PAM 
Identity Governance and Administration (IGA) speelt een belangrijke rol bij het bepalen wie toegang moet hebben tot gevoelige gegevens en wanneer die toegang moet worden verleend.
Gepubliceerd op oktober 06, 2025
De meeste zero-trust netwerktoegang (ZTNA)-oplossingen beweren perimetergebaseerde beveiligingsrisico’s te elimineren, maar veel leiden juist tot nieuwe kwetsbaarheden. Op de DEF CON-hackconferentie in augustus 2025 wezen onderzoekers op aanzienlijke tekortkomingen in verschillende populaire ZTNA-producten, waaronder authenticatie-omzeilingen en het lekken van aanmeldingsgegevens. KeeperPAM® helpt de beveiligingsgaten te dichten die traditionele ZTNA-oplossingen niet aanpakken door zero-trust en zero-knowledge versleuteling, kluisgebaseerde toegang en alleen uitgaande connectiviteit af te dwingen.
Lees verder om meer te weten te komen over de tekortkomingen van de meeste oudere ZTNA-oplossingen en hoe KeeperPAM deze tekortkomingen aanpakt om veilige toegang te bieden, zonder daarbij gevoelige gegevens bloot te stellen.
De beveiligingsgaten in verouderde ZTNA-tools
Ondanks dat het wordt afgeschilderd als een veilig alternatief voor een Virtueel Privénetwerk (VPN), introduceren veel oudere ZTNA-tools kwetsbaarheden die net zo schadelijk kunnen zijn als de cyberbedreigingen die ze proberen te voorkomen. De bevindingen die werden gepresenteerd door AmberWolf op DEF CON 33 benadrukten een reeks beveiligingsproblemen in toonaangevende ZTNA-producten, waaronder kwetsbaarheden die cybercriminelen in staat kunnen stellen om privileges op gebruikersapparaten te escaleren en toegang te krijgen tot kritieke bronnen terwijl ze onopgemerkt blijven.
Authenticatie-omzeiling
Aangezien veel ZTNA-platforms afhankelijk zijn van verouderde of slecht afgedwongen authenticatiemethoden, kunnen zwakke SAML-implementaties cybercriminelen in staat stellen om tokens opnieuw af te spelen, waardoor authenticatie effectief volledig wordt omzeild. In sommige gevallen worden de registratiestromen van apparaten niet goed afgedwongen, waardoor kwetsbaarheden ontstaan en niet-geauthenticeerde apparaten kunnen verbinden met kritieke systemen.
Blootstelling van aanmeldingsgegevens
Een van de belangrijkste problemen met oudere ZTNA-oplossingen is de veelvuldige onjuiste behandeling van aanmeldingsgegevens. Geheimen met een lange levensduur, zoals API-sleutels, SSH-sleutels of toegangstokens, worden over het algemeen opgeslagen op eindpunten of in het geheugen, waar ze kwetsbaar zijn voor diefstal door malware-infecties of lokale compromittering. Zodra die aanmeldingsgegevens zijn blootgesteld, kunnen ze worden hergebruikt om zich lateraal te verplaatsen of privileges binnen een netwerk te escaleren.
Architecturale zwakheden
In plaats van het vertrouwen te beperken, breiden veel ZTNA-oplossingen het uit via zwakke punten in de architectuur. Voorbeelden hiervan zijn het vereisen van de installatie van vertrouwde rootcertificaten voor verkeersinspectie, het blootstellen van gateways aan het internet en het routeren van verkeer via de infrastructuur van een leverancier. Deze zwakke punten vergroten het aanvalsoppervlak van een organisatie, wat direct in tegenspraak is met de basisbeginselen van zero-trust beveiliging.
Spoofing van status
Sommige ZTNA-oplossingen voeren controles van de beveiligingsstatus uit om te bepalen of een apparaat veilig is. Dit doen ze door de versies van het besturingssysteem of apparaatcertificaten te verifiëren. Veel van deze controles worden echter aan de kant van de client afgedwongen en kunnen gemakkelijk gemanipuleerd worden. Als de oplossing tokens of aanmeldingsgegevens uit de cache accepteert zonder het apparaat correct te herbevestigen, kunnen cybercriminelen de naleving van de beveiligingsstatus spoofen. Hierdoor kunnen ongeautoriseerde apparaten toegang verkrijgen door het systeem te misleiden en te doen lijken alsof ze aan de vereisten voldoen, waardoor de beveiliging van een organisatie wordt omzeild.
Hoe KeeperPAM deze zwakheden elimineert
KeeperPAM is gebouwd om de veelvoorkomende kwetsbaarheden in traditionele ZTNA-oplossingen te elimineren. KeeperPAM combineert zero-knowledge encryptie, Just-in-Time (JIT)-toegang en een uitsluitend uitgaande architectuur, waardoor het een echt zero trust-beleid afdwingt zonder aanmeldingsgegevens bloot te stellen of het aanvalsoppervlak te vergroten. Hier volgen de belangrijkste functies van KeeperPAM:
- Zero-knowledge architectuur: Met KeeperPAM worden aanmeldingsgegevens nooit blootgesteld aan gebruikers, opgeslagen op apparaten of toegankelijk gemaakt voor Keeper. Dit zorgt ervoor dat geheimen worden versleuteld en ontcijferd op apparaat- en recordniveau.
- Just-in-Time (JIT)-toegang: Met KeeperPAM kunnen beheerders alleen toegang verlenen wanneer dat nodig is en alleen voor de duur van de sessie. Nadat een sessie is beëindigd, rouleert KeeperPAM automatisch aanmeldingsgegevens om hergebruik of diefstal te voorkomen.
- Architectuur voor alleen uitgaand verkeer: de Keeper-gateway brengt end-to-end versleutelde verbindingen tot stand, zonder daarbij binnenkomende firewallpoorten te openen of eindpunten bloot te leggen.
- Sessiemonitoring en -opname: KeeperPAM monitort en registreert alle geprivilegieerde sessies, waaronder SSH, RDP en TLS, voor controle- en nalevingsdoeleinden. KeeperAI biedt agentische AI-bedreigingsdetectie en -respons, waardoor sessies met een hoog risico automatisch kunnen worden beëindigd.
- Ondersteuning voor native tools met zero-trust beveiliging: KeeperPAM handhaaft zero-trust beveiliging op de achtergrond door veilige tunneling en externe toegang via eigen tools zoals MySQL Workbench of pgAdmin te ondersteunen.
- Naadloze integratie met bestaande identiteitsproviders (IdP’s): KeeperPAM werkt met bestaande IdP’s en zorgt voor veilige authenticatie en inrichten, zonder daarbij afbreuk te doen aan zero-knowledge versleuteling.
KeeperPAM versus oudere ZTNA-benaderingen
Hoewel de meeste ZTNA-oplossingen beweren risico’s te minimaliseren, zijn veel nog steeds afhankelijk van verouderde architecturen die ernstige beveiligingsleemtes achterlaten. KeeperPAM hanteert een andere aanpak door de blootstelling aan aanmeldingsgegevens te elimineren, aannames over vertrouwen te verminderen en granulaire toegangscontroles af te dwingen. Hieronder staan de belangrijkste architecturale en operationele verschillen tussen KeeperPAM en verouderde ZTNA-tools:
| Category | KeeperPAM | Traditional ZTNA |
|---|---|---|
| Credential storage | Credentials are encrypted in a zero-knowledge vault and never exposed to users. | Secrets are often stored on devices or in memory, leaving them vulnerable to theft. |
| Gateway exposure | Outbound-only architecture eliminates the need to open inbound firewall ports. | Requires publicly exposed gateways, which expands the attack surface. |
| Token replay risk | Vault-initiated sessions with JIT access help prevent token replay. | Reusable tokens and weak authentication methods allow for token replay. |
| Root certificate installation | Encryption remains end-to-end, making it unnecessary to install trusted root certificates. | Trusted root certificates are often required for traffic inspection, expanding trust boundaries. |
| Traffic interception | No traffic interception is needed since sessions are recorded for SSH, RDP and TLS. | Relies on traffic interception and vendor infrastructure for monitoring. |
| Access control | Just-in-Time (JIT) access with automatic credential rotation. | Broad access policies expand standing access and allow for lateral movement. |
Maak uw toegangsstrategie toekomstbestendig met KeeperPAM
Aangezien cybercriminelen misbruik maken van zwakke plekken in traditionele ZTNA-tools, is het niet veilig om op verouderde toegangsoplossingen te vertrouwen. Organisaties hebben een oplossing nodig die is ontworpen om zero-trust af te dwingen zonder de beveiliging in gevaar te brengen. Dit is precies wat KeeperPAM levert. Door zero-knowledge encryptie, kluisgebaseerde toegang en granulaire toegangscontroles te combineren, elimineert KeeperPAM de blootstelling van aanmeldingsgegevens en vermindert het aanvalsoppervlak.
Start your free trial of KeeperPAM today to close security gaps and future-proof your access strategy with a scalable and secure solution built for modern cyber threats.
