Volgens het CBS heeft vorig jaar één op de vijf bedrijven in Nederland te maken gekregen met een hack of computervirus. Omdat het aantal privileged accounts snel groeit en veel cyberaanvallen voortkomen uit gestolen en zwakke wachtwoorden, deel ik graag een aantal tips voor het beschermen van deze accounts.
Hierbij gaat het niet alleen om de toegang die organisaties geven aan externe leveranciers, maar zeker ook om de accounts van privileged insiders.
Snelweg naar het bedrijfsnetwerk
Het datalek bij Deloitte dat onlangs bekend is gemaakt, onderstreept het belang van het beveiligen van de toegangsinformatie tot privileged accounts. Naar verluidt zijn sinds de herfst van 2016 alle admin-accounts aangetast. Ontzettend vervelend natuurlijk, maar echt een verrassing is het ook niet. Deze admin- (of privileged) accounts zijn vaak het belangrijkste doelwit, omdat ze voor een hacker de snelweg naar het netwerk zijn.
Uit onderzoek van Verizon blijkt dat bij 81 procent van de hackgerelateerde datalekken gebruik is gemaakt van gestolen of zwakke wachtwoorden. Toch gebruiken, en hergebruiken, mensen nog altijd zwakke wachtwoorden, terwijl tegelijkertijd phishingaanvallen steeds geavanceerder worden. Het beschermen van privileged accounts en de toegang daartoe, zou daarom bovenaan de prioriteitenlijst moeten staan van iedere organisatie.
Toegangsrechten controleren
Organisaties kunnen het zich in het huidige dreigingslandschap niet veroorloven om achterover te leunen. Uit internationaal onderzoek van onze onderneming blijkt dat it-professionals voldoende vertrouwen in werknemers hebben om hen speciale toegangsrechten te verlenen, maar zij zijn zich ook bewust van de vele risico’s die dit met zich meebrengt. De meeste it-professionals gaan niet uit van kwade opzet, maar maken zich wel zorgen over onopzettelijke fouten. Bijvoorbeeld door verkeerd gebruik te maken van gevoelige data of doordat cybercriminelen er in slagen met eenvoudige phishing-technieken de controle over te nemen van privileged accounts.
Desondanks lopen bedrijven op dit gebied nog altijd achter de feiten aan, doordat inzicht in toegangsrechten ontbreekt. Technologie die toegang tot privileged systemen en data controleert, faciliteert en monitort, helpt organisaties om het heft weer in eigen handen te nemen. Daarnaast is een ‘password vault’ onmisbaar om inloggegevens veilig te houden.
Om inloggegevens beter te kunnen controleren en beschermen, kunnen password vaults uitkomst bieden. Deze verhogen niet alleen de veiligheid doordat de gegevens veilig en centraal worden opgeslagen, maar vaults kunnen ook geïntegreerd worden in de security-policies van organisaties. Onder andere door passwordrotatie en leeftijd- en rolgebaseerde toegangsworkflows af te dwingen. Het roteren en willekeurig toekennen van wachtwoorden zorgt er bovendien voor dat wachtwoorden die onderschept worden niet lang geldig zijn.
Security niet ten koste van productiviteit
Specifieke oplossingen voor het beschermen van privileged accounts en inloggegevens kunnen zowel de productiviteit voor de medewerker verhogen als securityproblemen tackelen. Een privileged access management (pam)-oplossing bijvoorbeeld, biedt de mogelijkheid om inloggegevens geautomatiseerd te valideren en direct vanuit de passwordmanager of vault in het eindsysteem te injecteren. Hierdoor is het niet nodig om een lange lijst van admin-wachtwoorden te onthouden, gaan mensen ze ook niet op post-its schrijven, en kunnen privileged users met één click verbinding maken met een bedrijfssysteem; zonder dat zij de inloggegevens ook maar te zien krijgen.
Er wordt veel gevraagd van it-professionals als het gaat om security. De grote vraag is vaak: waar te beginnen? Inloggegevens liggen niet alleen veelvuldig aan de basis van een hack, maar zijn ook het startpunt van iedere activiteit op het bedrijfsnetwerk door privileged users. Zorg daarom dat de basis in orde is en minimaliseer de kans dat inloggegevens in verkeerde handen vallen.
Helemaal mee eens. Ik zou zelfs zo ver willen gaan dat het ultieme doel is om geen priviliged user accounts als zodanig te gebruiken. Liever wil je dat mensen inloggen met eigen (named) accounts. Waar je vanuit een PAM oplossing elevated privileges kan krijgen. Dus meer vanuit least priviliged werken ipv admin accounts vanuit kluizen.
Hackers zijn altijd op zoek naar de sleutels van het koninkrijk. Eenmaal binnen kunnen ze vrij in het (data) kasteel bewegen en handelingen verrichten zonder in de gaten lopen. (Denk aan de bekende Snowden case.) Zelfs na de ontdekking was niet duidelijk wat hij allemaal heeft gedaan.
Dus naast password vaulting is vastleggen van alle handelingen van een privileged gebruiker noodzakelijk. (Zie Gartner aanbevelingen in de 2017 Market Guide for Privileged Access Management)
Naast het vastleggen is een snel detecteren van schadelijke handelingen van belang, door van alle gebruikers een gedragsprofiel te maken is dit verregaand te automatiseren. Denk hierbij aan handelingen die afwijken van het standaard patroon van die gebruiker. Dit kan bijvoorbeeld zijn een privilege user, die plotseling veel data verstuurd, inlogt vanaf een ander device, locatie, tijdstip etc. Zo kan men de nieuwe Snowden’s snel detecteren en pacificeren.
Dus password Vaulting is een eerste stap, echter graag in combinatie met een registratie van alle handelingen en automatische pacificatie.
En ik altijd maar denken dat PAM voor “Pluggable Authenciation Modules” stond… Domme ik 🙂