Veel organisaties moeten nog investeren in een PAM-oplossing, omdat ze duur en complex kunnen zijn. Hoewel dit geldt voor sommige verouderde PAM-oplossingen, houden deze organisaties geen
Organisaties scheiden de toegang tot specifieke gegevens en beheermogelijkheden in verschillende soorten privileged accounts om hun activiteiten veilig uit te voeren. Privileged accounts kunnen bijvoorbeeld domeinbeheeraccounts (beheerders), lokale beheeraccounts, geprivilegieerde gebruikersaccounts of noodaccounts zijn. Als cybercriminelen kunnen onbevoegde toegang krijgen tot deze privileged accounts en de gevoelige gegevens van een organisatie stelen, als deze niet goed worden beheerd of beveiligd.
Lees verder voor meer informatie over privileged accounts, de verschillende soorten privileged accounts, de uitdagingen waar privileged accounts mee te maken hebben en hoe uw organisatie ze kan beschermen.
Wat is een privileged account?
Een privileged account is een account binnen een organisatie die hogere privileges heeft dan standaardaccounts. Met deze hogere privileges hebben sommige gebruikers toegang tot de gevoelige systemen, databases, applicaties en netwerkinfrastructuur van de organisatie. Privileged accounts hebben toegang tot gevoelige gegevens en administratieve taken uitvoeren voor een organisatie die de meeste gebruikers niet kunnen. Als onbevoegde gebruikers deze accounts misbruiken of er toegang tot krijgen, kan dit de organisatie schaden, met als gevolg geldverlies, verlies van gevoelige gegevens en een beschadigde reputatie.
7 Soorten privileged accounts
Er zijn verschillende soorten privileged accounts, elk met verschillende toegangsniveaus en privileges om hun respectieve functies uit te voeren. Hier zijn de zeven soorten privileged accounts.
Domeinbeheeraccount
Domeinbeheeraccounts zijn de belangrijkste privileged accounts in het netwerk van een organisatie. Ze hebben volledige en onbeperkte toegang tot en controle over het Active Directory-domein. Dit is de verzameling bedrijfsmiddelen van de organisatie, zoals servers, accounts, applicaties en werkstations. Domeinbeheeraccounts kunnen het lidmaatschap van elk beheeraccount binnen een organisatie wijzigen. Deze accounts moeten zoveel mogelijk worden beperkt en alleen worden gegeven op ad-hoc basis.
Lokale beheeraccount
Lokale beheeraccounts verlenen toegang op administratief niveau tot lokale machines. IT-beheerders gebruiken lokale beheeraccounts om werkstations, servers, netwerkapparaten en andere lokale machines binnen een organisatie in te stellen of onderhoud uit te voeren. Lokale beheeraccounts gebruiken vaak hetzelfde wachtwoord op meerdere apparaten, die cybercriminelen misbruiken om initiële toegang te krijgen tot het netwerk van een organisatie en zich lateraal te bewegen.
Geprivilegieerd gebruikersaccount
Geprivilegieerde gebruikersaccounts zijn standaard gebruikersaccounts die zijn voorzien van een aantal privileges om hun taken uit te voeren. Deze accounts hebben toegang tot bronnen die normale gebruikers niet krijgen, zoals toegang tot gevoelige gegevens of beheermogelijkheden. Ze zijn de meest voorkomende en riskantste soort onder de privileged accounts. Als ze verkeerd worden beheerd, kunnen cybercriminelen geprivilegieerde gebruikersaccounts hacken en zich lateraal door het netwerk van een organisatie bewegen.
Noodaccount
Noodaccounts, ook wel break glass accounts genoemd, worden gebruikt wanneer organisaties geen toegang hebben tot hun systemen en direct toegang nodig hebben. Deze accounts zijn uitgeschakeld en worden alleen geactiveerd in geval van een noodsituatie, zoals het verlies van toegang door een cyberaanval. Organisaties gebruiken noodaccounts om weer toegang te krijgen tot hun systemen en ze te herstellen.
Serviceaccount
Serviceaccounts worden gebruikt door een applicatie of service om ervoor te zorgen dat de besturingssystemen functioneren en programma’s worden uitgevoerd. Lokale systemen mogen niet inloggen op deze niet-menselijke accounts. De wachtwoorden voor deze accounts veranderen echter vaak niet en worden gedeeld met teamleden, waardoor ze een populaire doelwit zijn van cybercriminelen.
Domeinserviceaccount
Met domeinserviceaccounts kunnen systemen en applicaties met elkaar communiceren en toegang krijgen tot vereiste bronnen om rapporten uit te voeren, toegang te krijgen tot databases en API’s te bellen. Ze ondersteunen het bijwerken van beveiligingspatches, het opslaan van back-ups en het implementeren van software. Veel beheerders wijzigen de wachtwoorden voor Domeinserviceaccounts niet omdat het wijzigen van het wachtwoord vereist dat er wordt afgemeld op de account. Daarbij wordt de applicatie onderbroken als deze niet goed is gesynchroniseerd. Door dit gebrek aan beveiliging kunnen cybercriminelen gemakkelijk de wachtwoorden van deze accounts hacken.
Applicatieaccount
Applicatieaccounts worden gebruikt door applicaties om toegang te krijgen tot databases en netwerken om geautomatiseerde taken uit te voeren, zoals het bijwerken van software en het verlenen van toegang tot andere applicaties. De wachtwoorden voor deze accounts zijn vaak ingebed in niet-versleutelde tekstbestanden en kunnen gemakkelijk worden misbruikt door cybercriminelen om toegang te krijgen tot het netwerk van een organisatie.
Uitdagingen met privileged accounts
Veel cybercriminelen willen privileged accounts hacken om onbevoegde toegang te krijgen tot het netwerk van een organisatie. Hier zijn de soorten bedreigingen voor privileged accounts.
Phishing
Phishing is een soort cyberaanval waarbij geprivilegieerde gebruikers worden misleid om hun gevoelige gegevens te verstrekken, zoals hun inloggegevens. Cybercriminelen doen zich voor als een bekende van het slachtoffer, zoals een collega of beheerder. Cybercriminelen sturen het slachtoffer een e-mail of sms met een kwaadaardige bijlage of link waarop u kunt klikken. Als het slachtoffer op de link klikt, worden ze naar een gespoofte website geleid die malware op hun apparaat downloadt of hen vraagt om hun inloggegevens te verstrekken.
Insider threat
Een bedreiging van binnenuit (insider threat) is een cyberbedreiging die zich voordoet binnen een organisatie. Dit komt voor wanneer een huidige of voormalige werknemer, partner, aannemer of verkoper gevoelige gegevens en systemen in gevaar brengt. Deze bedreigingen van binnenuit kunnen opzettelijk of onopzettelijk zijn. Sommige bedreigingen van binnenuit worden veroorzaakt door menselijke fouten waarbij privileged accounts verkeerd worden beheerd of misbruikt door nalatige gebruikers. Andere bedreigingen van binnenuit worden veroorzaakt door kwaadaardige gebruikers die de organisatie van binnenuit proberen te saboteren om gevoelige gegevens te stelen.
Malware
Malware is kwaadaardige software die cybercriminelen stiekem op het apparaat van een gebruiker installeert om het apparaat te beschadigen of gevoelige gegevens te stelen. Cybercriminelen leveren malware op het apparaat van een gebruiker door de kwetsbaarheden van een organisatie te misbruiken of gebruikers te misleiden zodat ze per ongeluk malware installeren. Ze misleiden gebruikers om een geïnfecteerde website te bezoeken of kwaadaardige software te downloaden van phishing-e-mails, kwaadaardige advertenties of gespoofte websites. Zodra malware op het apparaat van een geprivilegieerde gebruiker is geïnstalleerd, kan dit de inloggegevens van privileged accounts stelen
Brute force-aanval
Een brute force-aanval is een wachtwoordgerelateerde cyberaanval, waarbij cybercriminelen uw inloggegevens voor uw privileged accounts proberen te raden via een trial-and-error-methode. Cybercriminelen vertrouwen erop dat organisaties een slechte wachtwoordhygiëne hebben om hun wachtwoorden gemakkelijk te kraken. Privileged accounts die zijn voorzien van zwakke wachtwoorden zijn gevoelig voor brute force-aanvallen.
Voorbeelden van zwakke wachtwoorden zijn:
- Wachtwoorden van minder dan 16 tekens
- Wachtwoorden die worden hergebruikt voor meerdere accounts
- Wachtwoorden die persoonlijke gegevens bevatten
- Opeenvolgende cijfers of letters (12345 of abcde)
- Veelgebruikte woordenboekwoorden (wachtwoord)
- Herhaalde letters of cijfers (55555 of aaaaa)
Zo beschermt u privileged accounts
Privileged accounts hebben toegang tot de gevoelige gegevens van een organisatie. Organisaties moeten privileged accounts beschermen tegen cybercriminelen om hun gevoelige gegevens te beveiligen. Hier zijn de manieren waarop organisaties privileged accounts kunnen beschermen.
Implementeer toegang met minimale privileges
Om privileged accounts te beschermen, moeten organisaties toegang met minimale privileges implementeren. Het principe van minimale privileges is een cybersecurity-concept dat ervoor zorgt dat gebruikers net genoeg netwerktoegang hebben tot de gegevens en systemen die ze nodig hebben om hun werk te doen, maar niet meer. Toegang met minimale privileges beperkt het aantal mensen dat toegang heeft tot privileged accounts en beperkt de privileges die deze accounts hebben.
De beste manier om toegang met minimale privileges te implementeren door een oplossing voor geprivilegieerd toegangsbeheer (PAM) te gebruiken. PAM verwijst naar het beheren en beveiligen van accounts die toegang hebben tot zeer gevoelige gegevens en systemen. Met een PAM-oplossing hebben organisaties volledige zichtbaarheid en controle over alle toegang tot netwerken, applicaties, servers en apparaten. Het helpt te voorkomen dat privileged accounts worden misbruikt door bedreigingen van binnenuit en gecompromitteerd door externe dreigingsactoren.
Beveilig privileged accounts met sterke wachtwoorden
Cybercriminelen voeren brute force-aanvallen uit om de inloggegevens van privileged accounts te raden om onbevoegde toegang te krijgen. Organisaties moeten privileged accounts beveiligen met sterke en unieke wachtwoorden om te voorkomen dat cybercriminelen onbevoegde toegang krijgen. Het gebruik van unieke wachtwoorden maakt het voor cybercriminelen moeilijk om meerdere privileged accounts te compromitteren. Sterke wachtwoorden die zowel lang als complex zijn, voorkomen dat cybercriminelen de wachtwoorden van privileged accounts kunnen raden.
De wachtwoorden voor privileged accounts moeten unieke en willekeurige combinaties zijn van minstens 16 hoofdletters, kleine letters, cijfers en speciale tekens. Deze wachtwoorden mogen geen persoonlijke gegevens, opeenvolgende cijfers of letters en veelgebruikte woordenboekwoorden bevatten.
De beste manier om ervoor te zorgen dat werknemers sterke wachtwoorden gebruiken, is door een zakelijke wachtwoordmanager te gebruiken. Een zakelijke wachtwoordmanager is een tool waarmee organisaties alle wachtwoorden kunnen bijhouden, opslaan, delen, beveiligen en beheren. Wachtwoorden worden opgeslagen in een digitaal versleutelde kluis die wordt beschermd door een sterk masterwachtwoord en MFA. Wachtwoordmanagers geven IT-beheerders volledig inzicht in de wachtwoordgewoonten van een werknemer en helpen werknemers sterke wachtwoorden te genereren.
Vereis het gebruik van MFA
Multifactorauthenticatie (MFA) is een beveiligingsprotocol dat extra authenticatie vereist om toegang te krijgen tot een account. Als MFA is ingeschakeld, moeten gebruikers hun inloggegevens opgeven samen met een andere vorm van identificatie om toegang te krijgen tot een privileged account. MFA biedt een extra beveiligingslaag voor deze privileged accounts door alleen geautoriseerde toegang te garanderen. Zelfs als de inloggegevens van deze privileged accounts zijn gecompromitteerd, hebben cybercriminelen geen toegang tot de account, omdat deze wordt beschermd door MFA.
Geef trainingen over cybersecurity
Om privileged accounts te beschermen, moeten organisaties trainingen over cybersecurity geven aan hun werknemers. Door hun werknemers dergelijke trainingen te laten volgen, kunnen organisaties ervoor zorgen dat privileged accounts niet worden gecompromitteerd. Werknemers moeten meer weten over cyberaanvallen zoals phishing, zodat ze deze kunnen herkennen en voorkomen. Ze moeten de beste gewoonten voor cybersecurity implementeren, zoals het vermijden van klikken op ongevraagde bijlagen of links, het opslaan van gevoelige gegevens op een versleutelde locatie en het regelmatig actualiseren van hun software.
Zo beschermt Keeper® privileged accounts
De beste manier om privileged accounts te beschermen, is door een PAM-oplossing te gebruiken. Met een PAM-oplossing kunnen organisaties hun aanvalsoppervlak verkleinen en laterale beweging vanuit hun netwerk voorkomen. PAM geeft beheerders volledige controle over hun gegevensinfrastructuur en stelt ze in staat om privileged accounts te beschermen met sterke wachtwoorden en MFA.
KeeperPAM™ is een oplossing voor geprivilegieerd toegangsbeheer die wordt beschermd door zero-knowledge encryptie en zero-trust beveiliging. Dit zorgt ervoor dat alleen uw organisatie toegang heeft tot uw gevoelige gegevens. KeeperPAM combineert Keeper Enterprise Password Manager, Keeper Secrets Manager® en Keeper Connection Manager® om u volledige controle over uw gegevens te geven.
Vraag een demo van KeeperPAM aan om uw privileged accounts te beschermen.