PAM, of Privileged Access Management, is een technologie die bedrijven nodig hebben om hun data en systemen in deze snel veranderende wereld optimaal te beveiligen. Zeker nu het door de opmars van cloud en mobiele applicaties niet langer mogelijk is om een perimeter op te trekken rond de meest kritieke assets van de organisatie. Technologie alleen is echter niet voldoende. Voor de implementatie van PAM moet er ook een sterk beleid rond geprivilegieerde accounts komen.
Om PAM uit te rollen, zijn dit zeven essentiële vragen die je moet stellen:
1. Welke geprivilegieerde accounts zijn er in jouw organisatie?
Elk bedrijf is anders en daarom moet je eerst alle geprivilegieerde accounts in de organisatie in kaart brengen. Welke accounts houden een hoger risico in en hoe verhouden ze zich tot de activiteiten van het bedrijf? Zodra je voldoende zichtbaarheid hebt, kan je betere beslissingen nemen en de juiste securitycontroles instellen.
2. Wie heeft toegang nodig tot geprivilegieerde accounts?
Er zijn verschillende soorten geprivilegieerde accounts. Sommige hebben betrekking op menselijke gebruikers, andere op applicaties, systemen of infrastructuur. Als je de accounts op basis hiervan in groepen verdeelt, kan je het niveau bepalen van de interactie en de securitycontroles die op elk account van toepassing zijn. Moeten menselijke gebruikers bijvoorbeeld beheerrechten op hun laptop hebben? Moeten ze voor het openen van bepaalde toepassingen het wachtwoord kennen en weten hoe vaak het roteert, of kan het systeem transparant toegang verlenen?
Soms schuilt het grootste risico op inbreuken niet in de organisatie, maar in de toeleveringsketen.
Vincent Malfroid, Business Development Manager Arrow Electronics
Soms schuilt het grootste risico op inbreuken niet in de organisatie, maar in de toeleveringsketen. Als derde partijen toegang krijgen tot geprivilegieerde accounts, heb je geen controle meer over de manier waarop ze die accounts gebruiken. Bij misbruik kan veel gevoelige data in het openbaar terechtkomen. Het is goed om weten dat enkele van de meest beroemde data-inbreuken het gevolg waren van een aanval via de toeleveringsketen. Zorg er dus voor dat je zeker ziet welke externe partijen gebruik kunnen maken van geprivilegieerde accounts.
3. Kan je tijdsvensters instellen voor het gebruik van geprivilegieerde accounts?
Je moet een duidelijk beeld hebben van wat wanneer wordt geopend. Sommige boekhoudsystemen worden bijvoorbeeld enkel op het einde van een maand of kwartaal gebruikt. Back-upsystemen draaien op vooraf ingestelde momenten. En integratievalidatie en kwetsbaarheidsscans zijn meestal het gevolg van een op voorhand geplande penetratietest. Dankzij dit soort informatie weet je wanneer toegang tot een geprivilegieerd account vereist is. Deze tijdsvensters maken het mogelijk om snel te zien welk gedrag normaal lijkt en wat kan wijzen op misbruik van een account.
4. Wat doe je als een geprivilegieerd account in handen van een hacker valt?
Veel organisaties zijn niet voorbereid en hebben geen incident responseplan voor situaties waarin een geprivilegieerd account gecompromitteerd wordt. Vaak beperken ze zich tot het vervangen van het wachtwoord of het afsluiten van het getroffen account. Maar dat is niet voldoende. Zodra cybercriminelen een geprivilegieerd account in handen krijgen, kunnen ze dit gebruiken om nog meer privileges te krijgen, data te stelen, malware te installeren en hun sporen uit te wissen.
Stel bijvoorbeeld dat het account van een domeinbeheerder gehackt is, dan moet je ervan uitgaan dat de volledige active directory kwetsbaar is en moet worden hersteld. Doe je dat niet, dan riskeer je een achterpoortje waarlangs hackers kunnen terugkeren om meer schade aan te richten.
5. Hoe groot is het risico dat een account door een insider misbruikt wordt?
Misbruik door interne gebruikers kan minstens even verwoestend zijn als een aanval van buitenaf. De meeste medewerkers hoeven geen toegang te hebben tot alle kritieke systemen (productiesystemen, back-upsystemen, financiële systemen) in de organisatie. Geef daarom enkel toegang tot systemen die ze echt nodig hebben voor hun taken. Vergeet die toegang ook zeker niet af te sluiten wanneer iemand een nieuwe rol in de organisatie krijgt en de geprivilegieerde accounts van z’n oude rol dus niet meer gebruikt.
6. Moet je organisatie aan bepaalde regels voldoen?
Afhankelijk van de sector en het bedrijf moeten sommige organisaties regelmatig audits ondergaan, aantonen dat ze aan de regelgeving voldoen en bewijzen dat de geprivilegieerde accounts voldoende beveiligd zijn. Zeker als die accounts cybercriminelen toegang kunnen geven tot gevoelige informatie en persoonsgegevens.
7. Maken geprivilegieerde accounts expliciet deel uit van je IT-securitybeleid?
De meeste organisaties beschikken intussen wel over een IT-securitybeleid, maar vaak ontbreekt het daarin nog aan een omschrijving van het gebruik en de verantwoordelijkheden van geprivilegieerde accounts. Bepaal altijd wat aanvaardbaar is op het gebied van gebruik, welke verantwoordelijkheden vasthangen aan geprivilegieerde accounts en wat er moet gebeuren in het geval van een anomalie. Als dit goed geformuleerd is, wordt het na een incident gemakkelijker om de basisoorzaak van een aanval te achterhalen en te ontdekken wat je moet doen om toekomstige incidenten te voorkomen.
Zodra je de bovenstaande vragen beantwoord hebt, kan je investeren in technologie die je PAM-beleid versterkt. In het laatste artikel van deze driedelige reeks ontdek je waarom security een onderdeel moet worden van de cultuur van de organisatie en gaan we dieper in op het menselijke aspect van een sterk securitybeleid voor geprivilegieerde accounts.
Dit artikel is een ingezonden bijdrage van Vincent Malfroid, Business Development Manager bij Arrow Electronics. Ontdek hier hoe Arrow en de software van Delinea je helpen bij de uitrol van een doeltreffend PAM-beleid.