Privileged Account Management is meer dan een tool in gebruik nemen
Brian de Vries is Consultant bij Traxion
Elke organisatie heeft te maken met identiteiten en toegangsrechten voor medewerkers. Zo zijn er de identiteiten voor medewerkers om hun e-mail te kunnen lezen en hun werk binnen applicaties uit te kunnen voeren. Dit zijn de normale gebruikersidentiteiten, die vaak via Identity en Access Management-oplossingen worden ingeregeld. Daarnaast is er binnen een organisatie vaak een groep medewerkers, die meerdere identiteiten gebruiken voor hun werkzaamheden. Dit zijn vooral de beheerders binnen een organisatie, die meer moeten kunnen doen dan de gewone gebruikers. Zij zorgen ervoor dat applicaties onderhouden worden en dat het netwerk, de servers en werkstations beheerd worden. Deze medewerkers maken voor hun werk gebruik van identiteiten met verhoogde rechten, de zogenaamde Privileged accounts.
Privileged accounts worden beschouwd als kritische accounts. Wat hen kritisch maakt is dat het gebruikers de mogelijkheid geeft om zeer vertrouwelijke informatie te raadplegen of bedrijfskritische applicaties (on)beschikbaar te maken. Privileged accounts staan er ook om bekend dat ze in de meeste gevallen gebruikt zijn als er een hack of datalek gemeld wordt. Om het gebruik en beheer van en de toegang tot deze kritische accounts te controleren, maken organisaties gebruik van Privileged accountmanagement-oplossingen (PAM).
De aanleiding om een PAM-oplossing te implementeren, komt vaak voort uit (externe) audits die bij organisaties plaatsvinden. Er is dan tijdens de audit vastgesteld dat er geen overzicht is van welke kritische accounts er binnen een organisatie zijn, hoe en wanneer deze gebruikt worden en vooral wie deze accounts gebruikt. Er zijn weliswaar genoeg organisaties die gebruikmaken van zogenaamde persoonlijke privileged accounts. Maar zij kunnen niet aantonen dat de eigenaar van die identiteit daadwerkelijk het account gebruikt heeft om welke redenen. Ook zijn er de gedeelde privileged accounts waarvan meerdere personen het wachtwoord van die identiteit kennen. Herleidbaarheid is op dit soort accounts dus bijna onmogelijk. Gevolg is dat auditors van de organisatie ‘eisen’ dat er zo spoedig mogelijk een mitigatie ingezet wordt om beter inzicht en controle te krijgen op privileged accounts en dat dit opgelost is voordat de volgende audit (over een jaar) wordt uitgevoerd.
Op zoek naar een tool
Dat is het moment dat de druk erop komt en de tijd gaat lopen voor een organisatie om naar een oplossing te zoeken. De organisatie moet een tool bepalen, die gebruikt kan worden om de privileged accounts te gaan beheren en er moet een project voor opgestart worden. Een organisatie gaat er vaak van uit dat privileged accounts voornamelijk gebruikt worden door het infrastructuurteam en dat het aantal accounts beperkt is. Daarom zie je vaak dat PAM-projecten geïnitieerd worden vanuit een technische invalshoek, waarbij de verwachting is dat het project maar twee tot drie maanden duurt.
De realiteit is helaas anders. Eigenlijk kunnen we niet van een PAM-project spreken, maar een PAM-programma. Het implementeren van een PAM-oplossing omhelst namelijk meer dan even snel een tool installeren. Het vereist een cultuurverschuiving, een andere manier van werken. En deze andere manier van werken heeft betrekking op meer mensen binnen de organisatie dan enkel de infrastructuurbeheerders. Denk bijvoorbeeld ook aan IT-leveranciers, applicatiebeheerders, databasebeheerders en ontwikkelaars. Maar ook aan bedrijfskritische applicaties en applicatie-integraties die afhankelijk zijn van zogenaamde serviceaccounts. Al deze personen en componenten maken gebruik van privileged accounts, en dat zijn vaak accounts waarvan een organisatie zich niet (meer) bewust van is, maar een mogelijke aanvaller wel.
Beveiliging van de kroonjuwelen
Als het voor een organisatie inzichtelijk is dat er meer privileged accounts in gebruik zijn dan gedacht en er een grotere gebruikersgroep van privileged accounts in beeld is, wordt ook het beveiligen van de tool ineens cruciaal. Alle kroonjuwelen van de organisatie komen namelijk gecentraliseerd te staan. En dan komt de afdeling IT-security om de hoek kijken. Er zijn dus meerdere belangen die in ogenschouw genomen moeten worden, die de effectiviteit van de normale werkzaamheden niet mogen beïnvloeden. Het installeren van de tool wordt dus het implementeren van een organisatiebrede, kritische en veilige oplossing die invloed zal hebben op de werkwijze van medewerkers en dus de businessprocessen van een organisatie.
Cultuurverschuiving
Een PAM-oplossing is zeer geschikt om het beheer van privileged accounts uit te voeren en het gebruik ervan herleidbaar te maken. Dit doet PAM onder andere door het geautomatiseerd wijzigen van wachtwoorden, een volledig activiteitenlog bij te houden wie wat wanneer waarom waar gedaan heeft en zelfs individueel uitgevoerde activiteiten op te nemen. De eerste cultuurverschuiving die dus zal moeten plaatsvinden binnen een organisatie is dat gebruikers van privileged accounts het wachtwoord uit PAM moeten ophalen en niet meer zelf weten of bewaren. En het is zelfs mogelijk dat het opzetten van de verbinding naar het te beheren onderdeel via PAM moet gaan verlopen. Dat kan uitdagend worden tijdens het uitvoeren van een PAM-programma; mensen een nieuw trucje leren om hun werk te kunnen blijven doen.
Anders nadenken over identiteiten
Het gebruik van een PAM-oplossing leent zich ook goed om de algehele beveiliging van infrastructuur en applicaties onder de loep te nemen. Veel infrastructuur en applicaties maken gebruik van privileged accounts. Als de betreffende privileged accounts al in beeld zijn, zullen hier weinig tot geen wachtwoordwijzigingen op uitgevoerd worden. In de praktijk zien we regelmatig Domain Administrator-accounts of serviceaccounts (die vaak ook lid zijn van de Domain Administrator-groep) waarvan het wachtwoord al negen jaar niet gewijzigd is. En dit is voor aanvallers natuurlijk interessant, want zo kunnen zij lange tijd misbruik maken van gecompromitteerde wachtwoorden. De reden dat deze wachtwoorden weinig tot niet gewijzigd worden, is omdat het intensief werk is en er de angst bestaat dat er componenten stuk gaan na aanpassingen. Dit komt mede doordat de betreffende privileged accounts op meerdere plekken binnen de organisatie gebruikt worden. Met PAM is een organisatie in de gelegenheid om dit beter te beheren. Elke component krijgt een nieuw specifiek account met de juiste rechten, waarvan het wachtwoord op regelmatige basis door PAM gewijzigd wordt. Dit is de tweede cultuurverschuiving: anders nadenken over het toekennen van specifieke identiteiten per component. En het natuurlijk voor alle bestaande componenten inzichtelijk maken en correct herstellen.
Rol van ontwikkelaars en applicatiebeheerders
Een derde cultuurverschuiving betreft vooral ontwikkelaars en applicatiebeheerders. Het is gebruikelijk dat standaard- en custom-made-toepassingen gebruikmaken van interne identiteiten waaraan bepaalde privileges gekoppeld zijn. De wachtwoorden van deze interne identiteiten zijn ook vaak intern in de applicatie leesbaar opgeslagen. En toch is het vaak mogelijk om met deze interne identiteiten specifieke netwerkconnecties op te zetten of naar andere applicaties zoals databases te komen. PAM kan voorkomen dat wachtwoorden intern in applicaties opgeslagen worden. De grote verandering die daarvoor nodig is, is dat ontwikkelaars en applicatiebeheerders code of configuratie zodanig moeten wijzigen dat er tegen de beveiligde PAM-applicatie interface gesproken kan worden om de juiste wachtwoorden op te halen. En juist het wijzigen van programmacode of configuraties kan intensief zijn en zeer grote invloed hebben op (bedrijfskritische) applicaties en hun stabiliteit.
Het is niet mijn bedoeling om met deze blog van een mug een olifant te maken. Maar zoals mijn Belgische collega’s zouden zeggen: ‘Laten we een kat een kat noemen’. Wat op het eerste oog lijkt op een kort project om PAM te implementeren, groeit al snel uit tot iets met veel meer invloed op de business processen binnen de organisatie met vele verschillende belangen en uitdagingen. Beschouw het implementeren van een PAM-oplossing als een programma, dan kan je veel beter de verwachtingen en doorlooptijden managen.