Privileged Access Management
Privileged Access Management (PAM) verwijst naar een klasse van oplossingen die helpen bij het beveiligen, beheren, beheren en bewaken van bevoorrechte toegang tot kritieke assets.
om deze doelen te bereiken, nemen PAM – oplossingen meestal de referenties van bevoorrechte accounts – dat wil zeggen de admin accounts-en zetten ze in een beveiligde repository (een kluis) om het gebruik van bevoorrechte accounts te isoleren om het risico te verminderen dat deze accounts worden gestolen. Eenmaal in de repository, moeten systeembeheerders door het PAM systeem gaan om toegang te krijgen tot hun referenties, op welk punt ze geauthenticeerd worden en hun toegang gelogd wordt. Als een credential opnieuw wordt ingecheckt, wordt deze gereset om er zeker van te zijn dat beheerders door het PAM systeem moeten gaan de volgende keer dat ze de credential willen gebruiken.
door bevoorrechte referenties op één plaats te centraliseren, kunnen PAM-systemen een hoog niveau van beveiliging voor hen garanderen, bepalen wie er toegang tot hen heeft, alle toegangen registreren en controleren op verdachte activiteiten.
Privileged Access Management by Gartner heeft de volgende subcategorieën:
- Shared access password manager (SAPM)
- Superuser password manager (SUPM)
- Privileged session manager (PSM)
- Application access password manager (AAPM)
PAM password vaults (SAPM) biedt een extra laag van controle over beheerders en wachtwoordbeleid, evenals monitoring trails van bevoorrechte toegang tot kritieke systemen .
wachtwoorden kunnen een verscheidenheid aan wachtwoordbeleid volgen en kunnen zelfs wegwerpbaar zijn. Session brokers, of PSMs, brengen PAM naar een ander niveau , zodat beheerders nooit de wachtwoorden zien, hun geharde proxyservers zoals jump servers ook actieve sessies controleren, en reviewers in staat stellen om admin sessies te stoppen als ze iets verkeerd zien. Op dezelfde manier kan AAPMs referenties just-in-time vrijgeven voor application-to-application communicatie, en zelfs opstartscripts wijzigen om hard-gecodeerde wachtwoorden te vervangen door API-oproepen naar de wachtwoordkluis.
meer informatie over hoe u uw PAM-gebruikers kunt beschermen
CyberArk, een marktleider op het gebied van geprivilegieerd accountbeheer, stelt dat het 7 typen PAM-accounts in een onderneming zijn:
- Emergency accounts : Geef gebruikers toegang tot beveiligde systemen in het geval van een noodgeval. Toegang tot deze accounts vereist IT-management goedkeuring om veiligheidsredenen, het is meestal een handmatig proces dat geen beveiligingsmaatregelen.
- lokale administratieve Accounts :zijn gedeelde accounts die admin toegang geven tot de lokale host of sessie alleen. Deze lokale accounts worden routinematig gebruikt door het IT-personeel voor onderhoud aan werkstations en ook servers, netwerkapparaten, servers mainframes en andere interne systemen. Het is in het verleden bewezen dat IT-professionals tent om wachtwoorden te hergebruiken in een organisatie voor gebruiksgemak. Dit gedeelde wachtwoord wordt soms gebruikt voor duizenden servers en services en is een doelwit waarvan bekend is dat geavanceerde persistente bedreigingen worden uitgebuit.
- Toepassingsaccounts : Deze accounts worden gebruikt door toepassingen om toegang te krijgen tot databases, cron-taken of scripts uit te voeren of toegang te bieden tot andere toepassingen. Deze bevoorrechte accounts hebben meestal toegang tot gevoelige kritieke informatie die zich in toepassingen en databases bijvoorbeeld Zapier geïntegreerde accounts. Wachtwoorden voor deze accounts worden vaak ingebed en opgeslagen in platte tekstbestanden, een kwetsbaarheid die over meerdere kanalen en servers wordt gekopieerd om een erf-fout voor toepassingen te bieden. Deze kwetsbaarheid is goed bekend en wordt het doelwit van advance persistent threats (APT) .
- Active Directory-of Windows domain service-account: zijn op zijn zachtst gezegd een uitdaging om wachtwoordwijzigingen te beveiligen, omdat ze synchronisatie tussen meerdere ecosystemen en toepassingen vereisen . Deze uitdaging leidt vaak tot een praktijk van zelden veranderen applicatie-account wachtwoorden om te voorkomen dat directory wildgroei die een enkel punt van storing in een kritisch systeem zoals Active Directory creëert.
- serviceaccounts: zijn lokale of domeinaccounts die door een toepassing of service worden gebruikt om met het besturingssysteem te communiceren. In sommige gevallen hebben deze serviceaccounts beheerdersrechten voor domeinen, afhankelijk van de vereisten van de toepassing waarvoor ze worden gebruikt.
- Domeinadministratieve Accounts: Superadministrators die bevoorrechte toegang hebben over alle werkstations en servers binnen het organisatiedomein en die de meest uitgebreide toegang bieden over het netwerk. Met volledige controle over alle domeincontrollers en de mogelijkheid om het lidmaatschap van elke administratieve account binnen het domein te wijzigen, ze zijn een constante bedreiging voor organisaties en worden op grote schaal gericht door hackers.
- bevoorrechte gebruikersaccounts: zijn gebruikers die beheerdersrechten aan systemen hebben. Bevoorrechte gebruikersaccounts zijn een van de meest voorkomende vormen van toegang tot accounts die worden verleend op een ondernemingsdomein, waardoor gebruikers beheerdersrechten kunnen hebben op bijvoorbeeld hun lokale desktops of op de systemen die ze beheren. Vaak hebben deze accounts unieke en complexe wachtwoorden, maar de meeste van de tijd worden beschermd door wachtwoorden alleen.
leer meer over hoe u uw PAM-gebruikers kunt beschermen
PAM Multi Factor authenticatie
voor bedrijven die een PAM-oplossing draaien, is de tijd gekomen om het juiste platform te kiezen om toegang te krijgen tot die oplossing die bevoorrechte accounts veilig houdt.
een MFA-oplossing (Multi factor Authentication) is een must. Zoals een recente Gartner Research paper concludeerde: “op een minimum, CISO’ s moeten verplichte multifactor authenticatie (MFA) voor alle beheerders.”
het kiezen van een wachtwoordvrije high assurance oplossing doet meer dan het beveiligen van authenticatiesystemen. Het elimineert ook de kosten in verband met wachtwoorden zoals helpdesk gesprekken en wachtwoord resets. Verder brengt passwordless user experience (UX) naar een nieuw niveau, door het authenticatieproces te stroomlijnen. Niet meer opslaan en onthouden van referenties, en niet meer rond extra apparaten voor verificatie.
volledig artikel lezen-geprivilegieerde gebruikers zijn geprivilegieerde doelen
geheime Dubbele Octopus CyberArk authenticatie oplossing
Privileged access, verwijst naar toegang tot een systeem (on-premise of cloud) dat ook boven de benchmark van een gewone gebruiker login ligt. Organisaties hebben verschillende niveaus van systemen afhankelijk van het niveau van risico verbonden aan het overtreden/misbruik van het systeem.
Privileged access accounts zijn gebruikers die toegang hebben tot systeemkritische bronnen, daarom moeten ze beschermd en bewaakt worden.
PAM helpt klanten hun privilege gebruikersaccounts te beveiligen en te beheren om een betere beveiliging en governance te garanderen, en ook om te voldoen aan sommige regels.
Privileged identity management (Pim) en privileged access management (PAM) worden vaak door elkaar gebruikt en betekenen hetzelfde – het beveiligen, controleren, beheren en bewaken van bevoorrechte toegang tot kritieke activa.
PAM-oplossingen nemen bevoorrechte accountreferenties-dat wil zeggen de admin-accounts – en plaatsen ze in een beveiligde repository-een vault. Eenmaal in de kluis, moeten systeembeheerders door het PAM systeem gaan om toegang te krijgen tot de referenties, op welk punt ze geauthenticeerd worden en hun toegang gelogd wordt. Als een credential opnieuw wordt ingecheckt, wordt deze gereset om er zeker van te zijn dat beheerders door het PAM systeem moeten gaan de volgende keer dat ze een credential willen gebruiken.
over het algemeen heeft PAM geen AD DS nodig. Wanneer PAM wordt geïmplementeerd met AD, is het doel van PAM om de controle over een gecompromitteerde Active Directory-omgeving te herstellen door een geïsoleerde, sterk beveiligde omgeving te onderhouden voor bevoorrechte accountreferenties.
PAM kan worden geïntegreerd met AD DS voor verificatie en autorisatie van domeinaccounts.
PAM creëert een geà soleerde, zeer beveiligde en streng gecontroleerde omgeving voor het opslaan van bevoorrechte referenties en het controleren van toegang tot hen. Het zorgt ook voor granulaire gebruik tracking voor bevoorrechte accounts (d.w.z. admin accounts), die meestal gedeelde accounts.
bevoorrechte gebruikerssessies, beschermt doelgerichte systemen door toegang mogelijk te maken zonder gevoelige referenties bloot te leggen door gebruik te maken van een beveiligde jump server (beveiligde administratieve host), bevoorrechte sessies te monitoren en op te nemen om te voldoen aan auditvereisten en verdachte bevoorrechte sessies in real-time te stoppen.