Was ist Security Lifecycle Management?

Ein durchschnittliches Unternehmensnetzwerk beherbergt Tausende - wenn nicht Zehntausende - von Identitäten, von menschlichen Benutzern (Entwicklern und anderen Stakeholdern) bis hin zu nichtmenschlichen Identitäten (wie KI-Agenten, Geräten, Workloads und Diensten). Diese Population ist dynamisch. Immer wieder treten menschliche Benutzer dem Netzwerk bei, verlassen es und wechseln die Rollen. Neue nichtmenschliche Identitäten entstehen ständig, wenn Infrastruktur bereitgestellt, skaliert und außer Betrieb genommen wird – insbesondere in cloudnativen und DevOps Kontexten, wo die CI/CD-Pipeline und automatisierte Workflows routinemäßig kurzlebige Dienste und Workloads starten.

Jede Identität stellt eine potenzielle Sicherheitslücke dar. Benutzer können ihre Privilegien böswillig oder fahrlässig missbrauchen und zu Insiderbedrohungen werden. Bedrohungsakteure können menschliche und nichtmenschliche Identitäten übernehmen, indem sie gestohlene Anmeldedaten und Brute-Force-Angriffe nutzen, um unbefugten Zugriff auf sensible Daten und Systeme zu erlangen.

Tatsächlich sind identitätsbasierte Angriffe – bei denen Hacker gültige Anmeldedaten missbrauchen, um in ein Netzwerk einzudringen – eine der häufigsten Cyberangriffsmethoden. Sie machen 30 % der Data Breaches aus, die im IBM X-Force Threat Intelligence Index erfasst werden.

Das Security Lifecycle Management zielt darauf ab, die Angriffsfläche zu verkleinern und Sicherheitslücken zu schließen, indem die Verwaltung dieser Identitäten sowie ihrer zugehörigen Berechtigungen und Anmeldedaten auf einer einzigen Plattform oder einem Satz eng integrierter Tools zentralisiert wird. Das Security Lifecycle Management automatisiert zentrale Funktionen der Cybersicherheit – wie die Erstellung und Rotation von Zugangsdaten, Anmeldedaten, die Bereitstellung und Deaktivierung von Konten sowie die Durchsetzung von Sicherheitsrichtlinien – um die Zugriffskontrollen und das Passwortmanagement zu stärken, ohne kritische Workflows zu unterbrechen.

Das Security Lifecycle Management nutzt eine Plattform oder eine Reihe integrierter Tools, um wichtige Cybersicherheitsfunktionen zentral zu überwachen und zu automatisieren, insbesondere Funktionen, die sich auf Kontosicherheit, Anmeldeinformationsverwaltung und Benutzerzugriffsberechtigungen beziehen.

Zu den Kernfunktionen des Security Lifecycle Managements gehören Identitätsmanagement, Passwortmanagement und sichere Netzwerke.

Das Security Lifecycle Management kann Identity und Access Management (IAM) Workflows sowohl für menschliche als auch für nichtmenschliche Identitäten automatisieren, wie zum Beispiel:

• Onboarding neuer Benutzer und Entitäten, einschließlich der Erstellung von Konten und der Vergabe von Berechtigungen.
  
  
• Anpassung der Berechtigungen von Benutzern und Entitäten an die sich im Laufe der Zeit ändernden Rollen.
  
  
• Durchsetzung von Sicherheitsrichtlinien durch Maßnahmen wie rollenbasierte Zugriffskontrollen (RBAC), kontinuierliche Authentifizierung und Autorisierung sowie Just-in-Time-Rechten.
  
  
• Kontinuierliche Überwachung der Benutzeraktivität durch Sitzungsaufzeichnung.
  
  
• Deaktivierung von Identitäten, wenn Benutzer das Unternehmen verlassen oder Dienste eingestellt werden.

Neben dem Schutz von Identitäten hilft das Security Lifecycle Management auch dabei, die mit diesen Identitäten verbundenen Anmeldedaten zu schützen. Es kann wichtige Funktionen der Zugangsdatenverwaltung und des Passwortmanagements automatisieren, wie zum Beispiel:

• Erstellung starker Zugangsdaten für neue menschliche und nichtmenschliche Identitäten, einschließlich Zertifikate, API-Schlüssel, Passwörter und Token.
  
  
• Regelmäßiges Austauschen der Zugangsdaten.
  
  
• Speicherung hochwertiger Zugangsdaten – wie z. B. Administrator- und Service-Kontendaten, die hochgradig privilegierten Zugriff auf sensible Informationen und Systeme in Vaults gewähren. Vaults sind wiederum durch Verschlüsselung und starke Authentifizierungsmaßnahmen – wie Multi-Faktor-Authentifizierung (MFA) – geschützt, um sicherzustellen, dass nur autorisierte Benutzer bei Bedarf auf diese Anmeldedaten zugreifen können.
  
  
• Ersetzen von Zugangsdaten durch temporäre oder Just-in-Time-Anmeldedaten.
  
  
• Automatisches Scannen und Beheben von offengelegten Passwörtern, die in Code, Repositories, Kollaborationsplattformen, Entwicklertools oder an anderen Orten gespeichert sind.

Einige Tools für das Security Lifecycle Management unterstützen auch die Credential Injection, ein Authentifizierungsverfahren, bei dem Benutzer niemals direkt mit Anmeldedaten arbeiten müssen. Stattdessen werden die Anmeldedaten aus sicheren Vaults an die entsprechenden Dienste im Namen des Benutzers weitergeleitet, wodurch das Risiko einer Gefährdung oder eines Diebstahls verringert wird.

Aufbauend auf dem Schutz von Identitäten und Anmeldedaten trägt das Security Lifecycle Management auch dazu bei, eine sichere Verbindung und Kommunikation zwischen Identitäten zu ermöglichen – insbesondere zwischen Diensten.

Tools für das Security Lifecycle Management bieten häufig Folgendes:

• Eine zentrale Informationsquelle für Serviceidentitäten, die die Erkennung und Verfolgung von Services sowie Echtzeitinformationen über den Zustand eines Dienstes und andere Attribute ermöglicht.
  
  
• Identitätsbasierte Verbindungen, einschließlich Service-to-Service-Verschlüsselung, kontinuierliche Authentifizierung und attributbasierte Autorisierung. Jede Zugriffsanfrage wird geprüft und die Dienste erhalten den Zugriff auf der Grundlage ihrer Attribute und nicht auf der Grundlage des Netzwerkstandorts.
  
  
• Automatisierte Bereitstellung einer sicheren Netzwerkinfrastruktur, wie z.B. Service-Meshes, Load Balancer, Firewalls und Gateways. Eine sichere Kommunikation wird automatisch eingerichtet, aktualisiert und außer Betrieb genommen, wenn Dienste erstellt, skaliert oder stillgelegt werden.

Zwar konzentriert sich das Security Lifecycle Management üblicherweise auf Identitäten, Zugangsdaten, Dienste und Softwareinfrastruktur, es kann aber auch Geräteverwaltungsfunktionen beinhalten. Beispiele hierfür sind automatisiertes Patching für Arbeitsstationen und mobile Geräte, Verwaltung von Hardware-Zertifikaten sowie die kontinuierliche Überwachung und Sanierung von Sicherheitssystemen vor Ort, wie Kameras und physische Zugangskontrollen.

Durch die Zentralisierung und Automatisierung der Kernfunktionen des IAM und der Verwaltung von Passwörtern hilft das Security Lifecycle Management Sicherheitsteams dabei, mehr Transparenz und Kontrolle über menschliche Benutzer und nichtmenschliche Identitäten zu gewinnen. Zentralisierung und Automatisierung können dazu beitragen, die Aktivitätsüberwachung, die Zugriffskontrolle und die Durchsetzung von Richtlinien zu optimieren und so das Risiko von identitätsbasierten Angriffen und anderen Sicherheitsvorfällen und Cyberbedrohungen zu verringern.

In komplexen IT-Systemen können menschliche und nichtmenschliche Identitäten auf lokalen, Remote- und Cloud-Infrastrukturen existieren und zwischen diesen verschoben werden. Die Aufteilung dieser Netzwerke erschwert es Sicherheitsteams, die Aktivitäten jeder Identität nachzuverfolgen. Außerdem sind Ressourcen in DevOps-Pipelines oft dynamisch und kurzlebig. Neue nichtmenschliche Identitäten können in ein System eingeführt werden, auf sichere Informationen zugreifen und wieder verschwinden, bevor das Sicherheitsteam überhaupt weiß, dass sie da sind. Ergebnisse zeigen, dass die Durchsetzung von Richtlinien schwierig ist und die Sicherheitsrisiken zunehmen.

Da es keine sichere Verwaltung oder zentrale Aufsicht gibt, befolgen einzelne Benutzer möglicherweise nicht die Best Practices für den Sicherheitszustand. Es kann sein, dass sie schwache Passwörter vergeben und diese wiederverwenden. Oder sie versäumen, die Multi-Faktor-Authentifizierung zu aktivieren. DevOps-Pipelines sind bekanntermaßen anfällig für die Ausbreitung von Passwörtern, also die Ausbreitung nicht verwalteter Passwörter über Repos, Codes, Datenbanken und andere Stellen, was sie anfällig für potenzielle Bedrohungen macht.

App-Sprawl – die Integration von Apps in ein Ökosystem ohne zentrale Verwaltung, insbesondere Apps, deren Authentifizierungs- und Autorisierungsfunktionen nicht mit bestehenden IAM-Systemen integriert sind – bringt ebenfalls Probleme mit sich. Wenn separate Apps getrennte Identitätsverzeichnisse, Berechtigungseinstellungen und Anmeldedaten haben, kann es schnell passieren, dass wichtige Sicherheitsmaßnahmen durch das Raster fallen, zum Beispiel Berechtigungsprüfungen und Deprovisioning.

Das Security Lifecycle Management kann dabei helfen, die Sicherheitsbedrohungen durch schwache Identitäts-, Zugriffs- und Anmeldedatenkontrollen zu minimieren, indem die Verwaltung zentralisiert und Kernprozesse automatisiert werden.

Die Verwaltung menschlicher wie nichtmenschlicher Identitäten in einem System hilft Sicherheitsteams dabei, einheitlichere Zugriffsrichtlinien festzulegen. Automatisiertes Provisioning und Deprovisioning tragen dazu bei, dass diese Richtlinien rechtzeitig und standardisiert angewendet werden.

Die automatisierte Verwaltung von Anmeldedaten trägt dazu bei, dass starke Anmeldedaten verwendet, gesichert und ordnungsgemäß ausgetauscht werden, während Tools zur Erkennung von Anmeldedaten dabei helfen können, nicht verwaltete und ungesicherte Passwörter zur Sanierung zu finden.

Mit der Sitzungsaufzeichnung können Sicherheitsteams alles verfolgen, was Benutzer tun, wodurch sowohl die Durchsetzung von Richtlinien als auch die Reaktion auf Vorfälle optimiert werden. Falls und wenn eine Sicherheitsverletzung eintritt, können Ermittler die Aufzeichnungen nutzen, um zu erkennen, was Hacker mit einem kompromittierten Konto gemacht haben.

Außerdem hilft die Sicherung von Service-to-Service-Verbindungen dabei, eine der wichtigsten Sicherheitslücken in der Software-Lieferkette zu beheben: die Verbindungen zwischen Komponenten in einem System.

Wie Jeff Crume, Distinguished Engineer und Master Inventor bei IBM, im Security Intelligence Podcast sagt:

„Einige der größten Schwachstellen treten an den Schnittstellen zwischen zwei verschiedenen Punkten auf. Meine Komponente mag perfekt sein und Ihre Komponente mag perfekt sein, aber unsere Schnittstelle ist es nicht. Und natürlich werden böswillige Akteure dort angreifen, wo die Schwachstellen sind.“

Kurz gesagt, ein umfassender Ansatz für das Security Lifecycle Management kann einem Unternehmen ein gemeinsames Dokumentationssystem für menschliche und nichtmenschliche Identitäten, Zugangsdaten und Berechtigungen im Ökosystem bieten und so Zero-Trust und das Prinzip der minimalen Berechtigungen unterstützen.

Es ist auch wichtig zu beachten, dass Tools und Praktiken für das Security Lifecycle Management dazu bestimmt sind, die schnelle, innovative Aktivität von DevOps-Pipelines zu unterstützen. Sie können sogar dazu beitragen, diese Prozesse zu optimieren, indem sie den Entwicklern die Verwaltung der Zugangsdaten vollständig abnehmen. Durch die automatische Erstellung, Speicherung, Rotation und den Schutz von Passwörtern kann das Security Lifecycle Management das IT-Ökosystem sichern, ohne dabei im Weg zu stehen.