Wat is privileged access management?

Abonneer je gratis op Techzine!

Privileged access betreft alle accounts met meer toegangsrechten dan een standaardgebruiker. Dit kunnen zowel menselijke, als niet-menselijke gebruikers zijn zoals applicaties en machine-identities. Dankzij privileged access kunnen organisaties hun infrastructuur en applicaties beveiligen, efficiënter zaken doen en de vertrouwelijkheid van gevoelige gegevens en kritieke infrastructuur handhaven. Maar deze voorrechten brengen risico’s mee. Hoe beheer je privileged access effectief?

Voorbeelden van menselijke privileged access accounts zijn superusers zoals systeembeheerders, domeinbeheerders, lokale administrators en firecall of break glass accounts om in noodgevallen bepaalde handelingen te kunnen doen, maar uiteraard ook zakelijke gebruikers die toegang moeten hebben tot financiën, human resources (HR) of marketingsystemen. De niet-menselijke gebruikers worden vaak over het hoofd gezien. Applicatie-accounts om applicaties te beheren en aan te sturen hebben ook vaak verhoogde toegangsrechten. Hetzelfde geldt voor service-accounts om te kunnen communiceren met het OS of configuratie-instellingen. SSH-keys worden ook gebruikt door geautomatiseerde processen. En verder gebruiken DevOps teams natuurlijk secrets, een verzamelnaam voor die SSH-keys, maar ook API-keys en andere credentials om (bevoorrechte) toegang te hebben.

Privileged accounts zijn overal, over het algemeen drie tot vier keer meer dan het aantal werknemers. De privilege-gerelateerde attack surface wordt rap groter met meer systemen, applicaties, machine-to-machine-accounts, cloud- en hybride omgevingen, DevOps, RPA en IoT-apparaten. Hackers weten dit; tegenwoordig ligt bij vrijwel alle aanvallen het misbruik van privileged accounts aan de basis.

Uitdagingen van toegangsbeheer

Privileged access/accounts management (PAM) verwijst naar een uitgebreide cybersecurity-strategie, waarbij mensen, processen en technologie worden samengevoegd om alle menselijke en niet-menselijke bevoorrechte identiteiten en activiteiten in een IT-omgeving van een onderneming te controleren, bewaken, beveiligen en auditen. PAM (ook wel privileged identity management of privileged access security genoemd) gaat uit van het least privilege principe: gebruikers krijgen de minimaal benodigde toegangsrechten om hun werk te doen. Het is een security best practice, verkleint de attack surface en beschermt de accounts met meer rechten.

Er zijn meerdere uitdagingen bij privileged access management. Als eerste het beheer van credentials. Veel IT-organisaties vertrouwen op handmatige, foutgevoelige administratieve processen om privileged accounts te roteren en bij te werken. Dit kan een inefficiënte en kostbare aanpak zijn. Daarnaast kunnen veel bedrijven de activiteiten van privileged accounts niet volgen, laat staan controleren. Bovendien missen ze uitgebreide tools voor het analyseren van bedreigingen en zijn ze niet in staat om proactief verdachte activiteiten te identificeren en beveiligingsincidenten te verhelpen. De opkomst van cloud-platformen (IaaS, PaaS) en SaaS-applicaties en social media heeft het beheer van toegangsrechten en het voldoen aan compliancy-regels complexer gemaakt. Ten slotte is het beschermen van Windows Domain-controllers lastig doordat aanvallers gebruikmaken van kwetsbaarheden in het Kerberos authenticatie-protocol om zich voor te doen als geautoriseerde gebruikers en zo toegang te krijgen tot cruciale IT-resources en vertrouwelijke gegevens.

Meer weten over Privileged Access Management? CyberArk heeft een PAM voor Dummies e-book beschikbaar met praktische tips en slimme inzichten.

Het belang van privileged access management

Mensen zijn de zwakste schakel in een security-systeem. Van interne privileged users die hun toegangsrechten misbruiken tot externe aanvallers die gebruikers targeten en hun credentials stelen om vervolgens als privileged insiders hun doel te bereiken. Privileged access management zorgt ervoor dat mensen alleen de noodzakelijke toegangsrechten hebben om hun werk te doen. Daarnaast kunnen security-teams met PAM malafide activiteiten identificeren die verband houden met misbruik van privileges en snel actie ondernemen om de eventuele gevolgen zo klein mogelijk te houden.

Toegangsrechten zijn nu eenmaal nodig om systemen met elkaar te laten communiceren, en die noodzaak neemt toe met de overgang naar cloud, DevOps, RPA en IoT. Steeds meer machines en apps hebben privileged access nodig, waardoor de attack surface groeit. Deze niet-menselijke entiteiten zijn veel talrijker dan de medewerkers in een gemiddelde organisatie en zijn moeilijker te controleren en te beheren – of zelfs maar te identificeren. Off-the-shelf apps hebben doorgaans toegang nodig tot verschillende delen van het netwerk; toegang die misbruikt kan worden zonder de juiste maatregelen. PAM houdt rekening met toegangsrechten, ongeacht waar deze accounts resideren – in de cloud of hybride omgevingen – en detecteert abnormale activiteiten wanneer ze zich voordoen.

Elk endpoint heeft standaard rechten. Ingebouwde admin accounts zijn handig om problemen lokaal op te lossen, maar ze brengen ook grote risico’s met zich mee. Aanvallers kunnen admin accounts misbruiken en vervolgens van endpoint naar endpoint springen, aanvullende inloggegevens stelen, privileges verhogen en lateraal door het netwerk bewegen totdat ze bereiken wat ze zoeken. Een proactief PAM moet de verwijdering van lokale administratieve rechten op werkstations op zich nemen om deze risico’s te verminderen.

PAM is daarnaast cruciaal voor het voldoen aan compliancy-regels. De mogelijkheid om verdachte gebeurtenissen in een omgeving te volgen en te detecteren is erg belangrijk, maar zonder een duidelijke focus op wat het grootste risico inhoudt – onbeheerde, niet-bewaakte en onbeschermde privileged access – blijft het bedrijf kwetsbaar. Door PAM te implementeren als onderdeel van een alomvattende strategie voor beveiliging en risicobeheer, kunnen organisaties alle activiteiten die verband houden met cruciale IT-infrastructuur en gevoelige informatie registreren en loggen, waardoor ze het voldoen aan audit- en compliance-eisen kunnen vereenvoudigen.

Stappenplan voor privileged access

De eerder genoemde uitdagingen zijn aan te pakken middels verschillende best practices. Om de beveiliging te verbeteren is het van belang de volgende stappen te zetten om PAM in goede banen te leiden.

  • Elimineer onomkeerbare netwerkovernames door aanvallen. Isoleer alle privileged access tot domeincontrollers en andere Tier 0 en Tier 1 systemen en vereis meervoudige verificatie.
  • Beheer en beveilig infrastructuuraccounts. Plaats deze in een centraal beheerde, digitale kluis. Roteer wachtwoorden regelmatig en automatisch na elk gebruik.
  • Beperk laterale beweging door endpoint-users volledig te verwijderen uit de lokale admin groups op Windows-computers om diefstal van inloggegevens tegen te gaan.
  • Bescherm inloggegevens voor externe applicaties. Alle privileged accounts van third party apps moeten in een kluis worden bewaard en hardcoded credentials voor commerciële off-the-shelf toepassingen moeten worden geëlimineerd.
  • Beheer *NIX SSH-keys door alle SSH-key pairs op te slaan op Linux- en Unix-productieservers en ze regelmatig te roteren.
  • Beveilig DevOps-secrets in de cloud en on-site. Beveilig alle Public Cloud privileged accounts, keys en API-keys. Plaats alle credentials en secrets die worden gebruikt door CI / CD-tools als Ansible, Jenkins en Docker in een veilige kluis, zodat ze direct kunnen worden opgehaald, automatisch geroteerd en beheerd.
  • Beveilig SaaS-admins en zakelijke gebruikers met verhoogde toegangsrechten door alle toegang tot gedeelde ID’s te isoleren en multi-factor authenticatie te vereisen.
  • Investeer in periodieke Red Team-oefeningen om de security te testen. Valideer en verbeter de effectiviteit tegen daadwerkelijke aanvallen.

Organisaties die prioriteit geven aan PAM als onderdeel van hun grotere security-strategie, kunnen profiteren van een aantal organisatorische voordelen: Het verminderen van security-risico’s en het verkleinen van de attack surface, het verlagen van operationele kosten en complexiteit, het verbeteren van de zichtbaarheid en het inzicht in de hele IT-omgeving van het bedrijf en het verbeteren van compliancy-regelgeving.

Dit is een ingezonden bijdrage van Renske Galema, Regional Director bij CyberArk. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.