De Autoriteit Persoonsgegevens (AP) heeft in vijf jaar tijd al meer dan 114.000 meldingen van datalekken ontvangen. Soms komen daarbij de gegevens van honderdduizenden mensen op straat te liggen. Volgens de toezichthouder is daardoor bijna iedere Nederlander al één of meerdere keren slachtoffer geworden van een datalek.* Eén van de oorzaken is een falende controle op de rechten die gebruikers hebben en het misbruik van deze inloggegevens.
Privileged Access Management, of PAM, is een op beleid gebaseerd beheersysteem dat volledige controle biedt over het gebruik van privileged credentials (bevoorrechte inloggegevens). Volgens het 2021 Data Breach Investigations Report vinden de meeste cyberaanvallen en inbreuken op de beveiliging plaats omdat kwaadwillenden gebruik maken van deze inloggegevens. Met PAM kunnen organisaties alle activiteiten van hun privileged (bevoorrechte) gebruikers controleren en bewaken door middel van just-in-time-toegang en het least privileged principe.
Welke risico’s ontstaan er zonder Privileged Access Management?
Experts schatten dat maar liefst de helft van alle inbreuken op de beveiliging het gevolg is van een insideractiviteit. Bedreigingen van binnenuit zijn vooral ernstig wanneer ze toegeschreven kunnen worden aan werknemers die hogere toegangsrechten hebben dan nodig is.
Misbruik van privileges kan plaatsvinden als gevolg van een fout van een werknemer maar het kan ook het werk zijn van een cybercrimineel die de inloggegevens van een insider heeft gebruikt om toegang te krijgen tot een IT-netwerk. Dit risico kan het beste beheerst worden door nauwkeurig te controleren en te monitoren wat geprivilegieerde gebruikers, zoals superusers en databasebeheerders, precies doen met hun toegang.
Trends zoals hybride cloud, mobiliteit, big data, CIAM, IoT en digitale transformatie brengen allemaal complexiteit, nieuwe bedreigingen en risico’s rond privileges met zich mee. Identiteiten zijn tegenwoordig niet meer alleen mensen – het kunnen ook apparaten of “things” zijn – en al deze identiteiten hebben hun eigen privileges. Juist daarom is het van belang om zoveel mogelijk Privileged Access inzichtelijk te maken en te controleren!
Hoe zien de dreigingen eruit?
Bedreigingen van buitenaf
Slimme hackers richten phishing- en spear-phishing-aanvallen op de medewerkers die in principe meer toegangsrechten hebben: leidinggevenden, systeembeheerders, netwerkbeheerders, technici en beveiligingsmedewerkers. Veel van deze gebruikers weten heel goed wat ze doen, maar het blijven mensen en ze kunnen worden misleid. Hackers weten misschien niet welke identiteit toegang heeft tot wat, maar ze beschouwen de geprivilegieerde gebruikers als de heilige graal. Aanvallers die toegang krijgen tot de inloggegevens van geprivilegieerde gebruikers kunnen maandenlang onopgemerkt actief zijn, de systemen van een bedrijf leren kennen en beslissen wat ze willen stelen. Ervaren hackers kunnen bijvoorbeeld ook vergeten of privileged apparaten of “things” hacken om beheerderstoegang te krijgen. Ze kunnen de inhoud van hele databases stelen en eenvoudig de logboeken verwijderen om hun activiteiten te verbergen.
Bedreigingen van binnenuit
Organisaties moeten zich ook beschermen tegen interne bedreigingen, zowel opzettelijk als per ongeluk. Of ze het nu willen of niet, gebruikers die inloggegevens met extra toegangsrechten hebben gekregen of gestolen, kunnen gemakkelijk een netwerk uitschakelen, vertrouwelijke informatie vrijgeven etc.. Dit kan een organisatie miljoenen dollars aan productiviteitsverlies, omzetverlies en compliance-boetes kosten.
Er zijn gevallen bekend van werknemers of inhuurkrachten die bewust het slechte pad op zijn gegaan, maar de meeste interne bedreigingen zijn het gevolg van menselijke fouten of onzorgvuldigheid. Als een bedrijf geen goede gebruikersomgeving met de juiste toegang op het juiste moment biedt, zullen zelfs zeer technische en betrouwbare geprivilegieerde gebruikers manieren vinden om hun werk gedaan te krijgen, soms ten koste van de beveiliging. Organisaties moeten weten wie of wat rechten heeft en bepalen wat ze daarmee kunnen doen om de risico’s te minimaliseren.
Non-compliance
Er bestaan veel compliance-voorschriften rond gegevenstoegang, zoals GDPR, AVG, HIPPA en PCI, en de verwachting is dat er de komende jaren nog meer zullen worden ingevoerd. De meeste van deze voorschriften zijn beschrijvend, en niet dwingend, waardoor de uitvoering van dit beleid verschillend geïnterpreteerd kan worden.
De consequentie hiervan is dat een organisatie aan risico’s wordt blootgesteld. Verplichte invoering van dit beleid zorgt ervoor dat aan de voorschriften voor beveiliging en identiteitsbeheer van de compliance-strategie wordt voldaan. Wanneer de eisen aan compliance en interne governance steeds strenger en audits steeds zwaarder worden, moeten organisaties een balans zoeken tussen het productief houden van mensen en het afdwingen van beveiligingscontroles op basis van identiteit. Veel organisaties zijn op zoek naar quick wins die de risico’s waaraan zij worden blootgesteld verkleinen, en auditors laten zien dat zij de noodzakelijke maatregelen hebben geïmplementeerd. Momenteel is er veel aandacht voor NIS2, een richtlijn die een dwingender karakter heeft.
Privileged Access Management-oplossingen van NetIQ
Het gebruik van PAM is noodzakelijk om bedrijven te beschermen tegen een mogelijk datalek en om cyberweerbaarheid te versterken. NetIQ Privileged Access Management levert zeer veilige en flexibele controle over geprivilegieerde inloggegevens op manieren die passen in een bestaande omgeving, waardoor snel en direct de veiligheid wordt verhoogd.
Bezoek voor meer informatie de webpagina: Wat is Privileged Access Management?
* Nu.nl: In vijf jaar tijd zijn bijna alle Nederlanders al eens getroffen door een datalek | Tech | NU.nl
Lees ook:
- Is Your Environment Adaptive Enough for Zero Trust?
- OpenText Voltage Data Security Platform “leader” bij Forrester