Zo beheer je risico’s van ‘populairste’ vector: identiteit

BLOG – In het moderne dreigingslandschap vormt identiteit de nieuwe veiligheidsperimeter. En dat is niet onverwacht. Uit de trends blijkt dat meer dan negentig procent van inbreuken op de security het gevolg is van aanvallen gericht op identiteit.

De menselijke factor is een van de voornaamste zwakke plekken in de security. Het recente ‘Data Breach Investigations Report’ van Verizon Business toont aan dat bij bijna driekwart van de bevestigde inbreuken een menselijk element betrokken is. Deze gegevens zijn al jaren consistent. Maar de manier waarop kwaadwillende actoren misbruik maken van mensen als de zwakste schakel in de aanvalsketen, is nu anders. Scattered Spider-aanvallen en het toenemende aantal aanvallen op leveranciers van identiteitsdiensten in de voorbije maanden tonen aan dat dreigingsactoren bewezen tactieken zoals phishing en diefstal van referenties uitbreiden en zich richten op de supply chain. Het compromitteren van de supply chain levert mogelijk een zeer hoog rendement. Om het maximale uit de aanval te halen, zetten kwaadwillende actoren vol in op hun meest succesvolle tactiek: het aanvallen van identiteiten.

Diefstal

Meer dan één derde van alle succesvolle phishing-aanvallen leidt tot diefstal van referenties of account compromising. Dit geeft aanvallers toegang tot accounts of identiteiten van organisaties. Na het succesvol compromitteren van een identiteit, kan een dreigings-actor zich makkelijk door de organisatie bewegen. Het escaleren van privileges, verzamelen van informatie, distribueren van payloads en het uitvoeren van andere doelstellingen is vanaf dat punt bijzonder eenvoudig. Dit bereiken ze zonder het aantasten van de traditionele perimeterverdediging en met weinig technische kennis en inspanning.

Volgens non-profitorganisatie Identity Defined Security Alliance had meer dan negentig procent van de ondervraagde organisaties het afgelopen jaar te maken met een identiteitsgerelateerde inbreuk

Volgens non-profitorganisatie Identity Defined Security Alliance had meer dan negentig procent van de ondervraagde organisaties het afgelopen jaar te maken met een identiteitsgerelateerde inbreuk. Organisaties moeten zich absoluut aan de nieuwe realiteit aanpassen en hun verdediging verder ontwikkelen.

Kwetsbare punten

Veel organisaties investeren aanzienlijk in het versterken van hun identiteitsinfrastructuur. Toch missen ze nog kwetsbare punten, zoals (in het cachegeheugen) opgeslagen referenties, sessie-cookies, toegangssleutels, schaduwaccounts met privileges en verschillende, verkeerde configuraties die met accounts en identiteiten zijn verbonden.

De eerste stap in het beschermen van het nieuwe aanvalsoppervlak is begrijpen hoe cybercriminelen identiteiten in een organisatie aanvallen. Welke menselijke toegangspunten zijn het meest kwetsbaar en vormen een groot doelwit? En als het niet mogelijk is om alle risico’s te beperken, wat zijn dan de prioriteiten?

Dreigingsactoren richten zich doorgaans op drie identiteitsgebieden.

• Onbeheerde identiteiten

Zoals identiteiten die gebruikt worden door applicaties-serviceaccounts en lokale beheerders. Onderzoek wijst uit dat bijna negentig procent van de lokale beheerders niet is aangemeld bij een oplossing voor het beheer van geprivilegieerde accounts. Dit soort identiteiten worden vaak niet ontdekt tijdens de implementatie of worden vergeten nadat ze hun doel hebben gediend. Veel van deze accounts gebruiken standaard of versleutelde wachtwoorden, wat het risico nog hoger maakt.

• Verkeerd geconfigureerde identiteiten

Bijvoorbeeld ‘shadow-admins’, identiteiten geconfigureerd met zwakke, of geen codering en accounts met zwakke referenties. Veertig procent van de verkeerd geconfigureerde, of shadow-admin-identiteiten kunnen in één stap worden misbruikt. Bijvoorbeeld door het resetten van een domeinwachtwoord, met het escaleren van privileges als doel. Dertien procent van de shadow-admins heeft al domeinbeheerprivileges. Kwaadwillende actoren kunnen hierdoor referenties verzamelen en de organisatie infiltreren.

• Blootgestelde identiteiten

Deze categorie omvat in het cachegeheugen opgeslagen referenties van verschillende systemen en cloud access tokens, opgeslagen op endpoints die externe toegangssessies openen. Eén op de zes endpoints bevat blootgestelde wachtwoorden voor bevoorrechte accounts, zoals referenties opgeslagen in de cache. Het is net zo riskant als het toestaan dat medewerkers wachtwoorden op hun apparaten achterlaten met post-its. Toch zien organisaties blootgestelde identiteiten nog vaak over het hoofd.

Welk type kwaadwillende dreigingsactoren ook compromitteren, er is maar één kwetsbaar account nodig voor onbelemmerde toegang tot organisaties. En hoe langer dit onopgemerkt blijft, hoe desastreuzer de consequenties.

Risicobeheer met detection en reaction op identiteitsdreigingen

Het bestrijden van dreigingen, welke soort dan ook, vereist verschillende kernactiviteiten, zoals:

• In realtime dreigingen detecteren en identificeren;
• Prioriteit toekennen;
• De situatie direct verhelpen door het zo veel mogelijk automatiseren van reacties.

Organisaties implementeren meestal alleen ‘detectie en reactie’ op dreigingen voor hun technologie. Maar nu de menselijke perimeter het kwetsbaarste component is, is identity threat detection and response (itdr) cruciaal bij het identificeren en beperken van hiaten in identiteitsgedreven blootstellingen. Dit werkt als volgt:

• Itdr vereist een combinatie tussen uitgebreide securityprocessen, tools en best practices. Behandel identiteiten op dezelfde manier als ieder ander type bedrijfsmiddel, inclusief netwerken en endpoints van de organisatie;
• Begin met proactieve, preventieve controles met als doel het ontdekken en beperken van kwetsbaarheden voordat cybercriminelen er misbruik van maken. Voortdurende detectie en geautomatiseerde herstelmaatregelen zijn de beste manier om cybercriminelen buiten de deur te houden;
• Neutraliseer dreigingsactoren snel als zij door de verdediging glippen. En houd rekening met de volledige aanvalsketen, want geen enkele controle is onfeilbaar. Het snel stoppen van privilege-escalatie is cruciaal. Zodra dreigingsactoren toegang krijgen, voeren deze stap direct uit. Wanneer ze nergens kunnen komen, geven ze het op en gaan ze verder;
• Verhoog de kans op succes door het combineren van machine learning of analyse – voor het detecteren van ongebruikelijke of verdachte gebeurtenissen – met geautomatiseerde reacties.
• Robuuste itdr-oplossingen bieden, net zoals endpoint-detectie en -reactie, en uitgebreide detectie en reactie, een diepgaande aanpak in het beperken van bloostellingen. Cybercriminelen zijn gewoon te snel voor securityteams om identiteitsdreigingen bij te houden zonder de juiste hulpmiddelen;
• Een effectieve itdr hangt af van best practices, zoals goede cyberhygiëne. Het verbeteren van de hygiëne is een eenvoudige activiteit en vereist weinig middelen. Mensen vormen het grootste veiligheidsrisico. Een mensgerichte verdediging werkt niet wanneer medewerkers niet in staat worden gesteld om de aanvalsketen te doorbreken door het veranderen van hun gedrag.

Op identiteitsgebaseerde aanvallen en -inbreuken gaan dit jaar domineren. En cybercriminelen focussen zich op deze lucratieve aanvalsmethode. Prioriteer identiteitsgerichte risico’s en pas bestaande strategieën aan naarmate de risico’s verder ontwikkelen.