Privileged Access Management inzetten voor NIS2-compliance
Privileged Access Management (PAM) speelt een essentiële rol om organisaties in staat te stellen te voldoen aan de nieuwe vereisten en tegelijkertijd hun cyberweerbaarheid op de lange termijn te versterken.
“Privileged accounts, administratieve accounts of accounts met belangrijke rechten behoren altijd tot de belangrijkste doelwitten van aanvallers en liggen vaak aan de basis van grote beveiligingslekken”, verzekert Rob Otto, Field CTO EMEA, Ping Identity. Tijdens de laatste All Cyber School van het jaar in La ferme Mont-Saint-Jean in Waterloo, sprak deze specialist over het belang van PAM als kritisch element voor naleving van de NIS2-richtlijn.
PAM maakt deel uit van het IAM-systeem en richt zich op het beschermen van de toegang van gebruikers met uitgebreide rechten – zogenaamde geprivilegieerde gebruikers – die vaak het doelwit zijn van cyberaanvallen, juist vanwege de omvang van hun toegang en dus hun vermogen om deze te controleren.
Privileges zijn overal
Hoewel het beheer van geprivilegieerde toegang verreweg het gevoeligst is, is het op dezelfde risico’s gebaseerd. Mensen zijn nog steeds de zwakke schakel”, zegt Christophe Hohl, technisch adviseur Cyber Security Management. “Privileged access management helpt organisaties om ervoor te zorgen dat mensen alleen het toegangsniveau hebben dat ze nodig hebben om hun werk te doen. Privileged access management helpt beveiligingsteams ook om kwaadaardige activiteiten te identificeren die gekoppeld zijn aan misbruik van privileges en om snel actie te ondernemen om het risico te neutraliseren.”
Laten we onszelf niet voor de gek houden. In digitale bedrijven zijn privileges overal. Systemen moeten toegang hebben tot elkaar en met elkaar kunnen communiceren om samen te werken. “We moeten erkennen dat het aantal machines en applicaties dat geprivilegieerde toegang nodig heeft toeneemt, waardoor het aanvalsoppervlak groter wordt. Deze niet-menselijke entiteiten zijn over het algemeen veel talrijker dan werknemers en ze zijn moeilijker te controleren en te beheren, of zelfs simpelweg te identificeren”.
Elke terminal heeft standaard privileges
Als we aan IAM en PAM denken, denken we meteen aan IT, maar al te vaak verwaarlozen we het OT, dat wil zeggen de operationele omgevingen. In verschillende sectoren, zoals luchthavens of ziekenhuizen, is het IoT overal aanwezig, soms draaiend op verouderde besturingssystemen die qua ontwerp niet veilig zijn. Er wordt zelden rekening gehouden met het probleem van security governance voor IoT-netwerken, zegt Rob Otto. “Wie is verantwoordelijk voor IoT-beveiliging? Als er een IoT-beveiligingsteam is, hoe zorg je er dan voor dat het samenwerkt met IT-beveiliging? Een robuuste privileged access management strategie houdt rekening met alle privileges, waar ze ook ‘wonen’ – on-premises, in de cloud of in hybride omgevingen – en detecteert afwijkende activiteiten zodra ze zich voordoen!
In elke organisatie bevat elk endpoint standaard privileges. Geïntegreerde beheerdersaccounts stellen IT-teams in staat om problemen lokaal op te lossen, maar vormen tegelijkertijd een belangrijke bron van risico. “Aanvallers kunnen beheerdersaccounts misbruiken en vervolgens van het ene werkstation naar het andere gaan, waarbij ze extra referenties stelen, om hun privileges te verhogen en lateraal over het netwerk te bewegen totdat ze bereiken waar ze voor kwamen,” waarschuwt Christophe Hohl. Een proactief programma voor het beheer van bevoorrechte toegang moet de volledige verwijdering van lokale beheerdersrechten op elk werkstation omvatten om het risico te verkleinen.
Vastleggen en loggen
Tot slot is het beheren van bevoorrechte toegang essentieel voor het bereiken van compliance… en daar draait het allemaal om bij NIS2. De richtlijn eist van organisaties dat ze aantonen dat de basisbeveiligingseisen zijn ingevoerd en dat ze de juiste tools gebruiken, met name voor het melden van beveiligingsincidenten,” zegt Stanislas Van Oost, GRC Executive Advisor en consultant voor Cyber Security Management. Identiteitsbeveiliging maakt het voor bedrijven eenvoudiger om processen en controles te ontwerpen die ze kunnen controleren, waardoor naleving van de wettelijke normen wordt gewaarborgd en inbreuken op de beveiliging nauwkeurig kunnen worden gerapporteerd”.
Praktisch gezien stelt het implementeren van privilegetoegangsbeheer als onderdeel van een alomvattende beveiligings- en risicomanagementstrategie organisaties in staat omalle activiteiten met betrekking tot kritieke IT-infrastructuur en gevoelige informatie vast te leggen en te loggen, waardoor auditprocedures en compliancevereisten worden vereenvoudigd.
Vergemakkelijken van audits en onderzoeken
In de context van NIS2 is dit laatste aspect belangrijk, benadrukt Stanislas Van Oost. “Terwijl identiteitsbeveiliging organisaties in staat stelt om snel te reageren en de dreiging te beperken, biedt het ook een gecentraliseerd overzicht van activiteiten, waardoor organisaties het gedrag van gebruikers kunnen controleren en monitoren. Deze functionaliteit versterkt de verantwoordingsplicht van bedrijven en vergemakkelijkt audits en onderzoeken. Dit is een aanvulling op de transparantievereisten van de NIS2-richtlijn.
Door sterke authenticatiemechanismen, functiegebaseerde toegangscontroles en principes van ‘least privilege’ te implementeren, zullen organisaties het risico op ongeautoriseerde toegang en bedreigingen van binnenuit aanzienlijk verminderen,” concludeert Rob Otto. “Organisaties die prioriteit geven aan programma’s voor het beheer van privilegetoegang als onderdeel van hun algehele cyberbeveiligingsstrategie zullen op vele manieren profiteren, waaronder het beperken van beveiligingsrisico’s, het verkleinen van het totale aanvalsoppervlak, het verlagen van operationele kosten en complexiteit, het verbeteren van zichtbaarheid en contextueel bewustzijn in de hele onderneming en het verbeteren van de naleving van regelgeving.”
