® 
PAM (Privileged Access Management)
Definitie
Privileged Access Management (PAM) is een beveiligingsoplossing die de toegang van gebruikers met verhoogde rechten (beheerders, root-accounts) beheert en bewaakt. PAM voorkomt dat aanvallers misbruik maken van beheerdersaccounts.
Privileged Access Management (PAM) is een beveiligingsoplossing die de toegang van gebruikers met verhoogde rechten, zoals beheerders, root-accounts en serviceaccounts, beheert, bewaakt en beveiligt. Volgens CyberArk is 80% van alle beveiligingsinbraken gerelateerd aan misbruik van privileged credentials.
Hoe werkt PAM?
PAM-oplossingen centraliseren het beheer van alle privileged accounts in een beveiligde kluis (vault). Wanneer een beheerder toegang nodig heeft, vraagt hij deze aan via het PAM-platform. Het platform verifieert de identiteit, controleert het autorisatiebeleid en verleent tijdgebonden toegang (just-in-time access). Alle activiteiten tijdens de beheersessie worden opgenomen en gelogd. Na afloop wordt het wachtwoord automatisch geroteerd. PAM-oplossingen bieden ook automatische wachtwoordrotatie voor serviceaccounts, sessie-opname en -monitoring, en approval workflows voor gevoelige toegang.
Componenten van PAM
Password vaulting slaat privileged credentials versleuteld op in een centrale kluis. Session management neemt beheersessies op en monitort deze real-time. Just-in-time (JIT) access verleent tijdgebonden rechten die automatisch worden ingetrokken. Just-enough-access (JEA) beperkt rechten tot het minimum dat nodig is voor de specifieke taak. Service account management beheert en roteert wachtwoorden van serviceaccounts automatisch.
Impact voor organisaties
Beheeraccounts zijn het primaire doelwit van geavanceerde aanvallers. Een gecompromitteerd admin-account geeft de aanvaller volledige controle over systemen en data. Credential dumping-tools zoals Mimikatz extracten admin-wachtwoorden uit het geheugen. Pass-the-Hash-aanvallen hergebruiken gestolen credential-hashes. NIS2 vereist adequate bescherming van privileged accounts. PCI DSS verplicht PAM-maatregelen voor toegang tot betaalkaartdata. ISO 27001 stelt eisen aan de beheersing van privileged access.
Bescherming
Implementeer een PAM-oplossing voor alle privileged accounts. Elimineer gedeelde admin-wachtwoorden. Implementeer JIT-access en automatische wachtwoordrotatie. Monitor en neem alle beheersessies op. Voer regelmatige audits uit op privileged access. Bekende PAM-oplossingen: CyberArk, BeyondTrust, Delinea.
Hoe DEFION helpt
DEFION test PAM-implementaties als onderdeel van pentests en red teaming. Het team probeert privileged credentials te bemachtigen en rechten te escaleren, waarmee de effectiviteit van PAM-maatregelen wordt gevalideerd.