Står Privileged Access Management højt på din agenda?

6. september 2018 - Privileged Access Management (PAM) er kommet på agendaen i it-sikkerhedsafdelingerne. Dubex' CEO Gorm Mandsberg brugte et par sommerdage på CyberArks PAM-konference ”Impact 2018” og har taget en række gode indsigter med hjem til dig.

Gartner rangerer PAM som #1 blandt de vigtigste sikkerhedsprojekter i 2018

Hvis det ikke allerede er på din liste over projekter i 2018, så burde det måske komme på. Vigtigheden af PAM blev blandt andet tydeliggjort, da Gartner for nylig offentliggjorde en liste over 10 sikkerhedsprojekter for 2018, som de mener, at enhver CISO bør overveje. Her står PAM nemlig øverst på listen.

Ifølge Gartner bør du have et PAM-program for alle dine brugere  både almindelige, administrative- og superbrugere  og du skal være i stand til at opdage usædvanlig adfærd for dem alle. Hvis et større PAM-program er for omfattende et projekt, anbefaler Gartner, at virksomheder som minimum har multifaktorautentifikation på alle brugere.

PAM har udviklet sig fra niche til et af de hotteste emner blandt CISOs

I Dubex oplever vi generelt en større efterspørgsel på programmer for privilegeret brugeradgangsstyring. Der er sket en modning i markedet, og flere virksomheder erkender, at det er nødvendigt at få styr på både privilegerede og almindelige brugeradgange, så man centralt kan styre, hvem der har adgang til hvad og hvornår.

Udviklingen på området er tilsvarende stor, og udbyderne bliver flere og flere. I Dubex samarbejder vi med CyberArk, der er en af verdens førende virksomheder inden for brugeradgangsstyring.

Det var også tydeligt ved dette års CyberArk Impact, CyberArks årlige konference, som blev afholdt i starten af juli for Privileged Access-eksperter. Konferencen er vokset til mere end dobbelt størrelse på bare et par år.

Gorms highlights fra konferencen

Dubex’ CEO Gorm Mandsberg var med på konferencen for at blive opdateret på de seneste tendenser inden for PAM. Især to emner gik igen i løbet af de tre konferencedage: Privilegeret adgang i skyen og privilegeret adgang i DevOps.

Vi skal kunne håndtere privilegerede adgange i skyen
Som følge af det generelle ryk mod cloud-systemer opstår der en række udfordringer med privilegerede adgange. Derfor har CyberArk for nyligt opkøbt et andet israelsk firma, der har et koncept for styring af netop dette.

Gorm har to eksempler, der viser hvad dette kan:

1) Din marketingafdeling har en businesskonto på Twitter, som de deler login til. CyberArk er nu i stand til at indføre et PAM-lag mellem din organisation og Twitter's cloud-service. Den ansatte logger på businesskontoen i Twitter, men hver bruger skal logge ind med eget login. Det giver dig mulighed for at styre, hvem der må hvad på Twitter, og du kan fx lave politikker for, at brugerne ikke må skrive om bestemte emner, som navne på konkurrenter eller negativt ladede ord.

2) Lad os sige, at I bruger Amazon Cloud Services. Ligesom med eksemplet fra marketing ovenfor, kan du aktivere et mellemlag af brugerstyring. Du kan lave en mere finmasket kontrol med, hvad brugeren kan og ikke kan, end den som Amazon tilbyder. En bruger skal fx kunne starte en server, men ikke stoppe den.

Ups, vi skal vist have styr på privilegerede adgange i DevOps
Indtil for nylig har der været meget fokus på privilegerede brugere og brugeradgange i driftsmiljøer. Men man har glemt andre vigtige miljøer, som kan være mindst lige så afgørende for sikkerheden. Det er de såkaldte Development Operations eller DevOps, som kan inkludere alt fra udviklingsmiljø, staging og testmiljøer.

Ved at sikre sig, at der allerede fra start er styr på brugeradgange i udviklingen af nye systemer og opdatering af gamle systemer, undgår man, at rettighedsfejl overføres til driftsmiljøet og skaber usikkerheder og huller i softwaren. Samtidig sikrer du dig, at brugeradgangsstyring er indbygget by default i dine systemer. Der opnås altså en højere grad af security by design. Det er en meget positiv udvikling.

CyberArk har stort fokus på PAM i cloud og DevOps. Virksomheden har for nylig gjort to strategiske opkøb, som rammer ind i netop disse to tendenser og udvider kompetencerne på området.

Dubex modtager CyverArks Regional Partner-pris i Norden

Som en del af Impact 2018-konferencen uddelte CyberArk en række priser til nogle af deres vigtigste samarbejdspartnere i Europa. Her modtog Dubex prisen for Nordic CyberArk Partner of the Year 2017. Det er vi meget stolte af. Som PAM-området har udviklet sig, er CyberArk blevet en endnu vigtigere samarbejdspartner for Dubex. Derfor er vi også super glade for at arbejdet og det gode partnerskab anerkendes med prisen.