Moeten alle high privileged accounts beschikbaar zijn tijdens de zomervakantie?
07 augustus 2023
Wanneer hebben gebruikers welke toegang nodig? Het verlenen van permanente toegang tot privileged accounts is in strijd met het principe van least privilege en brengt aanzienlijke risico’s met zich mee.
We zien dit ook vaak terug bij het uitvoeren van pentesten, waarbij we na initiële access zeer gemakkelijk rechten kunnen verhogen en onszelf toegang kunnen verschaffen tot andere bronnen en accounts. Nog daargelaten dat het soms niet eens nodig is om rechten te verhogen, omdat we middels een phishing email direct toegang krijgen tot high privileged accounts.
Een relevante vraag voor deze periode van het jaar: moeten privileged accounts beschikbaar blijven tijdens de vakantieperiode?
Als er geen onderscheid is tussen privileged access, kan een gebruiker (on)bewust ongeautoriseerde acties ondernemen omdat ze de totale controle krijgen over bijvoorbeeld een applicatie.
Om het risico op misbruik van privileged accounts te verkleinen moet je letten op alle drie de elementen van privileged access.
Locatie: Waar worden privileged accounts gebruikt
Acties: Wat wordt er gedaan met privileged accounts
Tijd: Hoe lang kunnen privileged accounts worden gebruikt
Het derde element ‘tijd’ is voor veel organisaties vaak het moeilijkst te definiëren en te controleren. Het is niet altijd eenvoudig om te bepalen hoe lang een activiteit bepaalde privileges vereist en hoe lang de activiteit zal duren. Bij gebrek aan een geautomatiseerde oplossing komt het vaak voor dat IT-beheerders door de drukte vergeten om privileged accounts te laten verlopen of uit te schakelen. Met als gevolg dat bijvoorbeeld privileges te lang beschikbaar zijn en dat er wordt verzuimd de wachtwoorden van verlopen accounts te verwijderen wanneer projecten afgelopen zijn of mensen uit dienst gaan.
Just-in-time (JIT) toegang maakt permanente privileges overbodig
Gartner voorspelt dat in 2022 40% van de geprivilegieerde toegangsactiviteit zal berusten op Just-In-Time (JIT) strategieën voor het verhogen van privileges om het aantal permanente privileges drastisch te verlagen.
Wanneer gebruikers permanente (onbeperkte) toegang krijgen tot privileged accounts, brengt dit een aanzienlijk risico met zich mee. Met permanente toegang hebben gebruikers in feite een open toegang tot kritieke gegevens en bronnen. Als ze een wachtwoord aan een andere gebruiker geven of als hun eigen wachtwoord gecompromitteerd is, geven ze waarschijnlijk volledige controle over een privileged account. Dit wordt hoogstwaarschijnlijk niet gedetecteerd door één van de in gebruik zijnde security oplossingen.
Just-in-Time (JIT) toegang is een fundamentele security maatregel, waarbij het privilege om toegang te krijgen tot applicaties of systemen beperkt is tot een vooraf bepaalde periode of op een indien-nodig principe. Dit helpt bij het minimaliseren van het risico op permanente privileges die aanvallers of kwaadwillende insiders gemakkelijk kunnen misbruiken.
Tijdsgebonden toegang kan worden geautomatiseerd zodat gebruikers niet hoeven te wachten op goedkeuring.
JIT van Delinea
Delinea’s JIT benadering van tijdgebonden privileges is het inschakelen van ‘Just-in-Time Access’, in plaats van het creëren van “Just-in-Time Accounts”. Het implementeren van JIT binnen Privileged Access Management (PAM) zorgt ervoor dat gebruikers en systemen de juiste toegang hebben wanneer dat nodig is en voor de kortst mogelijke tijd. Tijdgebonden toegang kan worden geautomatiseerd zodat gebruikers niet hoeven te wachten op menselijke goedkeuring. Deze gebruikers kunnen zelfs toegang krijgen tot de bronnen die ze nodig hebben zonder ooit het wachtwoord te kennen!
- Just-in-Time scenario’s die opgelost kunnen worden met PAM:
- Externe medewerkers hebben JIT-toegang nodig
Met PAM kun je gebruikers geprivilegieerde toegang geven met een begin- en eindtijd. Zelfs als iemand vergeet zijn toegang te verwijderen, wordt hij op die manier uitgesloten.
- Derden hebben JIT-toegang nodig op projectbasis
Met PAM-oplossingen kunnen beheerders de aannemers en verkopers tijdgebonden toegang geven om taken uit te voeren zoals support, maintenance en penetratietesten.
- Serviceaccounts hebben JIT-toegang nodig voor geautomatiseerde IT-taken
Serviceaccounts moeten worden gemaakt met specifieke einddata en ingebouwde stappen voor doorlopend beheer en toezicht. Ze kunnen buiten gebruik worden gesteld als ze niet langer nodig zijn of worden verlengd op basis van controle en goedkeuring.
- Ontwikkelaars hebben JIT-bevoorrechte toegang nodig om te ontwikkelen, te testen en te releasen.
PAM-oplossingen bieden veilige, directe toegang voor ontwikkelaars. Vaults die speciaal zijn gebouwd voor snelle cycli, zoals DevOps-workflows, ondersteunen tijdelijk beschikbaarheid van credentials voor diverse soorten cloudaccounts.
- Waar moet je beginnen met het implementeren van JIT?
Kijk goed naar de verschillende use cases voor privileged access binnen de organisatie en bepaal welke het meest behoefte hebben aan beperkingen.
In plaats van brede privileges toe te kennen, kun je beter alleen toegang verlenen tot een specifiek systeem of specifieke applicatie. In plaats van geprivilegieerde accounts aan te maken die alle mogelijke taken afdekken, specificeer je de reikwijdte van activiteiten die gebruikers kunnen uitvoeren. In plaats van ‘altijd-aan’ toegang te verlenen, beperk je de tijdsperiode waarin privileged accounts toegankelijk zijn.
Je kunt beginnen met het implementeren van JIT voor je use cases met een hoog risico. Misschien wil je beginnen met situaties waarvan bekend is dat ze slechts zelden gebruikt hoeven te worden. Stippel vervolgens een migratiepad uit met als doel alle geprivilegieerde toegang onder je JIT-strategie te laten vallen.
Zoals met alle geprivilegieerde activiteiten, moet geprivilegieerde JIT-toegang worden vastgelegd en gelogd in een centrale tool om rapportage en auditing consistent te maken. Elke geprivilegieerde activiteit die buiten een centrale PAM-tool gebeurt, moet worden gemarkeerd.
Wil je meer weten over ‘Just in Time Access’? Neem dan contact met ons op: sales@access42.nl
Bronnen:
https://delinea.com/blog/jit-just-in-time-and-privileged-access