PAM en IGA: een solide duo om je data te beveiligen

Abonneer je gratis op Techzine!

Hackers en andere cybercriminelen zitten nooit stil. Ze verbeteren continu hun methoden en technieken om beveiligingsperimeters te doorbreken, waardoor ze toegang krijgen tot zeer gevoelige en lucratieve informatie. Elk jaar zien we een stijging van security-incidenten met gestolen inloggegevens. Cybercriminelen proberen meer dan ooit aan inloggegevens te komen met behulp van malware, social engineering, phishing en tal van andere tactieken.

Om bedrijfskritische systemen en applicaties te beschermen, kiezen veel organisaties ervoor om Privileged Access Management (PAM) en Identity Governance and Administration (IGA) systemen te implementeren. Dat gebeurt veelal afzonderlijk en geïsoleerd. Het is echter een gemiste kans als beide systemen geïsoleerd van elkaar blijven.

Wat is IAM?

Onder Identity and Access Management (IAM) vallen de navolgende disciplines:

  • Access Management;
  • Privileged Access Management;
  • Privileged Identity Management;
  • Identity Management;
  • Identity Governance and Administration.

Zoals gedefinieerd door analistenbureau Gartner, is IAM: “De beveiligingsdiscipline die de juiste personen in staat stelt om op het juiste moment toegang te krijgen tot de juiste resources om de juiste redenen.” Met IAM-oplossingen kunt u identiteiten maken en beheren voor de gebruikers van uw organisatie en de toegang beheren die ze moeten hebben tot de systemen en data van uw organisatie.

Rol van access management

AM richt zich op de toegang (op afstand) tot informatiesystemen voor klanten, medewerkers en systemen, waarbij deze gebruikers zich moeten authentiseren op verschillende wijzen. Meestal gebeurt dit via een gebruikersnaam en een wachtwoord, maar tegenwoordig is sterke authenticatie / multi-factor authenticatie (MFA) in opkomst. Hierbij moet een gebruiker nog een extra verificatie doen via bijvoorbeeld een sms, hardware token (RSA SecurID) of een software token/app (Microsoft Authenticator). Voor reguliere accounts, zoals e-mail of Office 365, gebruiken organisaties veelal een AM oplossing. Voor de meer kritische accounts is er PAM. Met PAM vereenvoudig je het beheer van geprivilegieerde toegang tot IT-systemen, -applicaties en -infrastructuur.

Wat is PAM?

Privileged Access Management is een toegangsbeheersysteem voor speciale accounts met verhoogde rechten, zogenaamde privileged accounts. Hierbij neemt de PAM oplossing het beheer van de wachtwoorden en sleutels van diverse soorten privileged accounts weg bij beheerders en worden deze credentials veilig opgeslagen in een digitale kluis. Voorbeelden van soorten privileged accounts zijn root/administrator accounts, systeemaccounts, service accounts en applicatiebeheer-accounts.

Met name het beheren van niet-persoonsgebonden privileged accounts, zoals service accounts en built-in Administrator accounts worden gemakkelijk vergeten. Een inbreuk op dit soort privileged accounts kan voor een langere periode onopgemerkt blijven, met ernstige gevolgen als PAM niet geïmplementeerd is.

PAM zorgt ervoor dat de credentials van deze privileged accounts op regelmatige basis worden vervangen, zodat de kans op misbruik van privileged accounts en daarmee ransomware, potentiële datalekken of andere cybercriminaliteit tot een minimum wordt beperkt.

Daarnaast faciliteert PAM bij het opzetten van een veilige beheerverbinding (privileged session) naar doelsystemen via een proxy server ook wel stepping stone of jump server genaamd. Enkele taken van deze proxy server:

  • Isoleren van de privileged session tussen de gebruiker en de doelsystemen;
  • Opvragen van het benodigde credential uit de digitale kluis om deze te injecteren;
  • Monitoren van de privileged session.

Alle gebruik van privileged accounts wordt door PAM vastgelegd, zodat later aangetoond kan worden welke gebruiker op welk moment privileged access heeft gehad. Daarnaast worden privileged sessions beveiligd, bewaakt en (optioneel) opgenomen.

Met PAM worden de beveiligingsrisico’s rondom het gebruik van beheeraccounts geminimaliseerd. Uw organisatie voldoet aantoonbaar aan (inter)nationale wet- en regelgeving (Wbni, GDPR, SOX, EBA) gebaseerd op bestaande Europese of internationaal aanvaarde normen, standaarden en/of richtlijnen voor de beveiliging van netwerk- en informatiesystemen (o.a. ISO/IEC 27002, NIST SP 800-53r4, CIS Controls).

Een veel voorkomende misvatting is dat PAM (verhoogde) rechten uitgeeft/intrekt en daarmee least privileges kan afdwingen. Dit is echter een taak van IGA.

Wat is IGA?

Identity Governance and Administration voegt additionele bewakings- en rapportage-mogelijkheden toe aan Identity Management (IdM) om compliance aan te tonen. IGA biedt meer inzicht in de identiteiten en toegangsrechten van gebruikers, zodat gecontroleerd kan worden wie welke toegangsrechten heeft tot welke systemen. IGA automatiseert het account lifecycle management en het beheer van rollen en rechten van individuele gebruikers.

Met IGA kunnen organisaties sneller nieuwe medewerkers onboarden en deze voorzien van de juiste accounts met de juiste toegangsrechten die behoort bij hun rol binnen de organisatie. Indien een medewerker binnen de organisatie van functie of plaats in de organisatie veranderd, regelt IGA automatisch het toevoegen van accounts in nieuwe systemen (provisioning) en/of het aanpassen toegangsrechten. Zonder IGA zullen overbodige toegangsrechten in veel gevallen niet ingetrokken worden. Indien een medewerker de organisatie verlaat, verwijderd IGA alle accounts van systemen en applicaties.

Een veel voorkomende misvatting is dat IdM/IGA tools inzicht geven wie op welk moment toegang heeft gehad tot bepaalde informatiesystemen en bronnen. Dit inzicht kan wel door (P)AM oplossingen geleverd.

IGA en PAM combineren

Veel organisaties gebruiken PAM en IGA zoals gezegd apart van elkaar. Maar juist door deze oplossingen te combineren wordt meer voordeel uit beide voorzieningen gehaald. Met een geïntegreerde aanpak bent u veel beter in control over autorisaties. Met een integrale benadering is een aanvraag voor een privileged account heel eenvoudig te beheren binnen parameters van de vastgestelde IGA-policies. Alle toegangsaanvragen en goedkeuringen maken deel uit van één enkele goedkeuringsketen. Dat scheelt heel veel handmatig werk en maakt daarnaast audits eenvoudiger.

Voordelen van het combineren van IGA en PAM:

  • Eén centraal punt voor verstrekken en intrekken van toegangsrechten binnen de organisatie.
  • Zekerheid dat privileged access wordt uitgevoerd conform het geldende beleid.
  • Eenvoudigere detectie van inconsistenties in toegangsautorisaties, waaronder onjuiste functiescheiding (Separation of Duties) en/of niet voldoen aan rolgebaseerde toegangsbeperkingen.
  • Gestroomlijnd proces van onboarding, move en off-boarding van alle gebruikers, zowel intern als extern.
  • PAM kan de beheertoegang van het IGA-tool beschermen en beveiligen.
  • IGA kan de automatische on/offboarding van accounts in PAM verzorgen.

Dit is een ingezonden bijdrage van Alex Heijdenrijk, Senior Information Security Consultant bij Traxion. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.