe ist das Minimum. Zero Trust die Kür. Heben Sie per sofort die Administratorrechte sämtlicher Benutzer auf, selbst die der Systemadministratoren und root-user im Rechenzentrum und steuern Sie die Rechtevergabe über Gruppen oder individuell, gebunden an die jeweiligen Anwendung, Prozess oder organisationinternen Anforderungen.
Sagen Sie Tschüss zu Funktions- und Sammelaccounts.
Wenn jeder Mitarbeiter nur die Zugriffsrechte erhält, die er zur Erledigung seiner Aufgaben benötigt, können diese im Normalfall auch für Nichts weiteres genutzt werden. Auf diese Weise lassen sich sowohl unbeabsichtigte als auch vorsätzliche Insider-Bedrohungen entschärfen. Auf der anderen Seite bieten Funktionalitäten wie Session Recording, Mitarbeitern mit erhöhten Rechten die Möglichkeit Ihre Tätigkeiten in kritischen Bereichen zu dokumentieren oder ihrem externen Dienstleister als Leistungsnachweis für erbrachte Auftragsarbeit.
Einhaltung von Compliance-Vorgaben und branchenspezifischen Sicherheitsstandards
amitego hilft Ihnen, strengste Anforderungen im Hinblick auf das Nachweisbarkeit von Zugangskontrollen und der Durchsetzung des Prinzips der geringsten Rechte sowie Zugriffsverwaltung, also auch der Dienstleistersteuerung zu erfüllen. VISULOX unterstützt Organisationen durch die zentrale Kontrolle von privilegierten Rechten zur Einhaltung von Compliance-Anforderungen. Mithilfe des VISULOX Portfolios lassen sich auf Knopfdruck einwandfreie und audit-erprobte Berichte und Nachweise erstellen, um die Einhaltung von ISO 27001, NIST, TISAX, BSI-G KRITIS, HIPAA, PCI DSS, EU DS-GVO, BSI Grundschutz und vielen weiteren Standards nachzuweisen.
Das VISULOX Portfolio: PAM, Remote Support und Data Transfer Control.
Cyber Security Solutions aus eine Hand.
VISULOX Privileged Access Management
Übernehmen Sie die Kontrolle über alle privilegierten Benutzer und dokumentieren Sie lückenlos jede kritische Tätigkeit zum Schutz Ihrer Assets, durch Multi Faktor Authentifizierung, Session Recording und weiterer Funktionalitäten.
VISULOX Remote Support
Stellen Sie allen Externen Benutzern und ihren internen privilegierten Mitarbeitern einen automatisierten, personalisierten und lückenlos dokumentierten Zugang zu ihrer Infrastruktur bereit.
VISULOX Data Transfer Control
Kontrollieren Sie Input und Output von jeglichem Datentransfers innerhalb ihrer Organisation. Ein integrer, sicherer und authentischer Transport von Daten, durch festgelegte Benutzer zu festgelegten Endpunkten, gemäß fixer Parameter.
VISULOX Proof of Concept
Für das gesamte amitego VISULOX Portfolio besteht die Möglichkeit, alle Funktionalitäten innerhalb der eigenen IT-Umgebung für 30 Tage zu testen.
Innerhalb von 4 Schritten und 3 Tagen implementieren wir Ihre VISULOX Lösung
Das VISULOX Portfolio lässt sich nahtlos im laufenden Betrieb implementieren ohne Betriebsunterbrechungen. Die Installation von VISULOX bedarf keiner Modifikation von Clients oder Servern. Aus Sicht der IT-Sicherheit, berühren wir ihre schützenswerten Assets nicht und installieren keine Agents auf Endpoints.
VISULOX Privileged Access Management
Privilegien aufheben, Bedrohungen entschärfen. Schaffen Sie eine moderne Arbeitsumgebung und wehren Sie Angriffe ab, ohne die Produktivität ihrer Mitarbeiter zu beeinträchtigen. Schadsoftware gelangt häufig über Konten mit erhöhten Rechten ins Unternehmensnetzwerk. Daher ist die Aufhebung von hohen Administratorrechten eine der wichtigsten Strategien für Unternehmen, die ihr Risiko mindern möchten. VISULOX Privileged Access Management ist modular aufgebaut und kann an jedes Erfordernis angepasst werden:
Cockpit
Das zentrale Kontrollzentrum zur einfachen Verwaltung und Überwachung aller internen und externen Benutzeraktivitäten innerhalb IT und OT.
- Historische Nutzer-Daten und Aktivitäten können jederzeit eingesehen und exportiert werden
- Rechte und Rollen können angepasst und eingesehen werden
- Bei Bedarf können alle Benutzer adhoc aus der IT-Infrastruktur entfernt werden
- Legen Sie Parameter fest, gemäß derer Externe und Interne Zugriff bekommen, wie z.B. Multi-Faktor Authentifizierung, Standardarbeitszeiten, Standorte oder Session Recording
Session Recording
Aufzeichnen aller oder einzelner Benutzerinteraktionen, unumgänglich oder auf Wunsch. Als indizierter Film mit optionalem Key-Stroke Recording. Die Filme besitzen eine definierbare Speicherdauer entsprechend gesetzlicher oder organisatorischer Anforderungen.
- Speichervolumen von nur ca. 5 Megabyte pro aufgezeichneter Stunde Film
- Automatische Verschlüsselung und Passwortschutz mit Festlegung der Lebensdauer
- Das Recording kann beim Start einer Sitzung erzwungen werden oder wird freiwillig gestartet
- Ein Benutzer kann unter keinen Umständen heimlich aufgezeichnet werden.
Cooperation
Flexible, dokumentierte und sicheres Application-Sharing ohne Verschmelzung getrennter Sicherheitszonen.
Application-Sharing ist im IT-Betrieb zum Alltag geworden. Die Architektur vieler Sharing-Lösungen schafft jedoch oft versteckte Sicherheitslücken, die zuvor getrennte Sicherheitszonen zwischen Client und interner Infrastruktur verbinden.
- Benutzer können in zwei verschiedenen Modi arbeiten, interaktiv oder im Gast-Modus zum reinen beobachten von Tätigkeiten.
- Sessions lassen sich aufzeichnen, wobei stets protokolliert wird, welcher Benutzer welche Eingabe getätigt hat.
- Es ist möglich einen digitalen „Totmannschalter“ zu erzwingen
- Integration eines echten 4-Augen Prinzips
Host Control
Simultane Server-Kommunikation mit voller Kontrolle über alle Kommandos und Befehle. VISULOX Host Control bietet gleichzeitigen und kontrollierten Zugriff auf frei definierbare Host-Gruppen und Endpoints
- Administration von Serverfarmen und Client-Verbünden ohne die Herausgabe von sensitiven Passwörtern und Ressourcen
- Zentrale Vergabe von Administrationsrechten an personalisierte und identifizierbare Benutzer
- VISULOX Host Control bietet die Möglichkeit der Nutzung einer integrierten Upload-Funktion für große Skript-Dateien in eine Transit-Zone. Diese erlaubt die Durchführung von Prüfungen definierter Parameter
- VISULOX Host Control prüft Kommandos vor dem Absetzen gegen White- bzw. Blacklists um Benutzer-Eingaben vor der Ausführung zu kontrollieren.
Multi Faktor Authentifizierung
Sicherung des Zugangs zu IT- und OT-Systemen durch einheitliche Multi Faktor Authentifizierung (MFA)
VISULOX MFA bietet eine maßgeschneiderte Lösung, die den optimalen Einsatz eines zweiten oder x-beliebigen Registrierungsfaktors realisiert.
- VISULOX MFA ist an organisationsinterne Anforderungen anpassbar
- Per Standard sind folgende Optionen wählbar:
- TicketID / Service Session ID
- Verbal, durch Integration eines HelpDesks
- LastPass, MS / Google Authenticator
- SMS / E-Mail
- Biometrische Erkennungsmerkmale
- Physische Token
Revision Server
Automatisierte und unumgängliche Sicherung aller audit-relevanten Daten und Informationen. Alle Aktionen, einschließlich Änderungen und Löschungen von auditrelevanten Daten werden über ein Audit-Log im VISULOX Cockpit sichtbar und im Anschluss nachvollziehbar zuzuordnen.
- VISULOX Revision Server bietet einen gesonderten Bereich an, um generierte Audit-Daten von Administratoren und beteiligten Benutzergruppen zu trennen
- Dank der Verteilung von Zugriffsrechten auf mehrere Benutzer, kann ein singulärer Nutzer unabhängig von Zugriffsrechten, niemals auf die abgesicherten Daten im VISULOX Revision Server zugreifen
- VISULOX Revision Server sichert alle audit-relevanten Daten automatisch verschlüsselt und garantiert ad hoc Verfügbarkeit
- Zu keinem Zeitpunkt ist es einer dritten Person möglich, Rückschlüsse aus diesen Informationen zu ziehen oder diese einzelnen Benutzer-Sitzungen oder Personen zuzuordnen.
Ausnahmslos ein zentraler, dokumentierter Zugang für alle externen Benutzer.
VISULOX Remote Support
Wer hat was wann wo und wie getan hat? All dies sind die Kernfragen zu Schutz von kritischen Assets, die von Externen zur Fernwartung administriert werden. Mit VISULOX Remote Support bieten Sie einen sicheren und dokumentierten Zugriff und Support für jedes beliebige Gerät oder System – immer und überall.
VISULOX Remote Support verfolgt das Ziel, Externen Benutzern Just-in-Time die benötigten Ressourcen bereitzustellen und stellt externen Benutzern Zugänge ausschließlich bereit, wenn diese benötigt werden. Gruppenbasiert oder individuell können mindestens folgende Parameter festgelegt werden:
- feste Zeiträume, z.B. Kernarbeitszeiten,
- erlaubte Geo-Lokationen, z.B. Sitz des Dienstleisters,
- freigegebene IP-Adressen,
- Multi Faktor Authentifikation,
- Vorgabe des Vier Augen Prinzips,
- Pflicht zur visuellen Dokumentation von Tätigkeiten
VISULOX Remote Support stellt keine Anforderungen an das Endgerät und bedarf keiner Änderungen am Server oder den Clients.
- Leistungsfähigen Support bereitstellen
Losgelöst von Betriebssystemen, Geräte, Plattformen, industrielle Steuerungsanlagen, sofort und zuverlässig remote administrieren. Sofortiger und zuverlässiger Fernsupport für Endbenutzer und Kunden, die Windows, Mac, iOS, Linux oder ein anderes Betriebssystem im eigenen Netzwerk oder außerhalb verwenden. Konzentrieren Sie sich auf die Problemlösung, statt sich um die Verbindung kümmern und erledigen Sie somit mehr Aufgaben. - Effizienten Service bieten
Service-Levels verbessern und Kundenzufriedenheit durch einen nahtlosen und hochwertigen Fernsupport, sowie der automatisierten Protokollierung und Nachweisbarkeit von durchgeführten Tätigkeiten, z.B. durch Session Recording, für jeden Endbenutzer erhöhen. Bieten Sie skalierbaren Remote Support für Enterprise-Unternehmen, ohne den operativen Betrieb zu beeinflussen. Sei es, dass Sie einen Linux-Server am anderen Ende der Welt oder einen Windows-Terminalserver im lokalen Rechenzentrum in der Wartung haben. - Die eigene Organisation schützen
Supportteams benötigen für ihre Arbeit immer administrative Rechte auf Endpoints und vollen Zugriff auf kritische Systeme, wie z.B. SCADA Systeme, Leitzentralen oder Active Directory Server. Die Sicherheit der dazu verwendeten Fernzugriffslösung ist entscheidend, um Ihr Netzwerk vor Bedrohungen zu schützen und Compliance-Vorgaben einzuhalten. VISULOX Remote Support garantiert, dass die Sicherheitszonen ihrer Organisationen zu keinem Zeitpunkt mit denen des Support-Dienstleisters verschmolzen werden. Dieser erhält keinen direkten Zugriff auf Ihre internen Systeme. Multi Faktor-Authentifizierung, Verschlüsselungen gemäß des Stands der Technik, granulare Berechtigungsvergaben, umfassende Audit-Trails und vieles mehr, machen VISULOX Remote Support zur sichersten Ferwartungssoftware auf dem Markt, entwickelt in Deutschland.
Dateien übertragen. Integer, authentisch und absolut sicher.
VISULOX Data Transfer Control
VISULOX Data Transfer Control arbeitet wie die bekannte Sicherheitskontrolle an Flughäfen und scannt jede zu übertragende Datei. Ausnahmslos jeder Datentransfer – ob rein oder raus – durchläuft diesen Scan. VISULOX Data Transfer Control erlaubt es feste Regeln zu definieren und somit den gesamten Datentransfer zu kontrollieren. Die Verbindung erfolgt von der Anwendung zu VISULOX Data Transfer Control und erst dann zum Server und umgekehrt, so dass die Sicherheitszonen zu jedem Zeitpunkt aufrechterhalten werden.
In jeder Organisation gibt es verschiedenste Anforderungen an eine sichere Datenübertragung. VISULOX Data Transfer Control bietet die Möglichkeit, einfach und flexibel Regeln festzulegen, wie, was und von wem nach welchen Kriterien an welchen Zielort transferiert werden darf. Mindestens folgende Paramter sind hierbei festzulegen:
- Berechtigte Benutzer und Gruppen
- Quelle & Ziel der zu transferierenden Dateien
- Richtung: in / out / bidirektional
- Größe der Dateien
- Name der Dateien
- Art der Datei bzw. Signatur
In der Praxis erfolgt dies auf sichere Art und Weise:
Ein berechtigter Nutzer bewegt Daten mittels Drag & Drop in eine spezifische „Transit-Zone“. Diese ist der der Kern von VISULOX Data Transfer Control. Innerhalb dieser werden die entsprechenden Paramater ad hoc geprüft und Dateien entweder freigegeben, weitergeleitet oder direkt abgelehnt. Jeder Transfer erzeugt ein Event, das bei bedarf eine weitere Aktion auslösen kann.
Um sicherzustellen, dass durchgeführte Aktivitäten jederzeit zur Erfüllung von Audit-Anforderungen, zur Ursachenanalyse oder zu Verbesserungszwecken nachvollzogen werden können, werden alle Bewegungen über Schattenkopien nachweisbar und revisionssicher archiviert. Hierbei liegen diese Dateien niemals im Zugriffsbereich der operativen Administratoren oder involvierter Anwender.
Gespeichert und archiviert lassen die gesammelten Informationen keine direkten Rückschlüsse auf durchgeführte Transaktionen zu. Ein Zugriff darauf wird im VISULOX Cockpit protokolliert.
Als ein führender Hersteller, bietet amitego seit 2003 mit VISULOX Schutz für externe privilegierte Benutzer und interne Mitarbeiter sowie die lückenlose und nachvollziehbare Dokumentation von Benutzer-Aktivitäten und bewegten Daten. VISULOX ist weltweit bei kleinen- bis mittelständischen, hin zu DAX30 Unternehmen, branchenübergreifend im Einsatz.