Trace Id is missing
Overslaan naar hoofdinhoud
Microsoft Beveiliging

Wat is Privileged Access Management (PAM)?

Bescherm je organisatie tegen cyberbedreigingen door onbevoegde uitgebreide toegang tot kritieke bronnen te bewaken, detecteren en voorkomen.

Wat is Privileged Access Management (PAM)?

Privileged Access Management (PAM) is een identiteitsbeveiligingsoplossing die organisaties helpt te beschermen tegen cyberbedreigingen door onbevoegde uitgebreide toegang tot kritieke bronnen te bewaken, detecteren en voorkomen. PAM werkt door een combinatie van mensen, processen en technologie en geeft je inzicht in wie bevoegde accounts gebruikt en wat ze doen terwijl ze zijn aangemeld. Door het aantal gebruikers te beperken dat toegang tot beheerfuncties heeft, verhoog je de systeembeveiliging terwijl aanvullende beschermingslagen gegevenslekken door bedreigingsactors mitigeren.

Hoe werkt Privileged Access Management?

Een PAM-oplossing identificeert de mensen, processen en technologie die uitgebreide toegang nodig hebben en specificeert de beleidsregels die daarop van toepassing zijn. Je PAM-oplossing moet mogelijkheden hebben om de beleidsregels te ondersteunen die je opstelt (bijv. geautomatiseerd wachtwoordbeheer en meervoudige verificatie) en beheerders moeten het proces van het maken, wijzigen en verwijderen van accounts kunnen automatiseren. Je PAM-oplossing moet ook voortdurend sessies bewaken, zodat je rapporten kunt genereren om afwijkingen te identificeren en onderzoeken.

Twee primaire use-cases voor Privileged Access Management zijn het voorkomen van referentiediefstal en het bereiken van compliance.

Referentiediefstal is wanneer een bedreigingsactor aanmeldingsgegevens steelt om toegang tot het account van een gebruiker te krijgen. Nadat de bedreigingsactor zich heeft aangemeld, kan hij/zij toegang tot organisatiegegevens krijgen, malware op verschillende apparaten installeren en toegang tot systemen op een hoger niveau krijgen. Een PAM-oplossing kan dit risico mitigeren door just-in-time en just-enough toegang en meervoudige verificatie voor alle beheerdersidentiteiten en -accounts te verzekeren.

Welke compliancenormen ook van toepassing zijn op je organisatie, er is waarschijnlijk een beleid met minimale bevoegdheden nodig om gevoelige gegevens zoals betaalgegevens of gegevens over persoonlijke gezondheid te beschermen. Een PAM-oplossing stelt je ook in staat om je compliance te bewijzen door rapporten over bevoegde gebruikersactiviteit te genereren – wie toegang heeft tot welke gegevens en waarom.

Aanvullende use-cases omvatten het automatiseren van de gebruikerslevenscyclus (d.w.z. account maken, inrichten en inrichting ongedaan maken), het bewaken en vastleggen van bevoegde accounts, het beveiligen van externe toegang en het controleren van toegang door derden. PAM-oplossingen kunnen ook worden toegepast op apparaten (Internet of Things), cloudomgevingen en DevOps-projecten.

Misbruik van uitgebreide toegang is een cyberbeveiligingsbedreiging die ernstige en grote schade kan veroorzaken in elke organisatie. Een PAM-oplossing biedt robuuste functies om je te helpen dit risico vóór te blijven.

  • Bied just-in-time toegang tot kritieke bronnen
  • Maak veilige externe toegang mogelijk met behulp van versleutelde gateways in plaats van wachtwoorden
  • Bewaak bevoegde sessies om onderzoeksaudits te ondersteunen
  • Analyseer ongebruikelijke bevoegde activiteit die mogelijk schadelijk is voor je organisatie
  • Leg gebeurtenissen van bevoegde accounts vast voor compliance-audits
  • Genereer rapporten over bevoegde gebruikerstoegang en -activiteit
  • Bescherm DevOps met geïntegreerde wachtwoordbeveiliging

Typen bevoegde accounts

Superuser-accounts zijn bevoegde accounts die worden gebruikt door beheerders die onbeperkte toegang tot bestanden, mappen en bronnen hebben. Ze kunnen software installeren, configuraties en instellingen wijzigen, en gebruikers en gegevens verwijderen.

Bevoegde accounts

Bevoegde accounts bieden meer toegang en bevoegdheden dan niet-bevoegde accounts (bijv. standaardgebruikersaccounts en gastgebruikersaccounts).

Domeinbeheerdersaccounts

Domeinbeheerdersaccounts hebben het hoogste niveau van controle in een systeem. Deze accounts hebben toegang tot alle werkstations en servers in je domein en hebben controle over systeemconfiguraties, beheerdersaccounts en groepslidmaatschappen.

Lokale beheerdersaccounts

Lokale beheerdersaccounts hebben beheerderscontrole over specifieke servers of werkstations en worden vaak gemaakt voor onderhoudstaken.

Toepassingsbeheerdersaccounts

Toepassingsbeheerdersaccounts hebben volledige toegang tot specifieke toepassingen en de gegevens die erin zijn opgeslagen.

Serviceaccounts

Serviceaccounts helpen toepassingen veiliger te communiceren met het besturingssysteem.

Zakelijke bevoegde gebruikersaccounts

Zakelijke bevoegde gebruikersaccounts hebben bevoegdheden op hoog niveau gebaseerd op functieverantwoordelijkheden.

Noodaccounts

Noodaccounts bieden onbevoegde gebruikers beheerderstoegang tot veilige systemen in het geval van een ramp of storing.

PAM vs. PIM

Privilege Access Management helpt organisaties identiteiten te beheren en maakt het moeilijker voor bedreigingsactors om een netwerk binnen te dringen en bevoegde accounttoegang te verkrijgen. Het voegt beveiliging toe aan bevoegde groepen die de toegang controleren tot domein-gekoppelde computers en de toepassingen op die computers. PAM biedt ook bewaking, inzicht en verfijnde controles, zodat je kunt zien wie je bevoegde beheerders zijn en hoe hun accounts worden gebruikt.

Privileged Identity Management (PIM) biedt tijdsgebaseerde en goedkeuringsgebaseerde rolactivering om de risico's te mitigeren van overmatige, onnodige of misbruikte toegang tot gevoelige bronnen in je organisatie door just-in-time toegang en just-enough toegang af te dwingen voor die accounts. Om deze bevoegde accounts verder te beveiligen, stelt PIM je in staat om beleidsopties zoals meervoudige verificatie af te dwingen.

Hoewel PAM en PIM veel overeenkomsten hebben, maakt PAM gebruik van tools en technologie om de toegang tot je bronnen te controleren en bewaken en werkt het volgens het principe van minimale bevoegdheden (verzekeren dat werknemers net voldoende toegang hebben om hun werk te kunnen doen), terwijl PIM beheerders en superusers controleert met tijdgebonden toegang en deze bevoegde accounts beveiligt.

Best practices voor Privileged Access Management

Terwijl je jouw PAM-oplossing plant en implementeert, zijn er best practices die je in gedachten moet houden om beveiliging te verbeteren en risico's te mitigeren in je organisatie.

Vereis meervoudige verificatie

Voeg een beveiligingslaag toe aan het aanmeldingsproces met meervoudige verificatie. Wanneer gebruikers toegang tot accounts of apps willen krijgen, moeten ze aanvullende identiteitsverificatie opgeven via een ander geverifieerd apparaat.

Automatiseer je beveiliging

Verlaag het risico op menselijke fouten en verhoog de efficiëntie door je beveiligingsomgeving te automatiseren. Je kunt bijvoorbeeld automatisch bevoegdheden beperken en onveilige of onbevoegde acties voorkomen wanneer een bedreiging wordt gedetecteerd.

Verwijder eindpuntgebruikers

Identificeer en verwijder onnodige eindpuntgebruikers uit de lokale beheerdersgroep op Windows-werkstations van IT. Bedreigingsactors kunnen een beheerdersaccount gebruiken om van werkstation naar werkstation te springen, andere referenties te stelen en hun bevoegdheden te verhogen om zich door het netwerk te verplaatsen.

Stel basislijnen op en bewaak afwijkingen

Controleer activiteiten van uitgebreide toegang om te zien wie wat doet in het systeem en hoe bevoegde wachtwoorden worden gebruikt. Als je weet wat de basislijn voor acceptabele activiteiten is, helpt dit je om afwijkingen te zien die je systeem mogelijk compromitteren.

 

Bied just-in-time toegang

Pas het beleid met minimale bevoegdheden toe op alles en iedereen, en verhoog de bevoegdheden vervolgens waar nodig. Dit helpt je systemen en netwerken te segmenteren voor gebruikers en processen op basis van niveaus van vertrouwen, behoeften en bevoegdheden.

Vermijd permanente uitgebreide toegang

Overweeg tijdelijke just-in-time toegang en just-enough toegang in plaats van permanente uitgebreide toegang. Dit helpt te verzekeren dat gebruikers een geldige reden voor dergelijke toegang hebben en alleen voor de benodigde tijd.

Gebruik op activiteiten gebaseerd toegangsbeheer

Verleen alleen toegang tot de bronnen die een persoon daadwerkelijk gebruikt, op basis van hun eerdere activiteit en gebruik. Probeer het hiaat te dichten tussen bevoegdheden die worden verleend en bevoegdheden die worden gebruikt.

 

Het belang van Privileged Access Management

Mensen zijn de zwakste schakel wanneer het aankomt op systeembeveiliging, en bevoegde accounts vormen een aanzienlijk risico voor je organisatie. PAM geeft beveiligingsteams de mogelijkheid om schadelijke activiteiten te identificeren die het gevolg zijn van misbruik van bevoegdheden, en onmiddellijk actie te ondernemen om risico's te verhelpen. Een PAM-oplossing kan verzekeren dat werknemers alleen de benodigde toegangsniveaus hebben om hun werk te kunnen doen.

Behalve het identificeren van schadelijke activiteiten in verband met misbruik van bevoegdheden, helpt een PAM-oplossing je organisatie ook om:

  • De kans op een beveiligingsschending te minimaliseren. Als er toch een schending plaatsvindt, helpt een PAM-oplossing het bereik ervan in je systeem te beperken.
  • Het aantal ingangen en paden voor bedreigingsactors te verminderen. Beperkte bevoegdheden voor mensen, processen en toepassingen beschermen tegen interne en externe bedreigingen.
  • Malware-aanvallen te voorkomen. Als er toch malware wordt gevonden, kan het verwijderen van overmatige bevoegdheden helpen de verspreiding ervan te verminderen.
  • Een audit-vriendelijkere omgeving te creëren. Bereik een uitgebreide beveiligings- en risicobeheerstrategie met activiteitslogboeken die je helpen verdachte activiteiten te bewaken en detecteren.

PAM-beveiliging implementeren

Om aan de slag te gaan met Privileged Access Management, heb je een plan nodig om:

  1. Volledig inzicht te geven in alle bevoegde accounts en identiteiten. Je PAM-oplossing moet je alle bevoegdheden laten zien die worden gebruikt door menselijke gebruikers en workloads. Zodra je dit inzicht hebt, verwijder je standaardbeheerdersaccounts en pas je het principe van minimale bevoegdheden toe.
  2. Uitgebreide toegang te beheren en controleren. Je moet up-to-date blijven over uitgebreide toegang en controle houden over de verhoging van bevoegdheden, zodat het niet uit de hand loopt en de cyberbeveiliging van je organisatie geen risico loopt.
  3. Bevoegde activiteiten te bewaken en auditen. Stel beleidsregels op die legitiem gedrag voor bevoegde gebruikers definiëren en acties identificeren die deze beleidsregels schenden.
  4. PAM-oplossingen te automatiseren. Het is mogelijk te schalen voor miljoenen bevoegde accounts, gebruikers en activa om je beveiliging en compliance te verbeteren. Automatiseer detectie, beheer en bewaking om beheerderstaken en complexiteit te verminderen.

Afhankelijk van je IT-afdeling kun je je PAM-oplossing mogelijk direct uit de doos gebruiken en geleidelijk aan modules toevoegen om uitgebreidere en betere functionaliteit te ondersteunen. Je moet ook aanbevelingen voor beveiligingscontrole overwegen om aan je compliancevoorschriften te voldoen.

Het is ook mogelijk je PAM-oplossing te integreren met je Security Information and Event Management (SIEM) -oplossing.

Privileged Access Management-oplossingen

Technologie alleen is niet voldoende om je organisatie te beschermen tegen cyberaanvallen. Er is een oplossing nodig die rekening houdt met je mensen, processen en technologie.

Ontdek hoe identiteits- en toegangsoplossingen van Microsoft Beveiliging helpen je organisatie te beschermen door de toegang tot de verbonden wereld te beveiligen voor al je gebruikers, slimme apparaten en services.

Meer informatie over Microsoft Beveiliging

Identiteits- en toegangsoplossingen

Bescherm je organisatie met veilige toegang voor al je gebruikers, slimme apparaten en services.

Meer informatie

Privileged Identity Management

Verzeker dat je beheerdersaccounts veilig blijven door de toegang tot kritieke bewerkingen te beperken.

Meer informatie

Voorwaardelijke toegang

Houd je werknemers veilig door gedetailleerd toegangsbeheer met realtime aanpasbaar beleid af te dwingen.

Meer informatie

Veelgestelde vragen

  • IAM (Identity and Access Management) bestaat uit regels en beleid die het wie, wat, wanneer, waar en hoe van toegang tot bronnen controleren. Deze omvatten wachtwoordbeheer, meervoudige verificatie, eenmalige aanmelding (SSO), en gebruikerslevenscyclusbeheer.

    Privileged Access Management (PAM) heeft te maken met de processen en technologieën die nodig zijn voor het beveiligen van bevoegde accounts. Het is een subset van IAM waarmee je de activiteit van bevoegde gebruikers (die uitgebreidere toegang hebben dan standaardgebruikers) kunt controleren en bewaken zodra ze zijn aangemeld bij het systeem.

  • Robuust sessiebeheer is een PAM-beveiligingstool waarmee je kunt zien wat bevoegde gebruikers (mensen in je organisatie die hoofdtoegang tot systemen en apparaten hebben) doen zodra ze zijn aangemeld. De resulterende audittrails waarschuwen je voor onopzettelijk of opzettelijk misbruik van uitgebreide toegang.

  • Privileged Access Management (PAM) kan worden gebruikt om de beveiligingspostuur van je organisatie te versterken. Het laat je de toegang tot je infrastructuur en gegevens controleren, je systemen configureren en op beveiligingsproblemen scannen.

  • Voordelen van een PAM-oplossing zijn onder meer het mitigeren van beveiligingsrisico's, het reduceren van bedrijfskosten en complexiteit, het verhogen van zichtbaarheid en situatiebewustzijn in je hele organisatie en het verbeteren van je wettelijke compliance.

  • Wanneer je een PAM-oplossing voor je organisatie kiest, zorg er dan voor dat deze meervoudige verificatie, functies voor sessiebeheer en just-in-time toegang, op rollen gebaseerde beveiliging, realtime meldingen, automatisering, en audit- en rapportagefuncties bevat.

Microsoft volgen