Wat is Privileged Access Management (PAM)?
- IAM-woordenlijst
- Wat is Privileged Access Management (PAM)?
Privileged Access Management (PAM) verwijst naar het beheren en beveiligen van accounts die machtigingen hebben voor sterk vertrouwelijke systemen en gegevens, zoals IT-beheerdersaccounts, salarisbetalingssystemen en codekluizen. Tot de gebruikers die mogelijk geprivilegieerde toegang nodig hebben, behoren systeem- en accountbeheerders, topmanagement, beveiligingspersoneel, HR-professionals en financiële medewerkers.
Niet alle geprivilegieerde gebruikers zijn mensen. Geprivilegieerde aanmeldingsgegevens worden ook vaak gebruikt door systemen en apps, vooral in DevOps-omgevingen. Deze aanmeldingsgegevens worden ook geheimen genoemd.
Naarmate organisaties groter worden, wordt het beheren van geprivilegieerde gebruikers complexer en tijdrovender. Configuratiefouten kunnen dan ernstige gevolgen hebben. Aangezien geprivilegieerde gebruikers toegang hebben tot de meest vertrouwelijke systemen en gegevens van een organisatie, zijn geprivilegieerde aanmeldingsgegevens zeer gewild door cybercriminelen. Verizon schat dat 49% van de beveiligingslekken betrekking heeft op gecompromitteerde geprivilegieerde aanmeldingsgegevens.
Zo kan Privileged Access Management (PAM) cyberrisico's verkleinen
Een PAM-systeem helpt IT-beheerders en beveiligingspersoneel effectief en accuraat geprivilegieerde aanmeldingsgegevens te ordenen, beheren en beveiligen, zodat zij configuratiefouten die mogelijk tot lekken leiden kunnen voorkomen.
Wat is het verschil tussen IAM en PAM?
Identity Access Management (IAM) en PAM zijn gerelateerde maar verschillende concepten. Ze verwijzen allebei naar het beheer van gebruikerstoegang binnen een organisatorische IT-omgeving. IAM is echter een parapluterm, terwijl PAM specifieker is.
IAM houdt zich voornamelijk bezig met het beheer van alle gebruikersaccounts in een organisatie. IAM-oplossingen zorgen ervoor dat alle gebruikers een unieke, vertrouwde digitale identiteit hebben die systeembeheerders kunnen monitoren en beheren gedurende de levenscyclus, waarbij systeembeheerders de mogelijkheid hebben om beleid af te dwingen, wachtwoorden te beheren, multi-factor-authenticatie uit te voeren, activiteiten te monitoren en er Role-Based Access Control (RBAC) is.
PAM is een subset van IAM die zich richt op het controleren van de toegang tot de belangrijkste infrastructuur van een organisatie; de meest vertrouwelijke gegevens en IT-bronnen. Aangezien compromitteren of misbruik van geprivilegieerde accounts catastrofale consequenties kan hebben voor een organisatie, wordt geprivilegieerde gebruikersactiviteit strakker gemonitord dan activiteit door normale systeemgebruikers. PAM heeft vaak besturingsopties zoals verfijnde authenticatie, automatisering en autorisatie, sessie-opnames, auditing en Just-in-Time-toegang.
Voordelen van PAM-oplossingen
Een specifieke PAM-oplossing heeft veel voordelen, waaronder:
Inzicht in alle toegang op een netwerk, app, server en apparaat. PAM-oplossingen geven beheerders volledig inzicht in hun complete dataomgeving, waaronder cloud- en on-premise-systemen en infrastructuur. PAM faciliteert ook het traceren en de controle van alle systemen en apparaten waarvoor geprivilegieerde toegang nodig is om optimaal te functioneren.
Voorkom misbruik of compromitteren van geprivilegieerde aanmeldingsgegevens. PAM-oplossingen beveiligen geprivilegieerde accounts, waardoor het moeilijker is voor externe criminelen om ze te compromitteren of voor interne criminelen om ze te misbruiken.
Vereenvoudig naleving. De meeste regelgevende en nalevingsframeworks vereisen speciaal beheer en auditing voor geprivilegieerde gebruikersaccounts. PAM-oplossingen hebben auditingtools die gebruikerssessies opnemen en organisaties een auditspoor bieden. PAM-oplossingen ondersteunen naleving met frameworks zoals PCI DSS, HIPAA, FDDC, SOX Government Connect en FISMA, waarbij organisaties het principe van minimale privileges moeten gebruiken bij het toekennen van gebruikersmachtigingen.
Verbeterde productiviteit. Uitgebreide PAM-oplossingen stellen systeembeheerders in staat om geprivilegieerde gebruikersaccounts te beheren vanaf een centraal dashboard in plaats van het handmatig moeten configureren van toegang tot individuele systemen of apps, om zo tijd te besparen en de productiviteit te verbeteren voor zowel de IT-medewerkers als de eindgebruikers.
Minder configuratiefouten. Circa 49% van de organisaties heeft gebruikers met meer toegangsprivileges dan nodig om hun functies uit te oefenen, wat een ernstig beveiligingsrisico inhoudt. PAM stroomlijnt het proces van toegangsbeheer, minimaliseert configuratiefouten en zorgt ervoor dat het principe van minimale privileges wordt gevolgd.
Best practices PAM
Net zoals IAM is geprivilegieerde toegangsbeveiliging geen eenmalige klus, maar veel meer een doorlopend proces. Hier zijn een aantal best practices om de toegang tot de kroonjuwelen van uw organisatie veilig te stellen.
Gebruik geprivilegieerde automatiseringswerkstromen (PTA, Privileged Task Automation). PTA staat voor automatiseringsprocessen die geprivilegieerde aanmeldingsgegevens gebruiken of hogere toegang, waardoor naadloos toevoegen en beheer mogelijk worden.
Dwing dynamische, contextgebaseerde toegangscontrole af. Ook wel bekend als just-in-time-toegang is dit een zero-trust-principe waarbij gebruikers net genoeg toegang krijgen tot geprivilegieerde systemen, en alleen op momenten dat dat nodig is. Zo kunt u gecompromitteerde aanmeldingsgegevens voorkomen en kunnen beveiligingsteams automatisch privileges beperken wanneer er een bekende dreiging is.
Controleer de geprivilegieerde activiteiten. Robuuste PAM-oplossingen hebben controle-opties, zoals het vastleggen van toetsaanslagen en het maken van schermafbeeldingen. Het is uitermate belangrijk om gebruik te maken van deze functies om beveiligingsrisico's te detecteren en onderzoeken. Beheerdersaccounts kunnen Privileged Session Management (PSM) implementeren om verdachte activiteiten te identificeren.
Beperk het gebruik van geprivilegieerde accounts tot geprivilegieerde activiteiten. Naast de accounts met geprivilegieerde toegang moeten geprivilegieerde gebruikers geen standaard gebruikersaccounts hebben – en ze moeten zich uitsluitend aanmelden bij hun geprivilegieerde accounts wanneer ze een geprivilegieerde activiteit uitvoeren.
Hanteer best practices op het gebied van wachtwoordbeveiliging. De best practices voor wachtwoordbeveiliging die gelden voor gewone gebruikersaccounts zijn nog belangrijker als het gaat om geprivilegieerde toegang. Alle geprivilegieerde accounts moeten bijvoorbeeld sterke, unieke wachtwoorden hebben en worden beveiligd met multi-factor-authenticatie.
Segmenteer systemen en netwerken. Met netwerksegmentatie voorkomt u dat criminelen zich lateraal binnen een systeem verplaatsen in geval van een lek. Het voorkomt ook dat eindgebruikers onbedoeld systemen en gegevens gebruiken die ze niet nodig hebben om hun functies uit te oefenen.
Veel organisaties implementeren toegang via minimale privileges door de grootste zichtbare risico's te beperken en vervolgens in de loop der tijd de beveiligingspraktijken aan te scherpen, zoals het verwijderen van beheerdersrechten en monitoring van gebruikers te implementeren. Maar de ernstigste beveiligingsrisico's zijn mogelijk niet de meest zichtbare. De meest ideale aanpak is dan ook door een uitgebreide controle uit te voeren van bestaande privilegerisico's en rangproblemen op basis van de dreigingsniveaus.