Binnen cybersecurity gaan de ontwikkelingen razendsnel. Het automatiseren van processen, het toevoegen van nieuwe technologie en nieuwe samenwerkingspartners, medewerkers die van functie veranderen of de organisatie verlaten of een medewerker die slachtoffer wordt van phishing. Al deze aspecten hebben met elkaar gemeen dat ze direct invloed hebben op de gebruikersaccounts. Het is daarom belangrijk om grip te hebben op de accounts die in gebruik zijn, welke rechten deze hebben en welke activiteiten er plaatsvinden. Zeker wanneer er sprake is van zogenoemde bevoorrechte accounts: accounts met meer rechten dan een standaard gebruiker. Het blijkt dat de beveiliging van deze accounts, Privileged Access Management (PAM), gaten vertoont en zo een gewild doelwit vormt voor cybercriminelen. Maar hoe zorg je ervoor dat je dit toegangsbeheer op orde hebt?
PAM is een beveiligingsaanpak met een set technologieën die is ontworpen om de toegang tot cruciale systemen, applicaties en gegevens te controleren en beschermen. Dit gebeurt door de toegang van deze bevoorrechte accounts te beheren. Dit zijn gebruikersaccounts met uitgebreide rechten, waardoor ze in staat zijn systemen, netwerken en applicaties te beheren. Én wat ervoor zorgt dat ze een zeer aantrekkelijk doelwit voor aanvallers zijn. Dit is exact wat er – naar verluidt – is gebeurd in het geval van het datalek bij Ticketmaster. Dit datalek zou zijn veroorzaakt door een gecompromitteerd werknemersaccount bij Snowflake, een cloudopslagbedrijf dat door Ticketmaster werd gebruikt. Aanvallers hebben waarschijnlijk zwakke punten in de toegangscontroles van belangrijke accounts geëxploiteerd om ongeautoriseerde toegang te krijgen.
Een datalek ligt op de loer
Er kan dus veel fout gaan bij het beheren van toegangsrechten van bevoorrechte gebruikers. Een veelvoorkomende fout is het niet vaak genoeg wijzigen van wachtwoorden. Gestolen of gelekte credentials kunnen zo langdurig worden gebruikt door aanvallers. Verder zien we vaak dat voormalige medewerkers of gebruikers die een andere rol hebben gekregen nog altijd dezelfde rechten hebben. Ex-medewerkers die nog toegang hebben tot bepaalde applicaties kunnen hier misbruik van maken; een datalek ligt op de loer. Dit is ook het geval wanneer medewerkers meer rechten krijgen dan nodig is voor hun functie.
Tevens valt op dat deze bevoorrechte accounts niet goed worden gemonitord. Activiteiten worden onvoldoende gelogd, terwijl je dit eigenlijk goed in de gaten wilt blijven houden, ook in het kader van auditing voor wet- en regelgeving. Als er ‘onregelmatigheden’ optreden, zoals fouten of moedwillige fraude, dan wil je kunnen zien wie er verantwoordelijk voor is en hoe deze misstap tot stand is gekomen. Ten slotte zien we nog vaak dat deze bevoorrechte accounts niet zijn voorzien van multifactor-authenticatie. Iets wat we in deze tijd toch wel als een grote misstap mogen bestempelen.
Onder de loep nemen
De oplossing voor het versterken van toegangsbeheer begint met inzicht, zeker als het gaat om bevoorrechte accounts. Weet je als organisatie welke accounts ‘superrechten’ behelzen en weet je welke gebruikers hier aanspraak op kunnen maken? Kijk nog eens goed naar de rollen en functies in je organisatie en vergelijk dit met de huidige toegekende rechten. Bepaal vervolgens de voorwaarden voor dit toegangsbeheer, zoals:
- Waar mogen gebruikers toegang tot krijgen? Bijvoorbeeld niet via een publieke Wifi-verbinding of alleen binnen een kantooromgeving. Of bijvoorbeeld alleen in productiehal 1.
- Wanneer krijgen gebruikers toegang? Bijvoorbeeld van 9:00 tot 17:00 uur Nederlandse tijd of in verschillende tijdzones?
- Wat mogen deze bevoorrechte gebruikers doen? Ook voor hen zijn er beperkingen.
Al deze verschillende rechten, rollen en privileges op een goede manier inrichten en beheren, is al snel een dagtaak. Daarbij wil je wellicht in sommige gevallen ook nog dat er toezicht is wanneer er iemand met een bevoorrecht account inlogt.
Automatiseer het beheer
In dit soort situaties kan het implementeren van een PAM-oplossing, die een groot aantal van deze beheertaken automatiseert, uitkomst bieden. Daarbij moet je denken aan de volgende functionaliteiten:
- Automatische wachtwoordrotatie: PAM-oplossingen beheren en roteren wachtwoorden van bevoorrechte accounts regelmatig om het risico op misbruik te minimaliseren.
- Realtime bewaking van activiteiten uitgevoerd door bevoorrechte accounts om verdachte activiteiten te detecteren. Dit is ook van belang in het kader van NIS2.
- Implementeren van het least privilege-principe, waarbij gebruikers alleen toegang krijgen tot de resources die zij nodig hebben voor hun werk.
- Uitgebreid inzicht in het gebruik en beheer van bevoorrechte accounts.
Kortom, een PAM-oplossing zorgt ervoor dat het aanvalsoppervlak niet groter wordt dan strikt noodzakelijk. We zien het in de praktijk met regelmaat fout gaan op soms eenvoudige taken. Denk aan taken als: verander je wachtwoorden regelmatig en pas de rechten aan wanneer medewerkers intern een andere rol krijgen. Verder is het verstandig om na te denken over wat je doet met tijdelijke, flexibele krachten of met externe partijen die voor onderhoudswerkzaamheden toegang nodig hebben. Wat kunnen en mogen ze op het netwerk van jouw organisatie?
Het accountbeheer is voor de meeste organisaties een flinke belasting. Om het aanvalsoppervlak te beperken is het echter noodzakelijk om zicht en grip te hebben op bevoorrechte accounts. Realiseer je dat deze taken in hoge mate geautomatiseerd kunnen worden waardoor het voor securityexperts behapbaar blijft en zij zich kunnen richten op het voorkomen van potentiële incidenten.
