Wat is Privileged Access Management (PAM)

Privileged Access Management (PAM) is een onderdeel van jouw cyberbeveiliging. Via de juiste strategie en innovatieve technologieën krijgen specifieke users de juiste hogere, ‘privileged’, toegang binnen de IT-omgeving van jouw organisatie. PAM-security werkt met een combinatie tussen specifieke users, processen en technologieën. Door geprivilegieerde toegang gestructureerd en juist toe te kennen én te controleren, beperk je  de kans op een security incidenten binnen jouw organisatie. Zowel binnen als buiten jouw organisatie kunnen alleen de ‘privileged users’ bij gevoelige data of systemen. Zij hebben meer toegang ten opzichte van de ‘normal users’. In dit artikel lees je alles over de werking van PAM.

PAM in de praktijk

Organisaties gebruiken PAM om ‘privileged users’ meer toegang te geven tot specifieke data of systemen, ten opzichte van ‘normale users’. Je wilt bijvoorbeeld niet dat iedereen zomaar alle data binnen jouw organisatie kan inzien, wijzigen of verwijderen. Zeker niet als het gaat om gevoelige klant-, salaris-, of andere financiële gegevens. Daarnaast gebruiken organisaties PAM ook om users te beperken in het (de)installeren van (cruciale) software.

Enkele belangrijke voordelen van PAM zijn:

• Het vastleggen van activiteiten rond toegang in logbestanden:

Bijhouden wie, wanneer en waarom verhoogde toegang activeert helpt voorkomen dat er onnodig met verhoogde rechten wordt gewerkt. Door verhoogde toegang tijdelijk op naam toe te kenen kan er gerichter worden geaudit.

• Verhoging van de interne- en externe beveiliging:

Door gebruikers beperkt toegang te geven ben je een stap dichter bij een goed beveiligd systeem. Door de toegang tot gevoelige systemen en data te beperken, wordt het risico van interne dreigingen verminderd. Door strikt te controlen en monitoren van priviliged toegang voorkom je dat externe dreigingen toegang krijgen tot gevoelige informatie.

• Integratie van jouw IT-systemen:

Binnen organisaties werken gebruikers vaak in meerdere systemen. Via PAM kun je in één keer regelen welke (privileged) toegang jouw gebruikers hebben in alle systemen. Zo kan een user in systeem A wel privileged zijn en in systeem B niet.

• Centraal beheren van toegang:

Het is essentieel om vanuit een controlepunt toegang te beheren. Hiermee ben je in staat om volledig overzicht te hebben over alle geprivilegieerde toegang in de hele organisatie en om snel afwijkend gedrag te identificeren.

• Voldoen aan wet- en regelgeving:

Regelgeving is zeer belangrijk wanneer u beschikt over een IT-systeem, zeker wanneer je werkt met gevoelige klantdata. Om beter te voldoen aan regelgeving zoals de AVG en ISO 27001 kun je werken met privileged toegang.

Hoe werken PAM-systemen?

PAM-producten delen een aantal kenmerken met typische Access Management-producten, maar hebben ook een aantal onderscheidende kenmerken. Hieronder noemen wij er een paar:

• Application Access Control:

  De toegangscontrole voor de applicatie, een check of de user die de actie wil uitvoeren of toegang wil verkrijgen tot een bepaalde bron, ook echt die user is. Vaak gebruiken wij dit in combinatie met ‘Just-In-Time’ (JIT), zodat de user alleen voor de benodigde tijd toegang krijgt.

• Least Privilege:

  Dit houdt in dat alleen die toegang wordt gegeven om een specifieke taak uit te voeren. De functie of taak (in tegenstelling tot identiteit) bepaalt de toewijzing van rechten.

• Multi-factor Authentication (MFA):

  Multi-factor authentication is wanneer je twee of meer authenticatie factoren gebruikt om jouw identiteit te verifiëren. Zoals een wachtwoord in combinatie met een hardware sleutel.

• Password Management: 

  Wachtwoordbeheer is een proces dat gebruikers moeten volgen bij het opslaan en beheren van wachtwoorden. Dit om wachtwoorden zo goed mogelijk te beveiligen en ongeautoriseerde toegang te voorkomen. Wachtwoordbeheer in een zakelijke omgeving omvat functies zoals het delen van wachtwoorden, audit trails en een uitgebreide API.

• Policy Management:

  Dit is het proces van creëren, communiceren en onderhouden van procedures binnen een organisatie. PAM-tools richten zich vaak op het implementeren en ondersteunen van beveiligingsbeleid en de controle hierop.

Wat zijn Privileged users?

Privileged users zijn gebruikers met speciale ‘hogere’ toegang in jouw IT-systeem. Bijvoorbeeld jouw netwerk- of systeembeheerder die overal bij moet kunnen en allerlei aanpassingen moet maken. Maar ook een gebruiker met toegang tot een belangrijk kanaal, zoals social media, kan een privileged user zijn. In de meeste gevallen zal het gaan om iemand met toegang tot systemen met gegevens, bijvoorbeeld een CRM of bedrijfsapplicatie. Ook een extern persoon kan een privileged user zijn, wanneer je bijvoorbeeld een externe consultant inhuurt voor jouw bedrijf.

Authenticatie en autorisatie

Toegang krijgen tot een systeem bestaat uit twee stappen: de authenticatie van een user en de autorisatie van een user. De authenticatie zorgt ervoor dat het systeem nagaat of de user daadwerkelijk is wie hij beweert. Bij PAM is het gebruikelijk om gebruikersnamen en wachtwoorden, multifactor authenticatie (MFA) of andere vormen van identiteitsverificatie te gebruiken voor authenticatie. De tweede stap, autorisatie, gaat om het nagaan of iemand wel echt toegang mag krijgen tot het systeem en specifieker welke onderdelen binnen het systeem.  In het geval van PAM vindt authenticatie plaats op basis van de identiteit van een gebruiker en de rechten die aan die identiteit gekoppeld zijn (gebaseerd op rol of functie binnen de organisatie).

Risicomanagement met PAM

Door de hogere toegang van privileged users zijn deze ook een groter risico voor potentiële bedreigingen. Je kan je voorstellen dat hoe vollediger iemands toegang binnen het IT-systeem is, hoe interessanter het is om deze gebruiker te hacken. Alleen maar meer reden om deze users goed te beschermen tegen bedreigingen en te informeren over de juiste security. Bij het toekennen van de juiste toegang worden “standaard” privileges, static provisioning, handmatig toegekend en blijven ze hetzelfde totdat ze worden bijgewerkt of ingetrokken. Static provisioning is geschikt voor langdurige toegang tot systemen of wanneer continue toegang vereist is. Nadelen van statisch provisioned accounts zijn: over-provisioning van accounts (te veel rechten toekennen), gebrek aan flexibiliteit, administratieve fouten en compliance issues.

Dynamic provisioning stelt beheerders in staat om snel rechten toe te kennen aan gebruikers of systemen wanneer die nodig zijn, en ze in te trekken wanneer ze niet langer nodig zijn. Deze aanpak is geschikt voor tijdelijke toegang toekennen tot accounts en systemen. Dit komt vaak voor bij eenmalig adhoc toegang en externe partijen (freelancers, softwareleveranciers, voor onderhoud).

Enkele voordelen van dynamic provisioning:

• Meer flexibiliteit: Om beter in te spelen op veranderende bedrijfsbehoeften of beveiligingsvereisten. Hierdoor kunnen organisaties privileges verlenen naar behoefte en deze intrekken wanneer ze niet langer nodig zijn, waardoor het risico op ongeoorloofde toegang afneemt en beveiligingsincidenten gemakkelijker kunnen worden opgespoord.

• Controle over privileges: waarbij privileges op verzoek worden toegekend op basis van specifieke behoeften of gebeurtenissen, en worden ingetrokken wanneer ze niet langer nodig zijn. Dit vermindert het risico van onrechtmatige toegang en verkleint het risico van beveiligingsincidenten.

• Minder administratieve belasting: er kunnen geautomatiseerde workflows worden opgezet om privileges toe te kennen en in te trekken op basis van specifieke gebeurtenissen, zoals projectmijlpalen of wijzigingen in de arbeidsstatus. Dit vermindert de werklast die gepaard gaat met het beheer van bevoorrechte toegang, waardoor het IT-personeel meer tijd krijgt voor andere taken.

• Betere beveiliging: dynamische provisioning vermindert het risico van beveiligingsincidenten. Door privileges on-demand toe te kennen en in te trekken wanneer ze niet langer nodig zijn, wordt het aanvalsoppervlak, dat wil zeggen het aantal systemen en toepassingen waarop aanvallers zich kunnen richten, verkleind.

• Verbeterde compliance: helpt organisaties te voldoen aan wettelijke compliance-eisen door ervoor te zorgen dat privileges alleen worden toegekend wanneer dat nodig is en dat de minimaal noodzakelijke privileges worden toegekend. Dit vermindert het risico van niet-naleving van wettelijke vereisten, zoals ISO, BIO en AVG.

Privileged Access Management bij Topicus KeyHub   

Bij Topicus KeyHub kunnen wij je helpen met het beveiligen van jouw IT-landschap. Ons kracht ligt vooral in gedeelde verantwoordelijkheid rond toegangsbeheer en centraal inzicht op compliance vereisten. Dit is veiliger en voorkomt dat een persoon of afdeling alle verantwoordelijkheden en rechten bezit.

Er zijn veel keuzes die gemaakt moeten worden bij het kiezen van een PAM-oplossing. Door middel van het uitvoeren van een risicoanalyse, adviseren wij over de juiste oplossing. Uiteraard helpen wij met het implementeren en onderhouden van uw PAM-oplossing  . Wij zorgen ervoor dat jouw bedrijf altijd veilig kan blijven werken, met minimaal risico op een security issue.

Wil je advies over de juiste PAM-oplossing voor jouw organisatie? Neem dan contact op met Paul van Buren - Account Manager.