Round table IBM/SecurIT, 25 september 2018, Woerden

Privileged Accounts bieden vaak onbeperkte toegang tot systemen en data en dat brengt risico’s met zich mee. Volgens Forrester kunnen 80% van alle breaches gerelateerd worden aan Privileged Accounts. Succesvol Privileged Account Management (PAM) is daarmee een behoorlijke uitdaging.

Beheerders hebben Privileged Accounts nodig, bijvoorbeeld voor het installeren van software-updates en het resetten van wachtwoorden. Helaas zijn de gebruikers van Privileged Accounts steeds vaker het doelwit van cyberaanvallen. De beheerders zelf zijn meestal niet het probleem; het zijn hun gewilde inlogaccounts die niet altijd aan een persoon zijn gekoppeld, die een gevaar zijn. En als accounts onbeheerd blijven, kunnen onbevoegden volledige controle over computersystemen krijgen.

Veel organisaties kampen met dezelfde vragen op het gebied van Privileged Accounts. Tijdens de rondetafel in Woerden konden zij sparren en discussiëren met vakgenoten en hun kennis en ervaringen op dit gebied delen.

Privileged Account Management ontwikkelt zich snel. Is het efficiënt geregeld of is er ruimte voor verbetering?

Om de snelle ontwikkeling van Privileged Accounts Management toe te lichten, geeft SecurIT een presentatie. Doel: de belangrijkste problemen op dit gebied in kaart brengen.

De presentatie zorgt voor veel herkenning bij de deelnemers; verouderde wachtwoorden kent iedereen. Opgemerkt wordt ook dat het beveiligingsprobleem niet alleen speelt binnen het serverpark, maar zeker ook op werkstations van individuele kantoormedewerkers.

Iedereen is zich ervan bewust dat er veel ruimte voor verbetering is. Voor sommigen is de stap naar PAM gewoonweg nog te groot: “Alle processen eromheen: dat is gewoon teveel op dit moment.” Daarop wordt opbouwend gereageerd: “Als je weet wat de eerste stap is, is dat ook al heel wat.”

Diverse deelnemers hebben in hun eigen organisatie al analyses uitgevoerd om het probleem in kaart te brengen (en niet alleen op de OS-laag): bij clouddiensten, hosted services, in SAP-omgevingen. Er worden stappen gezet, proof of concepts opgezet, maar het afdwingen en naleven van policies, ook in samenspraak met externe leveranciers, blijft lastig.

Waar zit het grootste risico? Welke problemen zijn er?

Bij beveiliging is het altijd een afweging van risico’s, zo is de consensus. Zomaar alles aanwijzen als ‘insecure’ is niet werkbaar. Te strikte securitymaatregelen werken averechts. “Je moet aanmerken waarmee je echt onderuit kunt gaan. Met te strenge maatregelen maken ‘security-theoretici’ hun eigen zaak kapot. Soms is er alleen in theorie een probleem.”

Zo kun je nu eenmaal niet elke uitzendkracht die een lopende band in werking moet zetten, een eigen account geven. In zo’n geval kun je bijvoorbeeld zoneringen aanbrengen, zodat je jezelf beschermt tegen schades door buitenstaanders. Dat kan echter weer conflicten met beheerders veroorzaken, omdat zij niet via een beheerzone willen werken.

En soms, zo wordt gesteld, kun je dingen het best op een manier regelen die in theorie ‘niet klopt’, omdat bijvoorbeeld een productieproces niet stil mag komen te liggen. Dit kan zelfs zover gaan als geen wachtwoord toekennen, of het wachtwoord delen met collega’s.

Toegang geven en samenwerking met vendors is ander een heikel punt, zo onderkennen de deelnemers. Waartoe autoriseer je hen? Hoe bepaal je wanneer en waartoe zij toegang hebben? Sommige organisaties hebben te maken met honderden externe leveranciers waarvoor dit allemaal moet worden geregeld, bijvoorbeeld voor het doen van onderhoud.

Tijdens de discussie worden nog diverse andere problemen gesignaleerd, zoals:

• Hoe ga je om met het aanvragen van rechten op software van externe leveranciers als je die echt nodig hebt? Vanuit de leverancier is vaak een domain-admin-account vereist, anders vervalt de support, terwijl zo’n account niet altijd technisch noodzakelijk is.
• Eigenaarschap in de organisatie is een ander pijnpunt. Wie weet hoe je het wachtwoord kunt wijzigen? Als daar geen helder antwoord op is, wordt een wachtwoord niet gewijzigd, met alle risico’s van dien.
• Hoe controleer je wat een externe persoon of organisatie op je netwerk heeft gedaan? Niet altijd worden bewegingen gelogd en de logfiles worden vaak ook niet lang bewaard.
• Niet alle admin-accounts worden geregistreerd en meegenomen in het IAM-systeem, bijvoorbeeld SAP service accounts.
• Multi-factor authenticatie is niet het ei van Columbus, maar het zorgt wel voor awareness bij medewerkers.
• Een deel van de aanwezigen heeft problemen om PAM ingevoerd te krijgen in hun organisatie. Het blijkt voor een deel kennisafhankelijk. Zo goed mogelijk informeren blijkt een goede manier om PAM te stimuleren. Zichtbaar zijn en uitleggen ook, want: “Als je alleen maar iets afpakt, wordt het per definitie vervelend.”

Wat zou een best practice zijn voor Privileged Account Management?

Op deze open vraag komen na de koffie verschillende suggesties, waaronder:

• Zonering in tiered service-modellen: ‘Dat hebben we samen met Microsoft gedaan en het werkt erg goed voor ons. Iedereen went er snel aan.’
• Per systeem een eigen log-in.
• ‘We zijn begonnen met terug te werken vanuit de end-points, omdat we de grootste risico’s zien in medewerkers die niet zijn opgeleid als IT’er.’
• Ga ervan uit dat alle externe devices insecure zijn. Houd de toegang gewoon dicht.
• Houd het klein, voer een POC (proof of concept) uit. En leer daarvan. Gaat het fout, doe het dan nog een keer.
• Ook voor de fysieke wereld kunt je per zonering verschillende policies maken: Maak keuzes aan de hand van de verdeling open/kantoor/critical en businesscritical.
• Zorg ervoor dat je al snel iets kunt laten zien, bijvoorbeeld een POC. Dat helpt bij het overtuigen van mensen.

Wat neem je mee naar huis?

Aan het einde van de bijeenkomst wordt de balans opgemaakt. Er zijn – uiteraard – veel verschillende maturity-levels. Niet te hard van stapel lopen, lijkt het devies: “Wees niet te ambitieus; kijk naar de fase waarin je organisatie zit en zet één stapje tegelijkertijd.” “Maak een tussenstap, of zet het op de roadmap 20-30.” Toch zijn diverse deelnemers ook gestimuleerd om met ‘echte’ PAM-tooling aan de slag te gaan: “Alleen een wachtwoordkluis is toch niet genoeg.”

Next-level PAM blijkt dus heel situatie-afhankelijk: Het hangt af van de organisatie en bestaande processen of een PAM-oplossing succesvol wordt, ook van hoe sterk de organisatie zich maakt voor implementatie. Vaak geven organisaties bij gebrek aan draagvlak en visie de volgende stap snel op. “PAM wordt als een bedreiging gezien, maar het is eerder een excuus om geen stappen te zetten.”

15 opvallende uitspraken:

• ‘Bij een bedrijf van 2000 kantoormedewerkers vonden we 7371 Privileged Accounts op 343 servers. Ook waren er 833 PA-hashes en 43.787 administrator hashes. Dat was een eyeopener voor de klant.’
• ‘Het password was al 11 jaar niet gewijzigd. Is dat erg?’
• ‘Het begint bij het liquideren van het aantal domain-admins.’
• ‘Het ligt vaak niet aan technische mogelijkheden tot ingrijpen, maar aan discipline binnen de organisatie.’
• ‘We hebben er vier jaar over gedaan om een IAM-systeem in ons IT-landschap te brengen. Geen gedeelde accounts meer. Enorme ruzies zijn daarmee gepaard gegaan.’
• ‘Het leek ons wel veilig om een account te hebben dat niet door PAM wordt gemanaged.’
• ‘Uiteindelijk wordt het altijd fysiek, je moet naar die server toe en er moet een stekker in het netwerk.’
• ‘Wij hebben bring your own device de nek omgedraaid.’
• ‘Als je kwaad wilt, dan lukt dat. Altijd.’
• ‘Een gevoelig account is niet per definitie een privileged account. Zo’n account kan weer heel andere beveiligingsmaatregelen vereisen, veel procesmatiger of fysieker.’
• ‘Als je een laag risico hebt, ga je niet iets heel ingrijpends aan je organisatie opleggen.’
• ‘Maakt geautomatiseerd beheer PAM minder bedreigend?’
• ‘Beheerders van systemen zijn de moeilijkste groep om mee te krijgen met PAM: ze overschatten zichzelf en zijn zich niet bewust van alle problemen.’
• ‘IAM wordt al langer gezien als een business enabler. Dat zal PAM ook worden, maar daar zijn we nog niet.’
• ‘Ik heb nog nooit in de praktijk integratie van IAM- en PAM-tooling werkend gezien.’