Accounts met speciale rechten: dicht dit gevaarlijke gat in je ICT-beveiliging

  1. 9 sep 2016
  2. 0 reacties
dave-vijzelman

Wat is Privileged Account Management?

PAM wordt ook wel ‘privileged identity management’ of ‘privileged access management’ genoemd. Het richt zich op het beheer en de controle van de toegang tot beheerderaccounts en andere accounts met speciale rechten. Aan deze accounts zijn alle machtigingen toegekend die nodig zijn voor het uitvoeren van beheertaken, zoals het creëren van accounts, het resetten van wachtwoorden en het installeren van softwareupdates. Het beheer van privileged accounts gaat echter met de nodige uitdagingen gepaard. 

Problemen rond accounts met speciale rechten

Ten eerste wordt er binnen organisaties gebruikgemaakt van een groot aantal privileged accounts. Deze bieden vaak toegang tot vrijwel alle digitale systemen en infrastructuurcomponenten, zoals firewalls, databases, routers, switches, mainframes en de applicaties die daarop draaien. Ten tweede hebben verschillende mensen toegang tot deze accounts nodig, zoals beheerders, helpdeskmedewerkers, programmeurs en leveranciers. Soms moeten deze accounts zelf toegankelijk zijn voor applicaties en scripts. Vaak worden wachtwoorden met anderen gedeeld of ergens opgeschreven, zodat ze voor iedereen zichtbaar zijn.

Daarmee zijn we aanbeland bij de kern van het probleem. Als een account met speciale rechten wordt gedeeld, ligt de verantwoordelijkheid daarvoor niet langer bij één persoon. Dit maakt het bijzonder lastig om in kaart te brengen wat ermee is gedaan. Het gevaar bestaat dat wrokzuchtige werknemers of cybercriminelen misbruik maken van accounts met speciale rechten. Als een privileged account door een groot aantal beheerders wordt gedeeld, is er geen eenvoudige manier om vast te stellen wie er precies verantwoordelijk is voor de schade die met het account is aangericht. Kwaadwillenden kunnen met deze accounts ook informatie uit logbestanden verwijderen of hun sporen op andere manieren uitwissen. 

Wacht niet op incidenten, neem het initiatief

Geen enkele organisatie kan zonder privileged accounts. Jouw interne ICT-medewerkers en die van aannemers en leveranciers moeten voldoende toegang hebben tot de systemen die zij namens jouw organisatie beheren. Privileged accounts vormen daarmee belangrijke zakelijke knooppunten die om een effectief beheer vragen. Om de meest recente bedreigingen een stap voor te blijven, is een proactieve strategie voor privileged account management nodig. Zo hoef je niet met elk nieuw beveiligingsincident brandjes te blussen. Een PAM-oplossing moet een einde maken aan de risico’s die inherent zijn aan accounts met speciale rechten. Hierbij moet rekening worden gehouden met de specifieke verantwoordelijkheden en behoeften van de ICT-afdeling. Om privileged accounts effectief te kunnen beheren, moet je een driestappenplan formuleren voor het beveiligen van deze accounts. Als elk van deze stappen uitgroeit tot een routineprocedure binnen uw organisatie, kun je privileged accounts beschermen tegen de meest geavanceerde bedreigingen die je netwerk bestoken.

Stel een strategisch plan op

Bedrijven hebben te maken met krimpende budgetten en een opeenvolging van projecten. Ze beschikken daarom meestal niet over de tijd en de mankracht die nodig zijn voor een succesvol PAM. Een goed doortimmerd plan biedt hiervoor echter een oplossing. Als je voldoende tijd uittrekt om een strategisch plan op te stellen, kun je gaandeweg een einde maken aan struikelblokken en misstappen. Een dergelijk plan maakt het ook makkelijker om te bepalen welke oplossingen van leveranciers het beste aansluiten op het beheer van privileged accounts binnen jouw organisatie.

Het strategische plan moet alle belanghebbenden binnen jouw organisatie identificeren en het verantwoordelijkheidsgebied van elke groep afbakenen. En belangrijker nog: het zou de rollen en verantwoordelijkheden in kaart moeten brengen van alle gebruikers die toegang tot privileged accounts nodig hebben.

Rollen en verantwoordelijkheden

Na het vaststellen van de rollen en verantwoordelijkheden van iedereen die toegang tot accounts met speciale rechten nodig heeft, is het zaak om individuele eisen te specificeren. Als je de verschillende gebruiksscenario’s documenteert, kun je privileged accounts tijdens hun hele levenscyclus in de gaten houden, van het inrichten tot het uit roulatie halen daarvan. Een paar voorbeelden:

  • Het inrichten van een account voor een nieuwe gebruiker
    • Hoe wordt toegang verleend?
    • Waar (in welke systemen) wordt de informatie voor de gebruiker ingevoerd en opgeslagen?
  • Interne functiewijziging
    • Hoe worden de nieuwe toegangsrechten vastgesteld en toegepast?
    • Hoe worden de oude toegangsrechten ingetrokken?
    • Evalueren en herevalueren van toegangsrechten
    • Hoe worden toegangsrechten periodiek op juistheid beoordeeld?
  • De rechten van een gebruiker intrekken
    • Wie zet het proces in gang?
    • Wie controleert of de toegangsrechten daadwerkelijk zijn ingetrokken?

Deze procedures maken het mogelijk om twee dingen te doen die van cruciaal belang zijn voor een effectieve PAM-strategie: het identificeren van de belangrijkste betrokkenen en het vastleggen van de praktische eisen die aan het PAM-initiatief ten grondslag liggen.

De drie stappen

Zodra u een plan hebt opgesteld, is het zaak om controlemechanismen te implementeren voor de beveiliging van privileged accounts. Beperk ten eerste de toegang tot gebruikers die deze accounts werkelijk nodig hebben voor hun werk en zorg ervoor dat zij op efficiënte en veilige wijze toegang tot deze accounts kunnen krijgen. Ten tweede moet je zo min mogelijk toegangsrechten aan gebruikers toekennen, zodat ze louter toegang hebben tot wat ze werkelijk nodig hebben. En ten slotte moet je alle activiteiten rond privileged accounts loggen en voortdurend in de gaten houden.

Privileged accounts zijn een favoriet doelwit van cybercriminelen. Maar met het juiste strategische plan en deze drie stappen is het ook voor organisaties van kleine en middelgrote omvang, die niet over een uitgebreide IT-afdeling beschikken, mogelijk om een effectief PAM te realiseren. Naarmate organisaties groter worden, en dus onoverzichtelijker, wordt ook PAM belangrijker. Ook deze zijn gebaat bij dezelfde strategie. Wacht dus niet langer en ga aan de slag met je eigen PAM-strategie.

Dave Vijzelman - Dell Channel Manager Security, BENELUX