Wie Passwort-Manager Organisationen helfen, Datenschutzverletzungen zu verhindern

Sehen Sie sich hier alle On-Demand-Sitzungen vom Smart Security Summit an.


Angreifer starten weiterhin aggressive Angriffe auf Unternehmensnetzwerke und kombinieren Techniken, um Passwörter und privilegierte Zugangsdaten zu stehlen. Schwankungen und Redundanzen treten in einer Geschwindigkeit auf, die es für unter Druck stehende Organisationen sehr schwierig macht, damit umzugehen. Passwortverwaltung kann helfen.

Gestohlene Zugangsdaten und Passwörter sind das Herzstück der meisten interaktiven Hacks und niemand ist immun dagegen.

Angreifer, cyberkriminelle Banden und Advanced Persistent Threat (APT)-Gruppen verstärken ihre Bemühungen, Passwörter und Zugangsdaten für privilegierte Zugriffe zu stehlen, indem sie sich auf Führungskräfte der C-Ebene konzentrieren.Der Sicherheitswarnbericht 2023 von Ivanti ergab, dass Führungskräfte der C-Ebene mindestens viermal infiziert sind im Vergleich zu anderen Mitarbeitern eher Opfer von Phishing werden.

Fast ein Drittel der CEOs und Mitglieder der Geschäftsleitung sind Opfer von Walfangangriffen geworden, entweder durch das Klicken auf einen Link oder das Senden von Geld.

Es passierte

Der Gipfel intelligenter Sicherheit auf Abruf

Erfahren Sie mehr über die entscheidende Rolle von KI und maschinellem Lernen in der Cybersicherheit und branchenspezifische Fallstudien. Sehen Sie sich noch heute Sitzungen auf Abruf an.

Schau hier

Angriffe auf Identity Access Management (IAM)-Systeme und Passwortmanager der Enterprise-Klasse, darunter mehrere Angriffe auf LastPass, bei denen 25 Millionen Benutzeridentitäten kompromittiert wurden, zeigen, dass Identitäten die Angriffsfläche der Wahl für Angreifer sind. “Schwache und gemeinsam genutzte Passwörter, Fehlkonfigurationen und Schwachstellen sind Probleme, die die Branche seit Jahren plagen und bis heute andauern. Was sich geändert hat, ist die Geschwindigkeit und Raffinesse, mit der die heutigen Gegner diese Schwachstellen zur Waffe machen können”, schreibt George Kurtz, Gründer und CEO von CrowdStrike .

Die Passwortverwaltung gewinnt in mittelständischen Unternehmen an Vertrauen

Bei Unternehmen mit einem Jahresumsatz von 50 Millionen US-Dollar oder weniger ist die Passwortverwaltung abhängig von der Größe des Gesamtsicherheitsbudgets eher isoliert. Kleine und mittlere Unternehmen (KMU) beginnen oft mit Passwortverwaltung und Multi-Faktor-Authentifizierung (MFA). Sobald die Angriffsversuche zunehmen, wird es noch wichtiger, eine Managed Detection and Response (MDR)-Lösung zu finden.

Unsere Gespräche zeigen, dass die vertrauenswürdigsten Passwort-Manager für kleine Unternehmen 1Password Business, Ivanti Password Director, NordPass, Keeper Enterprise Password Management, Specops Software Password Management, Bitwarden und Authlogics Password Security Management sind. Zwei weitere Passwort-Manager, ManageEngine ADSelfService Plus und ManageEngine Password Manager Pro, sind ebenfalls in kleineren Organisationen beliebt und wurden von APT-Angreifern ins Visier genommen. CISA gab die Warnung APT Actors Exploating Newly Identified Vulnerability in ManageEngine ADSelfService Plus im Jahr 2021 heraus und warnte vor Schwachstellen.

Kleine und mittelständische Unternehmen mit Jahresumsätzen in der Größenordnung von 50 Millionen US-Dollar stehen vor einer einzigartigen Reihe von Sicherheitsherausforderungen, die die Kennwortverwaltung allein nicht lösen kann. CrowdStrike hat kürzlich die Ergebnisse einer Umfrage veröffentlicht, die die größten Cybersicherheitsherausforderungen für kleine und mittlere Unternehmen identifiziert. Die Umfrage bestätigte, dass Cyberkriminelle zunehmend kleine und mittlere Unternehmen ins Visier nehmen, da sie weichere Ziele darstellen als große Unternehmen. IT- und Sicherheitsführer mittlerer Größe sagten gegenüber VentureBeat, dass sie MDR einführen, um die Vorteile von künstlicher Intelligenz (KI), maschinellem Lernen (ML) und menschlicher Erfahrung zu nutzen.

KMU wollen über die Passwortverwaltung hinausgehen und rund um die Uhr Cybersicherheitsüberwachung, Reaktion und Behebung sowie Zugang zu erfahrenen Analysten erhalten, um die Verletzung schnell zu identifizieren und zu stoppen.

In großen Unternehmen mit einem Umsatz von über 1 Milliarde US-Dollar ist die Passwortverwaltung ein wesentlicher Bestandteil der Privileged Access Management (PAM)-Pläne und -Strategien von CISO. Die zuverlässigsten Passwortverwaltungssysteme bieten oft eine Integration auf API-Ebene mit IAM- und PAM-Systemen. CISO möchte Echtzeit-Telemetriedaten, um potenzielle Einbruchs- oder Verletzungsrisiken zu identifizieren.

Unternehmen finden vertrauenswürdige Passwort-Manager unter den folgenden Anbietern von Passwort-Managern, basierend auf Gesprächen mit CISOs in der Versicherungs-, Finanzdienstleistungs-, IT-, Fertigungs- und professionellen Dienstleistungsbranche.

1 Passwort

1Password Business ist eine beliebte Wahl im IT- und Finanzdienstleistungsbereich und erhält gute Noten von CISOs, die die automatische Sicherung und Synchronisierung auf mehreren Geräten unabhängig vom Betriebssystem zu schätzen wissen. Für eine virtuelle Belegschaft, die auf mehreren Android-, Windows- und Apple iOS-Geräten läuft, spart 1Password den IT-Servicedesks Hunderte von Stunden pro Jahr an Konfigurationsanrufen und Online-Sitzungen, so ein aktuelles Interview mit VentureBeat mit einem Finanzdienstleistungs-CISO.

Unternehmen, die 1Password Business verwenden, sagen, dass die MFA-Funktionen intuitiv sind und dazu beitragen, die Nutzung durch die weltweite Mitarbeiterbasis des Unternehmens zu erhöhen. Tresor- und URL-Verschlüsselungen sind weitere Faktoren, warum Unternehmen 1Password Business gegenüber anderen Passwortverwaltungssystemen vertrauen. Es gilt als einer der am intuitivsten gestalteten Passwort-Manager, der die heutigen Organisationen skalieren kann.

1Password Insights bietet eine benutzerfreundliche Oberfläche, um potenzielle Risiken und den Status der unternehmensweiten Passwortverwaltung schnell zu identifizieren. Quelle: 1Password.

Bitwächter

Bitwarden hat eine umfangreiche Verwendung für Unternehmensentwicklerteams in den Branchen Versicherungen, IT, Finanzdienstleistungen und professionelle Dienstleistungen gefunden. Das Bitwarden Chrome-Plugin enthält einen intuitiv gestalteten Passwortgenerator und -manager, der sich gut in Entwicklungsumgebungen skalieren lässt, ohne die Produktivität der Ingenieure zu beeinträchtigen. Laut CISO hat man sich für Bitwarden entschieden, um die Markteinführungszeit für die interne Einführung einer Passwortverwaltungslösung zu verkürzen und gleichzeitig über Optionen zur Passwortgenerierung zu verfügen, die interne und behördliche Compliance-Anforderungen erfüllen. Bitwarden hat sich in Organisationen einen guten Ruf für seine qualitativ hochwertige Arbeit über mehrere Geräte und Betriebssysteme hinweg erworben, wodurch die Arbeitsbelastung von IT-Supportbüros und -teams reduziert wird. Die kostenlose Version von Bitwarden für den persönlichen Gebrauch ist eine Überlegung wert, wenn Sie noch keinen Passwort-Manager verwenden.

Bitwarden wird häufig von Entwicklerteams verwendet, die sich auf ihren Passwortgenerator und seine Skalierbarkeit verlassen, um den Zugriff auf geschützte interne Websites, Slack-Kanäle und interne Entwicklungsressourcen zu vereinfachen. Quelle: Bitwarden.

Bravour

Als einer der am besten skalierbaren und anpassbaren Passwort-Manager für Unternehmen geben CISOs und Sicherheitsexperten Bravura Security Pass gute Noten für die einfache Anpassung. Bravura stellt auch seine eigene Entwicklungssprache zur Verfügung, mit der Kunden Security Pass an ihre individuellen Anforderungen anpassen können. IT-Führungskräfte wissen zu schätzen, wie wartungsarm ein einmal konfigurierter Passwort-Manager ist und wie zuverlässig die Passwort-Randomisierung ist. Alle CIOs und IT-Führungskräfte, mit denen VentureBeat über den Bravura Pass sprach, verwenden ebenfalls den MFA-Ansatz und stellten fest, dass der Prozess zur Zusammenführung der beiden von Bravura gut dokumentiert und unterstützt wurde.

Benutzerbild

Das Identity Anywhere-Passwortmanagement von Avatier wurde für den Betrieb in Cloud-gehosteten und nicht gehosteten Umgebungen entwickelt, was Unternehmen als Vorteil ansehen, wenn sie in ihrem gesamten Technologie-Stack die gleiche Sicherheitsbewertung haben. Avatier hat von führenden IT- und Sicherheitsexperten gute Noten für Integrationsoptionen und Auswahlmöglichkeiten für die beste Methode zur Benutzerauthentifizierung erhalten, wenn man den bestehenden Sicherheits-Stack und die Arbeitsabläufe des Unternehmens berücksichtigt. Was diesen zu einem der vertrauenswürdigsten Passwort-Manager auf dem Markt macht, ist, wie gut er Passwörter synchronisieren kann, nachdem er sie über lokale Systeme hinweg zusammengeführt hat. CISO teilte VentureBeat mit, dass Identity Anywhere auch IT-Helpdesk-Tickets reduziert, indem es hervorragende Kennwortrücksetzungen und Authentifizierungsunterstützung bietet.

Das Standard-Framework und die Services von Avatier ermöglichen mehrsprachigen Support in allen Organisationen und bieten gleichzeitig die Möglichkeit, eine unbegrenzte Anzahl von Identitätskonnektoren und Service-Desk-Ticketsystemen zu unterstützen. Quelle: Avatier.

bewachen

Keeper Enterprise Password Manager ist einer der vertrauenswürdigsten Passwort-Manager für Unternehmen, da er sich im Laufe der Zeit in komplexen Konfigurationen bewährt hat, die die Skalierbarkeit und Geschwindigkeit des Systems testen. Beispielsweise sagte ein Informationssicherheits-CISO eines führenden Versicherungsunternehmens gegenüber VentureBeat, dass die Integration mit SSO zum Schutz ihrer Cloud-basierten persönlichen Produktivitätsanwendungen mit Keeper dazu beigetragen hat, mehr als 5.000 Office365-Benutzer sofort zu schützen.

Keeper erhält auch gute Noten für seine Unterstützung für Warnungen, Sitzungsüberwachung und Berichterstellung. IT-Führungskräfte wissen zu schätzen, dass die Roadmap mehr IAM- und PAM-Funktionen bereitstellt. IT-Führungskräfte sagen, dass die Sicherheitsüberprüfungsfunktion, die die Passwortstärke aufzeichnet, dabei hilft, Mitarbeiter darin zu schulen, effektivere Passwörter zu generieren und gleichzeitig schwache Passwörter auf Infrastrukturebene zu erkennen.

Das Sicherheitsaudit von Keeper hat sich als nützliches Schulungstool bei der Erkennung schwacher Passwörter sowohl auf Verwaltungs- als auch auf Infrastrukturebene erwiesen. Quelle: Halter.

Segelpunkt

Laut den von VentureBeat befragten Kunden ist SailPoint Password Management für sein vereinfachtes Cloud-Implementierungssystem bekannt und wird von Unternehmens-IT-Führungskräften, die es häufig mit SSO und anderen identitätsbasierten Authentifizierungssystemen integrieren, als einer der vertrauenswürdigsten Passwort-Manager angesehen. SailPoint hat den Ruf, zuverlässig zu arbeiten und Dashboards zu haben, die intuitiv genug sind, um ohne umfangreiche Schulung oder Einstellung eines Experten konfiguriert zu werden. Das System synchronisiert Passwörter zuverlässig und trägt dazu bei, IT-Helpdesk-Anrufe mit einer Funktion zum Zurücksetzen von Passwörtern zu reduzieren, die keine Administratorbeteiligung erfordert.

Der Passwortmanager von SailPoint ist Teil der Identity Security Platform, die entwickelt wurde, um datengesteuerte Identitätssicherheit und -intelligenz bereitzustellen. Systems and Health Check bietet einen Überblick über Aktivitäten und wichtige Warnungen. Quelle: SailPoint.

Spezifikationen

Laut CISO in IT Services ist Specops Software Password Management eines der vertrauenswürdigsten unternehmensweiten Passwortverwaltungssysteme, da es Richtlinien zuverlässig nach Benutzerkontotyp und -gruppe festlegt und so die Einhaltung sicherstellt. Specops vergleicht Passwörter mit Datenbanken kompromittierter Passwörter und stellt sicher, dass keine unternehmensweit verwendet werden. Dies ist eine große Erleichterung für IT-Führungskräfte und Cybersicherheitsteams, die daran interessiert sind, gehackte Passwörter in ihren Netzwerken zu verbreiten. IT-Führungskräfte sagen auch, dass die Fähigkeit des Systems, Resets zu handhaben, es zu einem der zuverlässigsten macht, die sie je gesehen haben, zusammen mit der Einfachheit des Anwendungsdesigns.

Specops verdient das Vertrauen von IT-Führungskräften dadurch, wie genau sein System Kennwortrichtlinien unterstützt und die Einhaltung von Vorschriften in großem Maßstab ermöglicht. Quelle: Specops.

CISOs müssen für eine passwortlose Zukunft planen

Angriffe, die darauf abzielen, Passwörter zu erhalten, scheinen ein Handel mit dem stillschweigenden Vertrauen zu sein, das in Unternehmensnetzwerken verfügbar ist. Sobald der Zugriff erfolgt ist, können sich Angreifer unbemerkt frei durch Netzwerke bewegen. „Trotz des Aufkommens passwortloser Authentifizierung bleiben Passwörter in vielen Anwendungsfällen bestehen und bleiben eine wichtige Quelle für Risiken und Frustration bei Benutzern“, schreiben Ant Allan, VP Analyst, und James Hoover, Principal Analyst im Gartner IAM Leaders’ Guide to User Authentication.

Verantwortliche für Cybersicherheit müssen darüber nachdenken, wie sie sich letztendlich von einer übermäßigen Abhängigkeit von Passwörtern lösen und einen vertrauensbasierteren Ansatz zur Sicherung von Identitäten in ihren Organisationen verfolgen können. Gartner prognostiziert, dass bis 2025 mehr als 50 % der Belegschaft und mehr als 20 % der Kundenauthentifizierungstransaktionen passwortlos sein werden, gegenüber weniger als 10 % heute.

Was wir brauchen, sind passwortlose Authentifizierungssysteme, die sehr einfach sind, die Benutzer nicht frustrieren und gleichzeitig eine adaptive Authentifizierung auf jedem Gerät bieten. Fast Identity Online 2 (FIDO2) ist einer der führenden Standards in der Authentifizierung. Wir gehen davon aus, dass im nächsten Jahr weitere IAM- und PAM-Anbieter ihre Unterstützung für FIDO2 erweitern werden.

Zu den führenden Anbietern passwortloser Authentifizierungslösungen gehören Microsoft Authenticator, Okta, Duo Security, Auth0, Yubico und Zero Sign-On (ZSO) von Ivanti. Unter diesen ist der Ansatz von Avanti, die passwortlose Authentifizierung mit keinem Vertrauen zu kombinieren, bemerkenswert. Ivantis ZSO ist Teil der Unified Endpoint Management-Plattform und verwendet Biometrie, einschließlich Apples Face ID, als sekundären Authentifizierungsfaktor für den Zugriff auf Unternehmens- und Privatkonten, -daten und -systeme.

Die Mission von VentureBeat Es soll die digitale Stadtarena für technische Entscheider sein, um sich Wissen über die Technologie von Transformations- und Transaktionsunternehmen anzueignen. Entdecken Sie unsere Briefings.

William

Leave a Reply

Your email address will not be published. Required fields are marked *