Christophe Hohl, IT-technisch adviseur bij Cyber Security Management
Herinnert u zich de beroemde tv-serie Baywatch nog, met strandreddingsbrigades aan de Californische kust? David Hasselhoff en Pamela Anderson – Pam voor intimi – zorgden daar voor de veiligheid van de vakantiegangers en redden levens in gevaar. Welnu, de IT-wereld heeft ook zijn eigen PAM. Niet Pamela Anderson, maar Privileged Access Management. Hun functies zijn redelijk vergelijkbaar: redding. Met dit verschil dat PAM preventief werkt, om drama's te voorkomen.
Met een beetje fantasie zou je de netwerken van veel bedrijven prima kunnen vergelijken met de beroemde stranden van Malibu. Iedereen heeft er toegang toe. En net zoals strandwachten waken over de veiligheid van de vakantiegangers, zijn het tegenwoordig de systeembeheerders en netwerkbeheerders die de toegang tot de netwerken beveiligen. Dit wekt natuurlijk grote belangstelling bij cybercriminelen. Want deze beheerders kennen de belangrijkste gebruikersnamen en wachtwoorden van het hele bedrijf. Als men echter toegang heeft tot de servers en firewalls, kan men enorme schade aanrichten: de toegang van de verkopers tot het CRM blokkeren, een lek in de cruciale bedrijfsgegevens veroorzaken, enzovoort.
Je zou kunnen denken dat het voldoende is om de interne accounts goed te beveiligen. Maar juist daar wringt de schoen. Steeds vaker hebben derden (leveranciers, technische diensten, SOC’s…) toegang tot deze ‘bevoorrechte’ accounts. En aangezien het vaak voorkomt dat meerdere personen met één en hetzelfde account werken, wordt het wachtwoord van dat account niet regelmatig gewijzigd. Omdat het wachtwoord niet langer individueel is, weet men nooit wie zich heeft aangemeld, noch wanneer.
En dan hebben we het nog niet eens gehad over de gevolgen van de digitale transformatie. Steeds meer bedrijven hosten hun gegevens en werkzaamheden in de cloud om de operationele flexibiliteit te vergroten en snelle toegang te bieden aan hun personeel, klanten, partners, leveranciers, dienstverleners en logistieke medewerkers, die steeds meer verspreid zijn. Volgens een recent rapport van Forrester Research besteedt 58% van de ondervraagde bedrijven al meer dan de helft van hun datacenters, servers, netwerken en opslaginfrastructuur uit.
De grootste risico’s hebben te maken met versnipperde gegevens, verlaten accounts, gedeelde maar slecht beheerde accounts, en steeds sluwere methoden om inloggegevens van geprivilegieerde accounts te stelen. Om hiertegen bescherming te bieden – en om strikte naleving van de procedures te waarborgen – is een krachtige en betaalbare PAM-oplossing essentieel. Privileged Access Management is een van de belangrijkste gebieden op het gebied van risicobeheer en gegevensbescherming voor elke onderneming.
Met PAM wordt allereerst de 'toegangsomvang' beperkt. Concreet betekent dit dat de externe medewerker alleen toegang krijgt tot dat deel van de server waarop hij moet werken. Deze toegang is in de tijd beperkt: tot een bepaalde datum of tijdens specifieke tijdvakken (bijvoorbeeld tijdens kantooruren).
Ten tweede is het PAM een interessant analyse-instrument. Aangezien het mogelijk maakt om bepaalde personen toegangsrechten te verlenen, kan niemand zich anoniem aanmelden met cruciale beheerdersrechten. Deze bevoorrechte inloggegevens zijn altijd gekoppeld aan een specifieke persoon, en men weet precies wie zich heeft aangemeld, wanneer, vanaf welke locatie en zelfs met welk apparaat. Met één druk op de knop krijgt men een gedetailleerd rapport van alle (externe) toegangspogingen.
In een recent rapport beveelt Gartner het gebruik van PAM aan om de toegang van externe leveranciers te beheren en te controleren, vooral in de huidige IT-omgevingen, die steeds complexere infrastructuren hebben. Deze oplossing is veiliger dan een VPN, dat weliswaar beveiligde toegang biedt, maar niet aangeeft wat deze derden precies op het netwerk hebben gedaan tijdens een VPN-sessie. PAM maakt daarentegen een gedetailleerder beheer en toezicht mogelijk. Het biedt zelfs de mogelijkheid om de toegang tot bepaalde apparaten te beperken. Als u een traceerbaar systeem wilt, is PAM de oplossing.
Dat wordt zeker een grote uitdaging, want uit ervaring weten we dat momenteel minder dan 10% van de klanten een PAM gebruikt. Het is onze taak om bedrijven steeds beter bewust te maken en te beschermen. Of zoals ze in Baywatch zeiden:“We protect when other people don’t want to protect, and we go above and beyond.”
