PAM 
De meeste zero-trust netwerktoegang (ZTNA)-oplossingen beweren perimetergebaseerde beveiligingsrisico's te elimineren, maar veel leiden juist tot nieuwe kwetsbaarheden. Op de DEF CON-hackconferentie in augustus 2025 weze...
Gepubliceerd op maart 05, 2025
Hoewel veel organisaties zich richten op het beperken van externe cyberbedreigingen, kunnen bedreigingen van binnenuit zich richten op privileged accounts met verhoogde toegang tot gevoelige gegevens of systemen. Op basis van rapport over bedreigingen van binnenuit van Cybersecurity Insiders, had 83% van de organisaties in 2024 te maken met minstens één aanval van binnenuit. In tegenstelling tot de manier waarop organisaties mogelijk reageren op externe cyberbedreigingen, vereisen bedreigingen van binnenuit een meer specifieke aanpak die ervoor zorgt dat werknemers alleen de toegang hebben die nodig is voor hun rol, terwijl misbruik van gevoelige gegevens wordt voorkomen. De beste manier om privileged accounts te beschermen tegen bedreigingen van binnenuit, is met een oplossing voor geprivilegieerd toegangsbeheer (PAM).
Lees verder voor meer informatie over waarom schadelijke bedreigingen van binnenuit zich richten op privileged accounts, hoe PAM-oplossingen privileged accounts beschermen tegen bedreigingen van binnenuit en de veelvoorkomende fouten die u moet vermijden bij het beschermen van privileged accounts.
Waarom bedreigingen van binnenuit zich richten op privileged accounts
Hoewel bedreigingen van binnenuit onopzettelijk kunnen zijn door nalatigheid, proberen insiders met kwaadaardige bedoelingen hun organisatie te saboteren en de gevoelige informatie te gebruiken die ze stelen voor hun eigen voordeel. Schadelijke bedreigingen van binnenuit richten zich op privileged accounts vanwege hun toegang op hoog niveau tot kritieke systemen en gegevens, de mogelijkheid om beveiligingscontroles te omzeilen, grotere beloningen en de escalatie van privileges.
Toegang op hoog niveau tot kritieke systemen en gegevens
Privileged accounts bieden verhoogde toegang tot gevoelige informatie en kritieke systemen, zoals financiële gegevens en infrastructuur, waardoor ze belangrijke doelwitten zijn voor bedreigingen van binnenuit. Omdat organisaties vertrouwen op privileged accounts met krachtige toegang, zoeken kwaadaardige insiders deze accounts op om belangrijke zakelijke gegevens te manipuleren, stelen of te saboteren voor persoonlijk gewin of wraak. Misbruik van privileged accounts kan leiden tot financiële en operationele schade die veel ernstiger is dan die van doorsnee accounts. Dit gebeurde met Disney in 2024 toen een voormalige menuproductiemanager bedrijfsgegevens manipuleerde voor het maken van menu’s en alle lettertypen verving om legitieme menu’s onleesbaar te maken. Bovendien voegde de voormalige menuproductiemanager valse informatie over allergenen toe, door te zeggen dat sommige menuartikelen veilig waren voor mensen met specifieke allergieën, terwijl ze levensbedreigend konden zijn. Als gevolg hiervan keerde het menumakersysteem gedurende enkele weken terug naar handmatige processen, waardoor de productie werd vertraagd en het vertrouwen van klanten werd verloren.
Mogelijkheid om beveiligingscontroles te omzeilen
In tegenstelling tot externe cybercriminelen die toegang proberen te krijgen tot privileged accounts, werken schadelijke insiders al binnen het netwerk van een organisatie, waardoor het gemakkelijker wordt om beveiligingscontroles te omzeilen. Aangezien privileged accounts toegang hebben tot zeer gevoelige gegevens, zijn ze aantrekkelijker voor insiders die firewalls en toegangscontroles willen omzeilen, beveiligingsbewaking willen uitschakelen en de privileges willen verhogen om toegang via een achterdeur te krijgen. Zonder de juiste bewaking en beveiligingscontroles kunnen geprivilegieerde gebruikers onopgemerkt blijven terwijl ze toegang hebben tot beperkte systemen, zich lateraal door het netwerk van een organisatie verplaatsen of gevoelige gegevens stelen. Organisaties moeten strikte toegangscontroles afdwingen en de activiteiten voor privileged accounts in realtime bewaken om de impact van bedreigingen van binnenuit te verminderen.
Grotere gevolgen en beloningen
Privileged accounts zijn zeer waardevol voor schadelijke insiders, omdat ze kunnen worden gebruikt om toegang te krijgen tot enorme hoeveelheden gevoelige gegevens. Een privileged account compromitteren biedt veel grotere beloningen dan bij een gewoon account, zoals bijvoorbeeld financieel voordeel of sabotage. Aangezien privileged accounts aanzienlijk meer gevoelige gegevens bewaren, zijn de gevolgen van misbruik veel ernstiger dan die van een doorsnee account. Insiders die misbruik maken van privileged accounts, kunnen financiële gegevens manipuleren of systeemactiviteiten verstoren om financieel of persoonlijk voordeel te behalen. Door strikte toegangscontroles te implementeren en privileged accounts te bewaken, kunt u de risico’s beperken op bedreigingen van binnenuit die zich op deze accounts richten.
Escalatie van privileges
Insiders met toegang tot privileged accounts kunnen hun privileges escaleren door zichzelf meer autoriteit te verlenen dan ze nodig hebben. Met geëscaleerde privileges kan een insider zich binnen het netwerk van een organisatie verplaatsen, onopgemerkt blijven omdat ze toegang hebben tot gevoelige gegevens, de beveiligingsinstellingen wijzigen of zich zelfs voor te doen als andere geprivilegieerde gebruikers. Door privileged accounts te compromitteren, kunnen insiders ervoor zorgen dat ze beveiligingsmaatregelen kunnen omzeilen, dieper in systemen kunnen komen en schadelijke aanvallen kunnen uitvoeren, zoals het inzetten van ransomware of het saboteren van kritieke activiteiten. Escalatie van privileges is een van de gevaarlijkste tactieken die door insiders worden gebruikt om volledige systemen te compromitteren. Daarom moeten organisaties de activiteiten voor privileged accounts nauwlettend volgen.
Zo beschermt een PAM-oplossing privileged accounts tegen bedreigingen van binnenuit
Organisaties kunnen privileged accounts beschermen tegen bedreigingen van binnenuit door te investeren in een PAM-oplossing die toegang met minimale privileges afdwingt, ongeautoriseerde toegang voorkomt, de escalatie van privileges beperkt, aansprakelijkheid waarborgt en menselijke fouten vermindert.
Dwingt multifactorauthenticatie (MFA) af
Multifactorauthenticatie (MFA) beschermt privileged accounts tegen bedreigingen van binnenuit en extra cyberbedreigingen. Als MFA is ingeschakeld, moeten geautoriseerde gebruikers zowel de gebruikersnaam als het wachtwoord voor een account opgeven, naast een extra vorm van verificatie. MFA beschermt privileged accounts met deze extra beveiligingslaag, zodat alleen geautoriseerde gebruikers met de juiste MFA-methode toegang hebben tot privileged accounts.
🔒 KeeperPAM dwingt het gebruik van MFA af om toegang te krijgen tot de kluis zodat sessies en applicaties kunnen worden geopend die niet standaard MFA ondersteunen.
Vermindert de privileges en trekt beheerdersrechten in
De klant is verantwoordelijk voor het vaststellen wie aan welke rollen moet worden toegewezen met een PAM-oplossing. PAM beperkt de toegang tot kritieke bronnen, door ervoor te zorgen dat alleen gebruikers met de juiste rol toegang hebben tot specifieke systemen en gegevens. Bovendien verhoogt PAM de toegang voor gebruikers tijdens geprivilegieerde sessies, waardoor de toegang in realtime kan worden gecontroleerd. Bovendien kan PAM de machtigingen voor specifieke acties verhogen door middel van geprivilegieerd eindpuntbeheer (PEDM) op het eindpunt, waardoor de beveiliging verder wordt verbeterd. Organisaties minimaliseren de mogelijke schade die een insider kan veroorzaken door de privileges te verminderen en onnodige toegang in te trekken. Als het account van een insider wordt gecompromitteerd of misbruikt, zorgt het beperken van administratieve rechten ervoor dat de schade wordt beperkt tot een kleiner deel van de activiteiten.
🔒 Met KeeperPAM krijgen geautoriseerde gebruikers de exacte machtigingen die ze nodig hebben om hun werk te doen door het principe van minimale privileges (PoLP) af te dwingen. De toegang wordt automatisch ingetrokken wanneer het niet langer nodig is, om de kans op misbruik en het algehele risico op bedreigingen van binnenuit te minimaliseren.
Hiermee kunt u een veilige gateway instellen om de toegang tot externe systemen te controleren
Een veilige gateway is een gecontroleerd toegangspunt dat fungeert als een barrière tussen gebruikers en gevoelige systemen. Elke keer dat een gebruiker toegang probeert te krijgen tot een extern systeem, wordt deze naar veilige gateway geleid, die ervoor zorgt dat alleen geautoriseerde gebruikers toegang hebben. Dit helpt u te beschermen tegen bedreigingen van binnenuit door de externe toegang tot gevoelige gegevens strikt te reguleren en te volgen.
🔒 Een Keeper-gateway kan worden ingesteld als het knelpunt voor alle toegang tot externe systemen en serviceaccounts, door alle secundaire paden te verwijderen en ervoor te zorgen dat elk toegangsverzoek wordt geverifieerd, bewaakt en gecontroleerd.
Biedt toegang op verzoek zonder inloggegevens voor beheerders te delen
Met on-demand toegang hebben geautoriseerde gebruikers alleen toegang tot kritieke systemen, databases, servers of workloads wanneer dat nodig is, zonder de noodzaak om administratieve inloggegevens te delen. Deze aanpak zorgt ervoor dat toegang wordt verleend via een specifiek, tijdelijk account, waardoor het risico op blootstelling van gevoelige inloggegevens wordt geëlimineerd. Door administratieve inloggegevens verborgen te houden, voorkomt u dat mogelijke bedreigingen van binnenuit misbruik kunnen maken van of ongeautoriseerde toegang hebben tot kritieke systemen, waardoor de integriteit en beveiliging van privileged accounts worden gehandhaafd.
🔒 KeeperPAM biedt toegang op verzoek door tijdelijke inloggegevens te verlenen voor specifieke taken zonder gevoelige administratieve inloggegevens bloot te stellen. Zodra de taak is voltooid, wordt de toegang automatisch ingetrokken, waardoor minimale blootstelling aan geprivilegieerde gegevens wordt gegarandeerd en het risico op ongeautoriseerde toegang of misbruik wordt verminderd.
Automatiseert offboarding met kluisvergrendeling zodra een werknemer het bedrijf verlaat
Een System for Cross-domain Identity Management (SCIM) is een protocol dat de uitwisseling van identiteitsgegevens voor gebruikers tussen identiteitssystemen en applicaties automatiseert. PAM integreert SCIM om de gebruikerstoegang automatisch te synchroniseren, dus wanneer een werknemer een organisatie verlaat, weet het systeem dat het de toegang moet intrekken en automatisch alle kluizen met gevoelige inloggegevens moet vergrendelen. Accounts waartoe de beëindigde werknemer toegang heeft, kunnen automatisch worden gerouleerd om ervoor te zorgen dat mogelijk gelekte inloggegevens niet langer geldig zijn.
🔒 Met KeeperPAM kan SCIM worden ingesteld om de toegang van beëindigde werknemers automatisch in te trekken en gevoelige kluizen te vergrendelen. Dit zorgt ervoor dat geen enkele voormalige werknemer toegang heeft tot geprivilegieerde gegevens.
Maakt SIEM-integratie mogelijk om de toegang tot geprivilegieerde accounts te controleren
Security Information and Event Management (SIEM) is een systeem dat gegevens over netwerkactiviteiten en systeemgebeurtenissen verzamelt en analyseert om verdacht gedrag te herkennen. De combinatie van SIEM en PAM detecteert mogelijke bedreigingen van binnenuit door in realtime waarschuwingen te sturen als er verdachte activiteiten plaatsvinden met beheerderstoegang.
🔒 KeeperPAM integreert met SIEM om de toegang tot bevoorrechte accounts te bewaken en ongebruikelijk gedrag te identificeren dat kan duiden op een bedreiging van binnenuit. Als er iets verdachts gebeurt, wordt een waarschuwing geactiveerd, zodat organisaties snel kunnen reageren. Het dashboard voor risicobeheer van Keeper bewaakt configuratie- en beveiligingsgebeurtenissen in realtime.
Rouleert automatisch inloggegevens wanneer de gedeelde toegang is verlopen
Door de inloggegevens voor privileged accounts automatisch te wijzigen zodra de gedeelde toegangsperiode is verlopen, minimaliseert u het risico op misbruik van binnenuit. Door toegangscontroles, wachtwoordroulatie en toegangsgoedkeuringen te automatiseren, vermindert PAM het aantal menselijke fouten die kunnen leiden tot onbedoelde bedreigingen van binnenuit. PAM wijzigt en beveiligt ook automatisch wachtwoorden voor privileged accounts, om het risico op ongeautoriseerde toegang en de onbedoelde blootstelling van inloggegevens te verkleinen.
🔒 Met KeeperPAM kunnen privileged credentials geconfigureerd worden zodat ze automatisch worden gerouleerd nadat de gedeelde toegang is verlopen. Dit zorgt ervoor dat het oude wachtwoord niet langer geldig is zodra een taak is voltooid, waardoor het risico op misbruik van binnenuit wordt verminderd.
Controleert het gebruik van externe systemen met sessie-opnames
Alle acties die met privileged accounts worden uitgevoerd, zijn terug te traceren naar specifieke personen door sessie-opnames te creëren, waardoor een duidelijk auditspoor wordt gecreëerd om gebruikers aansprakelijk te stellen voor misbruik. Met functies voor sessie-opname en -bewaking kunnen organisaties een gedetailleerde registratie bijhouden van alle geprivilegieerde activiteiten, om interne onderzoeken te helpen in het geval van verdacht gedrag.
🔒 KeeperPAM kan gebruikersactiviteiten registreren door sessies en toetsaanslagen op te nemen, waarbij acties tijdens externe verbindingen en op beveiligde websites worden vastgelegd voor controle-, nalevings- en beveiligingsdoeleinden. Dit zorgt voor de juiste interacties en helpt bedreigingen van binnenuit te verminderen.
Beperkt de toegang tot interne webapplicaties via RBI
Privileged accounts kunnen met PAM worden beschermd door de toegang tot interne webapplicaties te beperken aan de hand van Remote Browser Isolation (RBI), die websessies in een aparte, virtuele omgeving vanaf uw apparaat uitvoert. Het voorkomt directe toegang tot interne systemen, waardoor ook het risico op bedreigingen van binnenuit wordt verminderd door webbrowseractiviteiten te isoleren.
🔒 Met KeeperPAM kunnen organisaties RBI gebruiken om websessies uit te voeren in een veilige omgeving, waardoor wordt voorkomen dat potentiële bedreigingen van binnenuit het hoofdnetwerk of gevoelige systemen beïnvloeden. KeeperPAM beperkt de toegang tot interne webapplicaties en houdt mogelijke bedreigingen ingesloten in een virtuele omgeving, om systemen te beschermen tegen misbruik van binnenuit.
Vermijd deze veelvoorkomende fouten bij de bescherming van privileged accounts
Ondanks het handhaven van sterke beveiligingsmaatregelen kunnen organisaties nog steeds fouten maken, waardoor privileged accounts vatbaar zijn voor bedreigingen van binnenuit. Hier zijn een aantal van de meest voorkomende fouten die organisaties maken bij het beschermen van hun privileged accounts:
- Gebrek aan regelmatige beoordeling van de gebruikerstoegang: organisaties moeten regelmatig controleren welke gebruikers toegang hebben tot welke bronnen. Het gebrek hieraan leidt tot onnodige of verouderde machtigingen. Werknemers met nieuwe rollen of degenen die een organisatie hebben verlaten, hebben mogelijk nog steeds toegang tot gevoelige systemen. Daarom moet u regelmatig de toegang controleren om ervoor te zorgen dat de juiste mensen de juiste geprivilegieerde toegang hebben.
- Inconsistente implementatie van het beleid: als een team strikter is in het controleren van geprivilegieerde toegang, terwijl een ander team hier wat losser mee omgaat, kunnen insiders misbruik maken van deze beveiligingslekken om ongeautoriseerde toegang te krijgen tot privileged accounts. Een sterk beveiligingsbeleid is niet effectief tenzij het consistent wordt toegepast in de gehele organisatie.
- De toegang van derden negeren: veel bedrijven besteden aandacht aan de geprivilegieerde toegang voor hun werknemers, maar zijn nalatend in het nauwlettend controleren van de toegang door derden, zoals bijvoorbeeld contractanten, leveranciers of freelancers. Aangezien externe gebruikers mogelijk niet dezelfde beveiligingsprotocollen volgen als werknemers, moeten organisaties de geprivilegieerde toegang van derden net zo nauwlettend bewaken en controleren als voor interne gebruikers.
- Gebrek aan een reactieplan voor incidenten: organisaties moeten zich voorbereiden op aanvallen van binnenuit voordat ze plaatsvinden. Dit betekent dat u een reactieplan voor incidenten moet opstellen. Zonder een dergelijk plan kan het voor beveiligingsteams moeilijk zijn om de schade te detecteren, te onderzoeken en te minimaliseren die wordt veroorzaakt door gecompromitteerde privileged accounts.
Bescherm de privileged accounts van uw organisatie met KeeperPAM®
Beveilig de privileged accounts van uw organisatie met KeeperPAM, een cloud-native, zero-trust en zero-knowledge platform. Met KeeperPAM kan uw organisatie alle activiteiten voor privileged accounts registreren en bewaken, auditlogboeken opslaan en realtime beveiligingswaarschuwingen ontvangen als er verdachte activiteiten plaatsvinden.
Vraag vandaag nog een demo van KeeperPAM aan, zodat u de privileged accounts en gevoelige gegevens van uw organisatie kunt beschermen.
