De sleutel van je auto of sieradenkluis leg je niet op een schoteltje in de voortuin. Die bewaar je veilig, uit het zicht en achter slot en grendel. Gek genoeg gaan organisaties veel slordiger om met hun privileged accounts die toegang bieden tot de digitale kroonjuwelen. Hoe zorg je ervoor dat deze ‘keys to the kingdom’ veilig zijn?
Privileged accounts zijn speciale 'sleutels' met verhoogde rechten. Hiermee hebben IT-beheerders toegang tot de kritieke systemen en applicaties van een organisatie. Helaas weten cybercriminelen ook hoe ze deze sleutels kunnen misbruiken, en doen dat op grote schaal. Uit onderzoek blijkt dat de meeste cyberaanvallen plaatsvinden door misbruik van gestolen privileged accounts.
De gevolgen kunnen enorm zijn. “Met een privileged account met verhoogde rechten kunnen kwaadwillenden inloggen op een server of netwerkcomponent, en bijvoorbeeld data stelen, verwijderen of aanpassen. Ook kan malware zoals ransomware worden geïnstalleerd”, zo vertelde Erik Scholtens, Projectmanager security bij het CIBG, tijdens KPN’s NLSecure[ID] 2024.
PAM bij het CIBG
Het CIBG is een uitvoeringsorganisatie van het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Als uitvoeringsorganisatie verwerkt het CIBG veel persoonsgegevens. Deze zijn opgeslagen in registers zoals het Donorregister, het BIG-register en het UZI-register. Voor het beheer worden veel accounts met verhoogde rechten gebruikt. De organisatie beschermt deze accounts met een Privileged Access Management-oplossing.
Een Privileged Access Management (PAM)-oplossing is een softwaretool die de toegang tot privileged accounts beveiligt en het gebruik ervan monitort om afwijkingen snel te detecteren. Een belangrijk aspect van PAM is het centraal beheer van deze accounts, inclusief het maken, beheren en verwijderen ervan, evenals het toewijzen van specifieke privileges.
Daarnaast bieden PAM-oplossingen geavanceerde functies om de beveiliging van privileged accounts naar een hoger niveau te tillen, zoals geautomatiseerd wachtwoordbeheer, monitoring van sessies en het beperken van toegang. Het beheer van privileged accounts voldoet hiermee aan wet- en regelgeving en normenkaders zoals de BIO, AVG en NIS2.
Zero trust en least privilege
"Met Privileged Access Management mitigeren we de risico’s rondom privileged accounts", aldus Martijn Krijgsman, Solution Designer bij het CIBG. "Daarnaast streven we naar een zero trust-omgeving waarin accounts rechten hebben op basis van least privilege. Een beheerder heeft nog maar één account nodig om in te loggen op de PAM-oplossing en heeft vanuit PAM naadloos toegang tot geautoriseerde servers en netwerkcomponenten. Voor elke inlogsessie op een server wordt automatisch een wachtwoord gegenereerd dat vervalt zodra de sessie is afgesloten.”
“Van de beheerwerkzaamheden die op een server worden uitgevoerd, worden session recordings gemaakt”, vult Scholtens aan. "Deze opnames kunnen worden gebruikt voor forensisch onderzoek of om een fallback uit te voeren na een mislukte wijziging. Bovendien vermindert PAM het risico dat beheerders die binnen de organisatie doorstromen of uitstromen hun beheeraccounts meenemen of behouden.”
Benieuwd naar de mogelijkheden van PAM voor jouw organisatie? Download dan de whitepaper ‘Privileged Access Management’.
