BLOG - PAM voor de vrienden... en je veiligheid

10 maart 2020

PAM voor de vrienden... en je veiligheid 

Christophe Hohl, IT Technical Advisor bij Cyber Security Management 

Herinner je je Baywatch nog, de legendarische serie over de redders op de Californische stranden? David Hasselhoff en Pamela Anderson - Pam voor de vrienden - zorgden voor de veiligheid op het strand en redden mensen die in de problemen komen uit het water. In de IT-wereld kennen we PAM ook. Maar dan als Privileged Access Management. En je kan de functie enigszins vergelijken: redden. Alleen moet deze PAM er preventief voor zorgen dat het niet fout loopt.  

Met een beetje fantasie zou je de netwerken van veel bedrijven kunnen vergelijken met de beroemde stranden in Malibu. Iedereen kan er namelijk op. En net als de strandwachters die de veiligheid bewaken, zorgen de admins en netwerkbeheerders vandaag voor toegang tot het netwerk. Wat uiteraard ook interesse opwekt bij cybercriminelen. Want deze admins beschikken over de belangrijkste logins en wachtwoorden van de gehele bedrijfsomgeving. Als je immers toegang hebt tot alle servers en firewalls, dan kan je in een bedrijfsnetwerk enorm veel schade toebrengen. Je kan er bijvoorbeeld voor zorgen dat het sales team geen toegang meer heeft tot de CRM-tool. Of je kan je toegang verschaffen tot bedrijfskritieke data. 

Op zich zou je die logins intern nog voldoende kunnen afschermen. Maar daar knelt het schoentje. Steeds vaker krijgen externen (leveranciers, technische diensten, SOC’s, …) toegang tot die ‘geprivilegieerde’ accounts. Omdat er vaak meerdere personen met dat account werken, wordt het wachtwoord van deze gedeelde accounts niet zo snel gewijzigd. Het is vaak ook niet gekoppeld aan een persoon, waardoor je niet weet wie er inlogt.  

En dan hebben we het nog niet over de gevolgen van de digitale transformatie. Steeds meer bedrijven migreren immers hun data en workloads naar de cloud om meer flexibiliteit en een snelle toegang te verlenen aan hun steeds meer verspreide groep werknemers, klanten, partners, leveranciers, dienstverleners of logistiek medewerkers. Volgens een recent rapport van Forrester Research besteedt 58% van de ondervraagde bedrijven al meer dan de helft van hun datacenters, servers, netwerken en opslaginfrastructuren uit. 

Meer verspreide data, verlaten accounts, onbeheerde gedeelde accounts steeds meer geraffineerde manieren (phishing) om inloggegevens voor bevoorrechte accounts te stelen, zijn de grote risico’s. Om die te verminderen - en strikte nalevingseisen te handhaven - is een kosteneffectieve PAM-oplossing essentieel. Privileged Access Management (PAM) is een van de belangrijkste gebieden van risicobeheer en gegevensbeveiliging in elke organisatie.  

Met PAM verklein je in eerste instantie de ‘toegangsperimeter’. Concreet: je geeft aan de externe medewerker enkel toegang tot dat gedeelte van de server waar hij moet werken. Je beperkt de toegang ook in tijd. Dat kan voor een specifiek tijdsblok of bijvoorbeeld enkel tijdens de kantooruren.  

In tweede instantie is PAM een interessante analyse tool. Doordat je via PAM aan bepaalde personen toegangsrecht verleent, kan niemand anoniem met die kritieke admin-rechten inloggen. Deze geprivilegieerde logindata zijn gekoppeld aan een persoon en je weet dus perfect wie op welk moment van welke plaats (zelfs met welk toestel) inlogt. Een druk op de knop en je hebt een gedetailleerd rapport van alle (externe) toegangspogingen.  

In een recent rapport raadt Gartner het gebruik van PAM aan om de toegang van externe providers te beheren en te controleren, zeker in het huidige IT-landschap, met steeds complexere IT-infrastructuren. Het is veiliger dan VPN, want daar heb je een beveiligde toegang, maar je weet niet wat de externen tijdens een VPN-sessie op jouw netwerk deden. Met PAM kan je ze beter sturen en monitoren. En zelfs de toegang beperken tot specifieke apparaten. Als je traceerbaarheid wilt, is PAM dus cruciaal. 

En daar ligt nog een grote uitdaging, want uit eigen ervaring zien we dat vandaag amper 10% van de klanten nu een PAM heeft. Aan ons om de bedrijfswereld verder te sensibiliseren en te beschermen. Of zoals ze in Baywatch zeiden: “We protect when other people don’t want to protect, and we go above and beyond.”