Zoals veel nieuwe concepten heeft Privileged Activity Monitoring geen duidelijke en perfecte definitie.
Veel providers hebben nieuwe terminologie voor dit concept geïntroduceerd in een poging om als eerste de markt met gemengde resultaten te definiëren.
Ze proberen verschillende naamgevingsconventies te gebruiken, maar vergelijkbare acroniemen: PUM, PAM, PAAM, enz. ‘Privileged user monitoring’, ‘Privileged activity monitoring’, ‘Privileged account activity management’ en alle varianten van deze uitdrukkingen zijn te vinden op Google.
In feite hebben zelfs de grote IT-analisten geen algemeen aanvaarde definitie, wat illustreert hoe nieuw dit concept is.
Misschien kan de volgende definitie de meest nauwkeurige beschrijving geven, volgens welke PAM-tools aan de volgende vereisten willen voldoen:
De oplossingen
Bevoorrechte activiteitenmonitoring blijft een nichemarkt, met een klein maar groeiend aantal IT-beveiligingsleveranciers in het veld. Leveranciers benaderen deze markt vanuit verschillende richtingen en met verschillende kerncompetenties, zoals wachtwoordbeheer, identiteits- en toegangsbeheer of netwerkforensisch onderzoek.
Ze brengen hun technologieën doorgaans op de markt als essentiële onderdelen van grotere oplossingen. Toch proberen al deze producten dezelfde uitdaging aan te gaan: controle en bewaking van bevoorrechte gebruikerstoegang tot kritieke IT-middelen.
Aangezien er verschillende manieren zijn om het probleem aan te pakken, laten we eens kijken naar de technologieën die ze gebruiken.
Hop-hosts (hop-gateways)
Jump-hosts bieden een webgebaseerde interface voor toegang tot servers: gebruikers openen de jump-host vanuit hun browser en maken verbinding met de doelserver met behulp van een webgebaseerde clienttoepassing die op de jump-host wordt uitgevoerd. Ondertussen registreert de jump-host de acties of logs van de toepassing. Omdat jumpservers niet-transparante oplossingen zijn, maken ze integratie in een bestaande infrastructuur moeilijk.
Bovendien moeten gebruikers de toepassingen gebruiken die worden geleverd door jump-hosts, die compatibiliteitsproblemen kunnen hebben met hun servertoepassingen.
Het controleren van grafische protocollen (bijvoorbeeld Remote Desktop Protocol of Citrix ICA) wordt zelden ondersteund, en zelfs als dat zo is, kan het een prestatieprobleem worden. Bestandsoverdracht tussen server en client kan ook problematisch zijn of helemaal niet worden ondersteund.
netwerk sniffers
Netwerksniffers zijn gebaseerd op spiegeling van switchpoorten; ze ontvangen netwerkverkeer dat naar servers gaat en proberen er nuttige informatie uit te halen. Deze oplossingen zijn eenvoudig te integreren en niet-invasief van aard.
Ze hebben ook geen invloed op de manier waarop gebruikers hun werk doen. Dit alles betekent echter ook dat ze zeer beperkt zijn in het monitoren van versleuteld verkeer, bijvoorbeeld SSH of RDP. Passieve oplossingen zijn ook een beperking van de mogelijkheden van deze apparaten, zodat ze geen gebruikers kunnen authenticeren, protocolkanalen kunnen controleren of ongewenste verbindingen met een server kunnen beëindigen.
Agent-gebaseerde oplossingen
Agent-gebaseerde oplossingen installeren kleine applicaties (agents) op bewaakte servers die informatie verzamelen over gebruikersactiviteiten. Ze kunnen gedetailleerde monitoringmogelijkheden bieden, maar ze hebben enkele algemene nadelen:
proxy-gateways
Proxy-gateways zijn de meest volwassen oplossingen op het gebied van controlegranulariteit en auditkwaliteit. Op proxy gebaseerde technologieën werken als netwerkgateways: ze zitten tussen de client en de server en inspecteren het verkeer op applicatieniveau. Aangezien deze proxy’s volledige toegang hebben tot het geïnspecteerde verkeer, hebben ze volledige controle over de functies van het protocol.
U kunt bijvoorbeeld selectief toegang tot bepaalde protocolspecifieke kanalen toestaan of weigeren: u kunt terminalsessies in SSH inschakelen, maar poortdoorschakeling en bestandsoverdracht uitschakelen, of bureaubladtoegang inschakelen voor de Desktop Protocol-afstandsbediening, maar bestands- en printerdeling uitschakelen.
