Keeper Security gibt mit Freude bekannt, dass Passphrasen jetzt auch für mobile Plattformen auf Android und demnächst auch für iOS unterstützt werden. Damit wird die Erfahrung
Können Sie ein Geheimnis bewahren? Wie wäre es mit der Datenumgebung Ihres Unternehmens?
In IT-Netzwerken umfasst ein „Geheimnis“ alle kompakten Daten, die vertraulich bleiben müssen. In der Regel werden Geheimnisse zur Authentifizierung oder als Eingabe für einen kryptografischen Algorithmus verwendet. Häufig genutzte Geheimnisse beinhalten:
- Anmeldeinformationen für privilegierte Konten
- SSH-Schlüssel
- API- und andere Anwendungsschlüssel sowie Anmeldeinformationen, einschließlich solcher, die in Containern, CI/CD-Systemen, Automatisierungsprozessen, RDP-Software (Remote Desktop Protocol) und Sicherheitssoftware verwendet werden
- Datenbank- und andere System-zu-System-Passwörter
- TLS/SSL und andere private Zertifikate für sichere Kommunikation
- Private Verschlüsselungsschlüssel
Da IT-Netzwerkgeheimnisse Zugriff auf hoch privilegierte Systeme und Daten freigeben, ist der Schutz von Geheimnissen zur Verhinderung von Cyberangriffen genauso wichtig wie der Schutz der Passwörter von Endbenutzern. Rund 75 % der Ransomware-Angriffe umfassen kompromittierte Anmeldeinformationen – meist RDP-Anmeldeinformationen.
Wie Geheimnisse kompromittiert werden
Eine der größten Herausforderungen bei der Verwaltung von Geheimnissen ist die Verbreitung von Geheimnissen. Dazu kommt es, wenn Unternehmen für die Geheimnisverwaltung einen Ad-hoc-Ansatz verwenden. Verschiedene Abteilungen, Teams und sogar Teammitglieder verwalten ihre Geheimnisse selbst.
Ein solcher Ansatz mag auf den ersten Blick vernünftig erscheinen. Nehmen wir als Beispiel eine neue Microsite, die Zugriff auf eine Datenbank benötigt. Der Administrator hat bereits eine Konfigurationsdatei mit sensiblen Daten. Warum also sollte er den Schlüssel für den Datenbankzugriff nicht in derselben Konfigurationsdatei speichern und dann dafür sorgen, dass die Datei geschützt wird? Nun ja … das mag funktionieren, solange das Unternehmen nur relativ wenige Geheimnisse hat, die geschützt werden müssen.
Mit dem Wachstum eines Unternehmens wächst jedoch auch seine Datenumgebung – und nimmt die Zahl der darin gespeicherten Geheimnisse zu. Bevor es das IT-Team merkt, hat sich die Zahl der Geheimnisse vervielfacht – allein SSH-Schlüssel können in die Tausender gehen. Außerdem werden die Geheimnisse ohne bestimmte Ordnung im gesamten Netzwerk verteilt.
Hartkodierte oder eingebettete Anmeldeinformationen sind ein weiteres Hindernis für eine angemessene Verwaltung von Geheimnissen. Viele Softwarelösungen, IoT-Geräte und andere Hardware werden mit hartkodierten Standardanmeldeinformationen ausgeliefert. Wenn solche Geräte und Anwendungen ohne Änderung der Standardanmeldeinformationen bereitgestellt werden, können Cyberkriminelle ganz leicht auf sie zugreifen, indem sie bei Brute-Force-, Wörterbuch- oder anderen Passwortangriffen Scan-Tools verwenden. Zum Teil können sie sogar einfach das Benutzerhandbuch für das Gerät oder die Anwendung konsultieren, das die Standardanmeldeinformationen enthält.
In DevOps-Umgebungen nutzen gängige CI/CD-Pipeline-Tools wie Jenkins, Ansible, Github Actions und Azure DevOps Geheimnisse, um auf Datenbanken, SSH-Server, HTTPS-Dienste und andere sensible Systeme zuzugreifen. Solche Geheimnisse werden entweder in einer Konfigurationsdatei für das Bereitstellungssystem bzw. in einem von einem Dutzend verschiedener Speichertresoren gespeichert, die je nach Produkt alle ganz unterschiedliche Funktionen haben. Bei einem Szenario, in dem Administratoren Anmeldeinformationen nicht in Konfigurationsdateien oder Systemen speichern, werden sie wahrscheinlich in den DevOps-Umgebungen gespeichert. In jedem Fall ist nicht sicher, ob Administratoren die Nutzung der Geheimnisse überwachen bzw. entsprechende Warnungen erhalten können.
Zwar umfassen manche Tools integrierte Secrets Manager, mit denen Unternehmen die hartkodierten/eingebetteten Anmeldeinformationen entfernen können, doch lösen solche Secrets Manager nicht das Problem der ungebremsten Verbreitung von Geheimnissen.
Keeper Secrets Manager: Zero-Trust- und Zero-Knowledge-Sicherheit für Ihre Netzwerkgeheimnisse
Keeper freut sich, die Einführung von Keeper Secrets Manager (KSM) bekannt zu geben, der ersten und einzigen cloudbasierten Zero-Trust– und Zero-Knowledge-Lösung zum Schutz von Infrastrukturgeheimnissen. Keeper Secrets Manager wird vollständig verwaltet und beruht auf einer neuen, zum Patent angemeldeten Sicherheitsarchitektur. Darüber hinaus basiert die Lösung auf demselben Zero-Knowledge-Sicherheitsmodell wie die Enterprise Password Management (EPM)-Plattform von Keeper, die Spitzenbewertungen erhält.
Bei Keeper Secrets Manager rufen alle Server, CI/CD-Pipelines, Entwicklerumgebungen und Quellcodes Geheimnisse von einem sicheren API-Endpunkt ab. Jedes Geheimnis wird mit einem 256-Bit-AES-Schlüssel verschlüsselt – und dann mit einem weiteren AES-256-Anwendungsschlüssel erneut verschlüsselt. Das Clientgerät ruft verschlüsselten Geheimtext aus der Keeper-Cloud ab. Dabei werden Geheimnisse lokal auf dem Gerät entschlüsselt und genutzt – nicht auf den Servern von Keeper.
Ready to see Keeper Secrets Manager for yourself?
Darüber hinaus werden alle Serveranfragen zusätzlich zu TLS mit einem AES-256-Übertragungsschlüssel verschlüsselt, um MITM- oder Replay-Angriffe zu verhindern. Wenn Sie mitrechnen, sind das ziemlich viele Verschlüsselungsschlüssel! Diese mehrschichtige Kryptografielösung wird transparent über unsere clientseitigen SDKs gehandhabt, die sich leicht in jede Umgebung integrieren lassen.
Während konkurrierende Lösungen für die Verwaltung von Geheimnissen erfordern, dass Kunden spezielle Hardware kaufen, einen Proxy-Dienst installieren oder einen bestimmten Cloud-Dienstanbieter verwenden, lässt sich Keeper Secrets Manager nahtlos in fast jede Datenumgebung integrieren, ohne dass zusätzliche Hardware oder eine in der Cloud gehostete Infrastruktur benötigt werden. KSM bietet sofort einsatzbereite Integrationen mit einer Vielzahl von DevOps-Tools, einschließlich Github Actions, Kubernetes, Ansible und mehr.
Keeper Secrets Manager ist eine natürliche Erweiterung des Keeper Enterprise Password Manager (EPM). KPM ist in den Web-Tresor, die Desktop-App und die Adminkonsole von Keeper integriert und beinhaltet Integrationen in das Modul für erweiterte Berichterstattung und Warnungen von Keeper, BreachWatch, Webhooks, SIEM-Systeme und Compliance-Tools. Zum Beispiel werden alle hartkodierten oder eingebetteten Anmeldeinformationen, die im Keeper-Tresor eines Unternehmens gespeichert werden, BreachWatch-Scans unterzogen. IT-Administratoren werden sofort benachrichtigt, wenn entsprechende Anmeldeinformationen kompromittiert werden.
Erfahren Sie mehr über Keeper Secrets Manager und vereinbaren Sie eine Demo!