Over deze blogger
Wijnand heeft 20 jaar ervaring in de IT, met een sterke focus op development en management. Sinds 2010 is hij onderdeel van de Grabowsky-familie. Binnen het management team is hij verantwoordelijk voor Delivery en HR. Daarnaast is hij projectmanager van verschillende Identity and Access Management- projecten. Wijnand is begonnen als ontwikkelaar voor het ministerie van VROM en nam al snel projectleidingstaken op zich. Deze combinatie van projectleiding en lead developer heeft hij vervolgens in meerdere projecten succesvol toegepast. Hij studeerde Informatica aan de Haagse Hogeschool en Electrotechniek aan de Technische Universiteit in Delft.
Voor een hacker zijn deze ‘privileged accounts’ altijd het eerste doel, omdat deze accounts zo veel rechten hebben. Vandaag de dag zijn er helaas genoeg voorbeelden te noemen dat aanvallers toegang tot dergelijke accounts hebben kunnen krijgen, en daarmee grote schade hebben berokkend (zoals bijvoorbeeld vorig jaar de eBay hack en de 38 miljoen gestolen Adobe accounts, maar natuurlijk ook de activiteiten van Edward Snowden, of het oudere voorbeeld van Société Générale met 4 miljard schade).
Aanvallers van binnen en van buiten
Cyber-aanvallen zijn tegenwoordig zo goed georganiseerd, dat de hackers zonder ontdekt te worden tot in de kern van de bedrijfsgegevens kunnen doordringen, en dit voor lange(re) tijd vol kunnen houden. Dit heet een ‘Advanced Persistent Threat’: geavanceerd (geen mogelijkheid wordt geschuwd, zowel technisch als middels ‘social enginering’), volhardend (ze hebben alle tijd) en bekwaam (met goede financiering).
Maar het kan ook een interne medewerker zijn, die al bepaalde rechten heeft vanuit z’n identiteit en kennis heeft van de interne bedrijfsvoering. Als het een beheerder is, zijn de activiteiten met een admin-account vaak niet te herleiden naar een natuurlijk persoon, omdat het account gedeeld kan zijn binnen het team.
Wat ook mee speelt is dat veel bedrijven geen goed beeld hebben van de hoeveelheid administrator-accounts die zij hebben in hun IT-omgeving. Dit wordt vaak een factor vijf tot tien te laag ingeschat.
Tijd voor actie!
PAM is een maatregel om de risico’s van privileged accounts te minimaliseren. Bij PAM worden de wachtwoorden van deze accounts opgeslagen in een digitale kluis, om daar alleen uit te komen wanneer dat nodig is. Dat kan bijvoorbeeld gebeuren middels een workflow waarbij de manager het gebruik van het account voor een beperkte tijd goedkeurt. Na het verstrijken van die vooraf vastgestelde tijd kan dan ook het wachtwoord automatisch gereset worden.
Wegens toenemende druk van steeds meer wet- en regelgeving staat compliancy bij vele grote bedrijven hoog op de agenda. Vaak gaat dit over wat de business users kunnen en mogen, plus het kunnen bewijzen ‘dat het zo is’. Maar meestal gaat dit niet over de IT-users, waar ook de admin-users onder vallen. Als analogie zou je kunnen stellen dat de voor- en achterkant van het huis er gelikt uitzien, maar dat het huis vanuit de kelder nog leeggeroofd kan worden.
Andersom bekeken is het dus goed om het individu als uitgangspunt te nemen, en vanuit deze invalshoek te bepalen welke bedrijfsrisico’s beheerst en beperkt moeten worden. En natuurlijk is de business leidend, maar vanuit dit oogpunt is het makkelijk te zien dat zowel de business-zijde als de IT-zijde in ogenschouw moeten worden genomen, aangezien de medewerkers in beide gebieden actief zijn. Het hele huis dus op orde!
Risicobeheersing
Er is dus sprake van een hoog risico als het PAM-terrein braak blijft liggen. En natuurlijk staat het buiten kijf dat dit aandacht krijgt, maar met de heden ten daagse oplossingen kunnen de risico’s zeer adequaat sterk beperkt worden.
Dit zien we ook terug in de markt: het beheer van privileged accounts krijgt nu in de boardroom meer en meer aandacht omdat nut en noodzaak worden ingezien, wat zich vertaalt in benutting en implementaties. In de meeste gevallen is PAM voor veel organisaties een grote sprong voorwaarts, en bijvoorbeeld een logisch vervolg op een compliancy-implementatie met een business insteek. Vandaag de dag wachtwoorden bijhouden in KeePass of Excel is absoluut voor verbetering vatbaar!
Goedenacht
Samenvattend kan je zeggen dat door het implementeren van PAM het hele huis op orde wordt gebracht. En een huis dat op orde is zorgt vanzelfsprekend voor de beste nachtrust!