Privileged Access Management (PAM) of het beschermen van geprivilegieerde toegangsrechten en -gegevens voor kritische infrastructuur en data wordt voor veel bedrijven steeds belangrijker. De Braziliaanse PAM-specialist Senhasegura levert hiervoor een compleet platform dat bedrijven volledig ontzorgt. Techzine sprak onlangs met CEO Marcus Scharra van de Braziliaanse specialist, over waarom PAM zo belangrijk is en welke oplossing zijn bedrijf hiervoor biedt.

Voordat we het over Senhasegura en diens platform hebben, is het interessant eerst te kijken naar wat Privileged Access Management (PAM) in het algemeen is en doet. Wat kunnen bedrijven ermee en waarom hebben zij dit soort oplossingen nodig?

Infrastructuur, applicaties en de bijbehorende data vormen voor bedrijven steeds vaker de bron van al hun activiteiten. Dit betekent dat de toegang tot deze omgevingen voor veel medewerkers steeds belangrijker wordt.

Het gevolg is dat er meer verantwoordelijkheid komt te liggen bij medewerkers die toegang tot alle systemen, applicaties en data hebben om deze naar behoren te laten functioneren. Denk aan algemene IT-beheerders, systeemmedewerkers, netwerkspecialisten, DevOps-medewerkers en natuurlijk het management zelf. Maar tegenwoordig zijn dit ook vaak automatiseringssystemen, API’s en andere software-oplossingen.

Geprivilegieerde rechten

Al deze medewerkers en systemen beschikken over zogenoemde geprivilegieerde toegangsrechten en -gegevens waarmee zij overal en altijd toegang krijgen of kunnen inloggen. Mochten deze medewerkers kwade bedoelingen krijgen, dan kunnen zij veel schade berokkenen. Het is dus noodzakelijk dat bedrijven hun digitale omgevingen, of hun digitale soevereiniteit, tegen dit soort mogelijk interne bedreigingen goed beschermen.

Daarnaast is er ook een externe dreiging. Hackers van buitenaf zijn zeer geïnteresseerd in de geprivilegieerde toegangsrechten en -gegevens van medewerkers, omdat zij zo makkelijker de IT-omgevingen compromitteren. Niet alleen via de medewerkers van het aangevallen bedrijf zelf, maar steeds vaker ook die medewerkers die via de keten toegang hebben tot kritieke systemen en omgevingen van bedrijven.

Tegenwoordig zoeken systemen ook vanuit zichzelf min of meer automatisch toegang tot de kritieke (infrastructuur)systemen van bedrijven. Zeker nu deze massaal naar (public) cloudomgevingen overstappen.

Beschermingsmaatregelen

Bedrijven zoeken daarom naar securityoplossingen die deze geprivilegieerde toegangsrechten en -gegevens tegen al deze bedreigingen kunnen beschermen. PAM-oplossingen zijn hier een goed voorbeeld van.

Vaak gebeurt dit uit verschillende motieven. In de eerste plaats krijgen bedrijven in toenemende mate met wet- en regelgeving voor data, zoals privacy en compliance, te maken. Deze wet- en regelgeving vereist dat zij hun geprivilegieerde toegang streng bewaken, zodat niet-belanghebbenden geen toegang krijgen tot alle gevoelige data.

Een ander motief diende zich aan tijdens de recente pandemie. Ten eerste kregen zij te maken met werknemers die vooral vanuit thuisomgevingen werkten en vandaar, geprivilegieerde, toegang zochten. Hiervoor moesten bedrijven dus extra beschermingsmaatregelen nemen.

Tegelijkertijd stapten veel bedrijven ook over van een on-premises infrastructuur naar een cloudinfrastructuur. Dit betekent dat beveiligingsoplossingen ook vaak geautomatiseerd moeten werken.

PAM-oplossingen worden ook vaak gebruikt voor het tegengaan van cyberaanvallen en het voorkomen van datadiefstal. Op deze manier worden financiële verliezen, imagobeschadiging en diefstal van intellectueel eigendom voorkomen.

Verder worden aan bedrijven ook meer eisen voor het tegengaan van bedreigingen gesteld. Vooral verzekeringsmaatschappijen verplichten bedrijven steeds vaker dit soort maatregelen te nemen. Hiervoor moeten bedrijven dan de juiste tools in plaats hebben die daarbij helpen, zoals PAM-oplossingen.

Samenvattend zorgen PAM-oplossingen eigenlijk voor een betere efficiency voor toegangsrechten en -gegevens en een complete cyber resilience.

Hoe werkt PAM?

PAM is concreet een platform dat bedrijven helpt bij het beveiligen, controleren, beheren en monitoren van geprivilegieerde toegang tot kritische bedrijfs- en IT-omgevingen. Het gaat hierbij om de toegangsrechten die eindgebruikers gebruiken voor kritische bedrijfs- en IT-omgevingen.

Het platform biedt een concrete lifecycle aan functionaliteit, zoals account discovery, netwerkmonitoring, wachtwoorden, beveiligde sessies en toegangsbeheer. Bovendien zorgt de oplossing dat alle toegangsactiviteiten die gebruikers uitvoeren in de gaten worden gehouden en geregistreerd. Dit vanwege auditing-, rapporterings-, verzekerings- en compliance-verplichtingen.

Binnen een PAM-platform worden de toegangsrechten en -gegevens van geprivilegieerde accounts in een veilige omgeving of ‘kluis’ gestopt. Dit voorkomt dat deze worden gestolen of dat er op een andere manier misbruik van wordt gemaakt. Geprivilegieerde gebruikers krijgen vervolgens via het PAM-systeem (geautomatiseerde) toegang tot de rechten en vervolgens tot de systemen en omgevingen. De gebruikers worden hierbij geïdentificeerd en geauthenticeerd en vervolgens worden al hun toegangsactiviteiten gelogd en gemonitord.

Door toegangsrechten en -gegevens op een enkele centrale plaats onder te brengen, zorgen PAM-systemen voor een hoge mate van security, controleren zij wie toegang krijgt, worden alle toegangssessies gelogd en worden de toegangsactiviteiten in de gaten gehouden voor eventueel verdacht en afwijkend gedrag.

Het platform van Senhasegura

Een opkomende leverancier van PAM-oplossingen is het in Sao Paulo, Brazilië, gevestigde Senhasegura. Dit bedrijf is een dochteronderneming van het in 2001 opgerichte bedrijf MT4 en richt zich exclusief op het leveren van een allesomvattend PAM-platform. “We zijn begonnen als een leverancier van software voor high frequency trading op de beurs”, zegt CEO Marcus Scharra. “Vanaf 2012 zijn we aan een PAM-oplossing gaan werken en vanaf 2016 zijn we echt met ons platform een full time PAM-leverancier.”

Marcus Scharra van Senhasegura

Eigenschappen

Het Senhasegura PAM-platform vormt een soort ‘brug’ tussen de verschillende soorten geprivilegieerde eindgebruikers of systemen en aan de andere kant de kritische infrastructuur. “Aan de ene kant van de brug bevinden zich de geprivilegieerde eindgebruikers of systemen”, zegt Scharra. “De overkant wordt gevormd door de kritieke systemen en omgevingen van bedrijven. Bijvoorbeeld de systemen voor geprivilegieerde toegang, (multi) cloudomgevingen, systemen die certificaten beheren en uitgeven, DevOps CI/CD-omgevingen en endpoints.”

Wanneer de diverse eindgebruikers toegang zoeken tot deze kritieke systemen, zet de PAM-oplossing van Senhasegura een omgeving op die de benodigde veiligheidseigenschappen creëert die het bedrijf en de infrastructuur moeten beschermen tegen kwaadaardige acties.

“De oplossing verzorgt in de eerste plaats de identificatie van de eindgebruikers of andere oplossingen en diensten die geprivilegieerde toegang zoeken. Is de persoon die toegang vraagt daadwerkelijk die persoon?”, gaat Scharra verder. “In de volgende stap wordt voor deze geïdentificeerde eindgebruikers daadwerkelijk de toegang gerealiseerd. Vervolgens worden alle activiteiten die de eindgebruikers voor dit systeem of elders binnen de kritische omgeving uitvoeren, als zij daar rechten voor hebben, geregistreerd. Hierdoor kunnen op een later moment alle handelingen worden teruggekeken en worden beoordeeld. Dit geeft mogelijkheden voor latere audits en rapportages voor bijvoorbeeld het claimen van cyberverzekeringen.”

“Daarnaast past onze PAM-oplossing AI-technologie toe die het gedrag van de eindgebruikers, of dit mensen zijn of API’s, analyseert. Deze technologie scant in real time het gedrag op afwijkingen en geeft vervolgens beheerders of security teams een seintje wanneer iets niet in de haak is. Die kunnen hierop actie ondernemen, zoals het direct blokkeren van de toegang tot de betreffende kritische infrastructuuromgeving of het langs sturen van de bedrijfsbeveiliging.”

“Ons platform is zeer transparant opgezet, zodat eindgebruikers altijd weten, nadat het platform binnen een bedrijf is uitgerold, dat zij via Senhasegura de geprivilegieerde toegang krijgen en dat alle activiteiten daarbij worden vastgelegd. Dit doen we natuurlijk ook geheel in overeenstemming met de diverse privacywetgeving, waar ook ter wereld”, geeft de CEO met klem aan.

Extra functionaliteit

Naast deze standaardfunctionaliteit, beschikt de PAM-oplossing ook nog over een grote hoeveelheid andere mogelijkheden die de functionaliteit flink uitbreiden. Eén van de meest interessante eigenschappen is dat het Senhasegura-platform niet alleen helpt bij het bieden van zeer veilige geprivilegieerde toegang, maar ook bij recovery-taken.

Scharra: “Onze oplossing is het enige platform op de markt dat het mogelijk maakt de geprivilegieerde toegangsrechten en -gegevens die zich in de digitale kluis bevinden, op te vragen vanaf een externe locatie. Zodat gebruikers makkelijker met hun recoveryproces kunnen beginnen en zo ook minder downtime hebben.”

“Het Senhasegura-platform versleutelt hiervoor de toegangsrechten en -gegevens en kan deze naar een locatie buiten het platform sturen. Bijvoorbeeld naar de externe backup-locatie van het bedrijf. Dit gebeurt met een uniek extern protocol. Op deze manier is het mogelijk alle data sneller te herstellen dan normaal het geval is. Klanten hebben hiermee altijd een kaart van hun infrastructuur met alle benodigde toegangsrechten en -gegevens. Hierdoor kunnen nieuwe servers bij een herstelproces makkelijk worden verbonden en direct van de oude toegangsrechten worden voorzien.”

“Ook betekent deze mogelijkheid voor het ‘versturen’ van de versleutelde streng beveiligde toegangsrechten en – gegevens naar een externe locatie dat klanten het altijd vrij staat ons te verlaten. Wij hebben geen lock-in en klanten kunnen hun geprivilegieerde toegangsrechten en -gegevens gewoon meennemen als zij voor een andere securityomgeving kiezen. Deze functionaliteit onderscheidt ons sterk van onze concurrenten.”

Andere extra functionaliteit die Senhasegura rondom zijn platform aanbiedt, is onder meer compleet beheer van certificaten en (virtuele) appliances die extra securitylagen toevoegen aan de al bestaande securityinfrastructuur van klanten. Denk bij dit laatste onder andere aan een crypto appliance en een dedicated load balancer voor alle te beveiligen workloads.

Overige voordelen

De voordelen van de PAM -oplossing op technisch vlak zijn duidelijk, maar ook aan de zakelijke kant biedt het platform van de Braziliaanse specialist veel meerwaarde. “Het belangrijkste voordeel is natuurlijk dat het platform bedrijven alles biedt voor een goede ‘cyber resilience’”, vertelt Scharra. “Maar ook bieden wij, in vergelijking met onze concurrenten, de meest lage TCO en een zeer hoge ROI. Daarnaast valt het platform eenvoudig op te zetten en te integreren in zowel cloud- als on-premises omgevingen. Hierdoor is het systeem binnen een uur operationeel, waar andere gelijkwaardige systemen veel meer dagen of weken nodig hebben.”

“Op deze manier kunnen beheerders veel tijd en kosten besparen. Ook kunnen zij vanuit een direct alles beveiligende basic setup rustig meer uitgebreide functionaliteit uitrollen. Last but not least, is ons platform futureproof en kunnen toekomstige toegangs- en infrastructuurmodellen eenvoudig worden toegevoegd en worden opgeschaald. Eindgebruikers hebben daarbij altijd dezelfde gebruikerservaring die zij gewend waren.”

Pijlen op Europa

Na eerst in Zuid-Amerika de markt voor PAM-oplossingen te hebben bestormd en daar marktleider te zijn geworden, richt Senhasegura nu zijn pijlen op de Europese markt. Voor de Braziliaanse specialist zijn hierbij vooral grotere mkb-bedrijven erg interessant. De stap naar Europa gaat onder meer naar de -in de ogen van het bedrijf- belangrijkste markten op ons continent: Nederland en de Duitstalige DACH-regio. Nederland is natuurlijk ook de toegangspoort naar de rest van de Benelux.

Senhasegura doet niet aan directe verkoop van zijn oplossingen. Hierbij werkt het altijd samen via het partner- en resellerkanaal. In Nederland is IT-distributeur van MSP-oplossingen DCC-Nederland de vertegenwoordiger van de PAM-specialist uit Sao Paulo. Ook verkopen twee resellers de producten van Senhasegura. Dit zijn SecurIT uit Amsterdam en Aditus in Hoofddorp.

Interessante ontwikkeling

Senhasegura biedt met zijn PAM-platform bedrijven veel mogelijkheden hun geprivilegieerde toegang voor al hun infrastructuuromgevingen tegen zowel interne als externe kwaadwilllenden te beschermen. Vooral de uitgebreide functionaliteit, waaronder de unieke technologie voor het ‘exporteren’ van de gevoelige toegangsrechten- en gegevens naar een externe locatie en op deze (data)herstelwerkzaamheden sneller en simpeler laten verlopen, is zeer interessant. Met het platform kunnen veel bedrijven, ook die in het mkb-segment, hun cyber resilience vrijwel compleet op orde krijgen.

Daarnaast is het interessant om te zien dat een aanbieder uit een niet traditionele westerse omgeving het aandurft naar de Europese markt te stappen. Het toont aan dat ook in opkomende economische markten, zoals Brazilië, nieuwe bedrijven opstaan die intelligente en hoogwaardige en vooral belangrijke securityoplossingen leveren. We houden daarom Senhasegura de komende tijd goed in de gaten.