Säker fjärrsupport. Tillåt just-in-time-åtkomst

Handen på hjärtat - Kan du för tillfället säga hur många externa användare som är anslutna till ditt företagsnätverk? Normalt måste du svara på denna fråga adhoc med nej. Kanske är det möjligt för dig att namnge de interna dagliga användarna, tilldela dem till grupper och spåra dem. Detta gäller dock inte externa användare, såsom .B IT-tjänsteleverantörer, leverantörer eller fjärrunderhållsföretag i de flesta fall.

Men är det inte främst dessa användare som du bör hålla ett öga på? Dessa, av vilka några går runt med den logiska huvudnyckeln för dina kritiska områden och rör sig fritt och obemärkt i sin infrastruktur.

Skulle du lämna dina dörrar och fönster öppna på kontoret? Skulle du ha en bra känsla när främlingar gick in och ut obemärkt?

Säkerhetsåtgärderna för extern åtkomst till dina system av dina leverantörer eller IT-support måste baseras på mer än bara blinda förtroende- och servicenivåavtal. Inte bara behöver du veta vilka tekniker och verktyg de olika leverantörerna använder för att komma åt ditt nätverk, men du bör också övervaka och veta när och i vilken utsträckning de kommer åt dina system och vilka aktiviteter de utför. Live och retrospektiv.

Högsta risk för fjärråtkomst till underhåll

IT-tjänsteleverantörer, långvariga externa företag, fjärrsupport, tekniker, leverantörer, externa anställda, datavetenskapare - Listan över tredje parter som kräver tillfällig eller när som helst tillgång till ditt företagsnätverk inom sina användningsområden är mycket lång. Dessutom blir ett centralt tillhandahållande av tillfartsvägar allt mer utmanande på grund av hybrid- och molnbaserad infrastruktur. Faktum är: Det går inte en enda dag när ingen utifrån får tillgång till sina interna tillgångar som är värda att skydda. Fjärråtkomst är absolut standard, oavsett om det gäller redovisning, produktion eller IT-administration.

Tredje part använder vanliga lösningar som VPN-anslutningar, JumpServer eller applikationsdelningsverktyg. Dessa har alla en sak gemensamt: de ansluter säkerhetszonen i ditt företags nätverk med den externa användarens okontrollerade säkerhetszon.

Detta innebär att noggrant byggda säkerhetsåtgärder som du noggrant har byggt upp internt för att skydda olika nätverksområden är mycket utsatta i det här fallet. Högst upp använder de anställda utifrån vanligtvis anonyma användarkonton, till exempel .B. "admin.firmaXY". Detta innebär att användaraktiviteter inte kan tilldelas någon person i händelse av tvist eller i förtydligande syfte. Företag implementerar vanligtvis VPN för att göra det enkelt för tredjepartsleverantörer att komma åt det Felaktigt antas det att detta leder till den absoluta ökningen av cybersäkerheten. VPN tillåter åtkomst, men de är framför allt en sak: en tunnel. Du har inget inflytande på aktiviteter inom en (VPN) tunnel från utsidan. Även om detta alternativ garanterar dedikerad åtkomst, tillåter det ännu inte att slutsatser dras om vad som gjordes när, var och hur av tredjepartsanvändare.

Okontrollerad åtkomst för tredjepartsleverantörer innebär otaliga risker

Injektion av skadlig kod
Otillräckligt skyddade åtkomstdata, så att de kan fångas upp eller återanvändas, ökar risken. VPN-åtkomst saknar detaljerade kontroller. Skadlig programvara kan fortfarande komma in i dina system via leverantörsåtkomst. Bristen på detaljerade kontroller i VPN innebär också att leverantörskontot kan ha mycket mer åtkomst till system än nödvändigt, vilket ökar risken för missbruk - särskilt om kontot äventyras av en hotaktör.

Människor gör misstag
Vissa leverantörshot är inte skadliga. Fel från en extern IT-administratör kan till exempel leda till att produktionsanläggningarna står stilla eller att ERP-systemet misslyckas, oavsiktligt öppna säkerhetsluckor eller leda till efterlevnadsproblem. Risken för en användare ökar i förhållande till beviljade åtkomsträttigheter och okontrollerade privilegier. I värsta fall förvärras en cyberincident av det faktum att fel inte kan reproduceras om sessionsposter saknas eller aktiviteter inte kan tilldelas personer korrekt.

Bristande efterlevnad av rättsliga och avtalsenliga krav
Efterlevnaden av antagna riktlinjer och riktlinjer för upprätthållande av informationssäkerheten är vanligtvis redan en stor utmaning internt. Men vem kontrollerar lösenordet och åtkomstkontrollen för din tredjepartsleverantör som har tillgång till din IT-infrastruktur? Ofta är de autentiseringsuppgifter som används av den externa leverantören inte under direkt kontroll av kunden. Två olika och nätverk med två användarkataloger och heterogena säkerhetskrav gör det nästan omöjligt att följa säkerhetsbestämmelserna. Leverantörsrevisioner och servicenivåavtal ökar organisationens säkerhet, men även om du kan se till att bästa praxis för säkerhet följs kanske du inte har insikt i de ultimata aktiviteterna som utförs av tredje part i hemlighet i din interna IT-infrastruktur.

Grundläggande åtgärder för att säkra fjärråtkomst till underhåll

  • Avskaffande av funktion och kollektiva konton
    En tydlig tilldelning av användaraktiviteter till verkliga människor säkerställer ren spårbarhet i en nödsituation och förhindrar okontrollerbar användning av samma lösenord av flera användare. Dokumentationen av aktiviteter kräver koppling till den person som utför dem. Utan undantag.
  • Multifaktorautentisering (MFA)
    Multifaktorautentisering är ett måste för all känslig åtkomst till servrar, applikationer och data. För att säkerställa en högre nivå av identitetssäkerhet för fjärråtkomst för leverantörer och anställda måste ytterligare en oberoende faktor för autentisering av sessioner implementeras. Det är viktigt att den andra faktorn aldrig tas emot på samma enhet som den primära inloggningen utförs på. Tekniskt sett kan detta uteslutas.
  • Tilldelning av lägsta möjliga rättigheter – All åtkomst bör begränsas till exakt den uppsättning verktyg och behörigheter som en användare behöver för att utföra sin angivna roll. Tillsammans med fasta perioder där användaren har möjlighet att komma in i IT-infrastrukturen resulterar detta i en just-in-time-modell. Ingen åtkomst bör vara evig och permanent och bör uppfylla kraven, dvs. den beviljas endast om vissa parametrar är uppfyllda och den återkallas så snart verksamheten är avslutad, sammanhanget ändras eller en viss tid har förflutet.
  • Övervakning och kontroll av nätverksinfrastruktur – Behöriga personer på IT-avdelningen bör alltid ha en livevy över alla privilegierade användare som finns i nätverket. Dessutom måste detvara möjligt att avgöra vem som arbetade var och när. Vid behov bör det vara möjligt att identifiera alla användare i nätverket och avlägsna dem från infrastrukturen i en nödsituation.

Erbjud dina leverantörer, tjänsteleverantörer och externa medarbetare en central portal för att få tillgång till de individuellt nödvändiga resurserna för deras dagliga arbete inom deras IT-infrastruktur.

Ledande portfölj för hantering av privilegierad åtkomst med fjärrsupport från Tyskland

VISULOX är en unik lösning för hantering av privilegierad åtkomst med fokus på att styra fjärråtkomst.
VISULOX gör det möjligt för sin interna IT-avdelning att kontrollera, kontrollera och automatiskt dokumentera privilegierad fjärråtkomst för externa anställda, tjänsteleverantörer och leverantörer.

Detta kräver inte agenter på klienter eller ändringar av servrar. Vi installerar VISULOX i farten utan avbrott i driften.

Oavsett bransch förlitar sig våra kunder på vår Privileged Access Management-lösning och lägger stor vikt vid fördelarna med våra individuella moduler:

  1. Principen om att bevilja minst tillstånd: Ge en privilegierad användare endast de program, verktyg och behörigheter som de behöver för att utföra sitt arbete. Och bara under de perioder då han behöver dem – precis i tid. Ange vilka slutpunkter, en användare får åtkomst till när och vilka åtgärder som tillåts under en session. Till exempel beröva användaren av kopierings- och klistrafunktionerna eller ge honom en enda dedikerad applikation utan skrivbordsgränssnitt. Vid behov är det också möjligt att begränsa användare baserat på deras plats och att meddela behöriga personer om angivna säkerhetsparametrar bryts.
  2. Säker autentisering och lösenordshantering:
    Öka inloggningssäkerheten adhoc genom att framtvinga multifaktorautentisering (MFA). Identitetssäkerhet genom integrering av en MFA för att hantera lösenord för leverantörer och externa anställda. Det är möjligt att upprätta funktioner för enkel inloggning så att användarna aldrig ser ett lösenord under valda sessioner. Den integrerade lösenordscachen stöder IT-organisationen i att tillämpa lösenordsprinciper även för användare utanför sin egen IT-infrastruktur. Kontinuerliga ändringar av privilegierade användarlösenord, SSH-nycklar förstärker robustheten hos den externa åtkomstplattformen. En standardintegrerad MFA-funktionalitet stöder många faktorer, såsom otP.B. e-post, SMS, röst, fysiska tokens etc. Oavsett tillverkare är det möjligt att sömlöst integrera befintliga MFA-lösningar.
  3. Tillförlitligt bevis på aktivitet med en knapptryckning:
    Å ena sidan bör alla aktiviteter som utförs av tredje part inom din IT-infrastruktur dokumenteras . Helst fungerar denna post som ett operativt bevis på prestanda för aktiviteter. Å andra sidan har en privilegierad användare möjlighet attfrivilligt spela in grafiska kommandon eller utmana aktiviteter för spårbarhet. En användare kan inte registreras i hemlighet under några omständigheter. Även vid samarbete mellan flera användare genom applikationsdelning är det möjligt att spela in användarinteraktioner individuellt och separat från varandra. Den valfria tangentslagsinspelningen gör att konsolingångar och kommandon kan spelas in transparent. Filmerna har en definierbar lagringsperiod i enlighet med juridiska eller organisatoriska krav och krypteras med en volym på cirka 5 Mb per timme och lagras på ett revisionssäkert sätt.

VISULOX är en ledande lösning för hantering av privilegierad åtkomst med integrerad fjärrsupportplattform för säker extern åtkomst. Vi hjälper till att svara på frågan om vem som gjorde vad, var och när i IT-infrastrukturer.

amitego är den ledande leverantören av lösningar för hantering av privilegierad åtkomst och fjärrsupportplattformar i Tyskland. Vi har utvecklat våra lösningar i Stuttgart sedan 2003.

VISULOX används globalt och uppfyller de uppgifter som den faktiska verksamheten ställer för kunderna. Å andra sidan ger det de bevis som krävs enligt lagar eller förordningar. Särskilt insynen i tredje parts verksamhet är absolut nödvändig för att säkerställa kontroll över de faktiska användaraktiviteterna vid åtkomst till IT-infrastrukturen. 

Idag används lösningen av ett stort antal företag från en mängd olika branscher i många länder. Från installationer med 5 användare till företagsinstallationer med över 7 500 samtidiga användare, för små och medelstora företag och Dax30-företag. Implementera allt utan att göra några ändringar i klienter eller servrar.

Vår erfarenhet visar att vi kan lyssna bra. En kort personlig konversation kan ofta spara långa avstånd. Vi skulle gärna lära känna dig på ett kort datum, på begäran med en eventuell live-demo.

Vi har ännu fler ämnen som vi gillar att skriva om.

Cookie-samtycke med riktig cookie-banner