Er gaat geen dag voorbij of we lezen wel ergens in de pers een bericht over het verlies van confidentiële gegevens, computerinbraken of gesaboteerde systemen. Ondanks dat deze verhalen sterk gemediatiseerd worden door security vendors zit er een grond van waarheid in. Een standaard IT-systeem blijft op vele vlakke kwetsbaar voor zowel externe als interne veiligheidsinbreuken. Onder de noemer van “information security governance” zijn er heel wat maatregelen, zowel technisch als niet-technisch, die men kan nemen om zich zo goed mogelijk te beschermen tegen deze inbreuken. In deze post zou ik kort willen stilstaan bij het beheer van geprivilegieerde accounts.
Noem om het even welk IT-systeem, of het heeft wel één of andere beheeraccount. Is het nu een besturingsysteem, een netwerkappliance, een applicatieserver, een database, … elk van hen heeft wel een account of mechanisme om een gebruiker de nodige rechten te geven om het systeem te beheren. Men spreekt hier over geprivilegieerde accounts omdat men extra privileges heeft ten opzichte van een normale account. De bekendste voorbeelden van dergelijke accounts zijn Administrator (Windows), root (Unix), SYS (Oracle), … In tegenstelling tot normale gebruikersaccounts zijn deze niet gekoppeld aan een persoon maar kunnen die gedeeld worden door mensen die het wachtwoord kennen van deze accounts, met alle problemen vandien. Taken die worden uitgevoerd onder deze accounts kunnen dus heel moeilijk getraceerd worden tot de fysieke gebruiker.
Naast de beheeraccounts zijn er ook accounts die toepassingen gebruiken om met een database te communiceren of toepassingen met elkaar te laten communiceren. Vaak worden de wachtwoorden van deze accounts opgeslagen in een configuratiebestand of in de code al dan niet beveiligd met behulp van encryptie.
Privileged Account Management (kortweg PAM) heeft tot doel de niet-usergebonden geprivilegieerde toegang tot systemen de regelen en controleren.
Mensen die vertrouwd zijn met Unix en Linux-distributies kennen zeker de standaardmanier om het gebruik van de root-account te vermijden: sudo. Dit commando laat toe dat een gebruiker met zijn normale account geprivilegieerde taken uitvoert. Men spreekt in dit geval over privilege elevation. Welke taken deze mag uitvoeren wordt bepaald in een configuratiebestand (sudoers). Sudo is heel handig maar de configuratie van een uitgebreide set aan rechten is niet evident. Als je niet goed oplet geef je een gebruiker ongewild meer rechten dan hij nodig heeft.
Er zijn een aantal commerciële softwareleveranciers van PAM-oplossingen op de markt, zoals BeyondTrust, CA, Cyber-Ark, Lieberman Software en Quest. Een centrale databank slaat alle wachtwoorden op van de accounts en heeft via connectoren (SSH, HTTPS, WMI, …) toegang tot de beheerde systemen. De tool zal op die systemen op vastgestelde events het wachtwoord van de account wijzigen en controleren. Een gebruiker meldt zich aan via een web-interface om toegang te krijgen tot een account. Na de nodige autorisatiecontroles, al dan niet ondersteund door een goedkeuringsworkflow, krijgt de gebruiker het wachtwoord te zien of onmiddellijk een sessie zonder het wachtwoord ooit te zien te krijgen.
Voor audit-doeleinden bieden een aantal van deze tools ook de mogelijkheid om rapporten te genereren, maar ook volledige gebruikersessies op te nemen en opnieuw af te spelen.
Het begrip PAM mag echter niet vernauwd worden tot het gebruik van een tool. Men kan vertrekken vanuit een aantal security best-practices en processen gesteund op technologische keuzes, zoals
- Ken uw (nieuw) personeel
- Opleidingen: maak mensen bewust van risico’s
- Segregation-of-duties: combinatie van taken geeft aanleiding tot risico
- Monitoring/logging naar extern systeem beheerd door andere personen
- Systeem administrators hebben een eigen account voor beheertaken in plaats van een gedeelde account, waar mogelijk
Het mag duidelijk zijn dat men zich bewust moet zijn van de risico’s en het beheer van privileged accounts in handen moet nemen. Privileged account management vormt echter een deel van een groter geheel van Identity/Access Management, monitoring en andere security technologie. Men mag er niet van uitgaan door PAM te deployen men alle problemen heeft opgelost.
Het is zeker geen (één) tool-oplossing maar een verzameling van security best-practices en technische oplossingen. Zonder tool kan men al een aantal maatregelen nemen zoals een verschillende wachtwoorden per systeem, voldoende logging, beveiligde wachtwoordlijsten, …
Wens je meer te weten over PAM en ben je werkzaam binnen de overheid, kom dan zeker langs op de informatiesessie “PAM & SIEM: Gros plan sur la Security Governance / Focus op Security Governance“. Deze sessie behandelt ook de topic Security Information & Event Management (SIEM). Inschrijven kan je hier.
Leave a Reply