Onlangs was ik op de Infosecurity beurs en heb ik van de gelegenheid gebruikgemaakt om een steekproef onder de bezoekers te doen. Al eerder schreef ik in mijn bijdragen over het belang van privileged access management (pam) en het monitoren van toegang tot en activiteit op het bedrijfsnetwerk door zowel interne als externe gebruikers en leveranciers. Hoe staat het er op dit gebied nu voor?
Weten we welke interne gebruikers privileged access hebben en is het weleens voorgekomen dat data lekte via een insider? De antwoorden hebben mij helaas niet echt gerustgesteld.
Insider threats
Privileged users zijn populaire doelwitten voor cybercriminelen, omdat het voor de it-afdeling een flinke uitdaging is om bij te houden wie er toegang heeft tot welke privileged accounts en waar deze voor gebruikt worden. Wanneer cybercriminelen eenmaal de beschikking hebben over de inloggegevens van deze gebruikers is de stap naar kritische bedrijfsinformatie zo gemaakt en kunnen zij vaak ongezien langere tijd op het netwerk blijven.
Uit de rondvraag blijkt ook dat bijna 47 procent van de ondervraagde it-professionals niet in kaart heeft welke medewerkers er privileged access hebben tot de bedrijfssystemen. 25 procent heeft deze informatie vastgelegd en 28 procent zegt de informatie wel te hebben, maar niet te hebben opgeslagen. Dit betekent dat veel organisaties geen idee hebben hoeveel mensen er een securityrisico vormen en dat het in geval van een datalek moeilijk (of zelfs onmogelijk) wordt om te achterhalen wie hiervoor verantwoordelijk is. Gevaarlijk, want 56 procent geeft aan dat er weleens bedrijfsinformatie gelekt is via een insider, zoals een medewerker, freelancer of een uitzendkracht.
Productiviteit en veiligheid
Op het gebied van insider threats komen vertrouwen en werkbaarheid bij elkaar. Aan de ene kant hebben we ontzettend veel vertrouwen in onze medewerkers en de mensen met wie we samenwerken. Hoe prettig dat ook is in de samenwerking, het brengt ook grote risico’s met zich mee. Het makkelijkste voorbeeld is de medewerker die boos bij de organisatie vertrekt en na zijn laatste dag onterecht nog toegang heeft tot de bedrijfssystemen. Aan de andere kant is de werkbaarheid van security-oplossingen een grote uitdaging. We willen de organisatie beveiligen, maar het moet niet ten koste gaan van de productiviteit en de gebruikerstevredenheid. De implementatie van oplossingen wordt daarom uitgesteld.
Om insider threats te reduceren, is het cruciaal dat toegang tot en activiteit op het netwerk gemonitord en vastgelegd worden. Maar liefst 81 procent zegt nu geen idee te hebben van wie zich waar en hoelang op het netwerk bevindt als we het over interne gebruikers hebben. Daarnaast kan het gebruik van een password vault de veiligheid verder verhogen, zonder dat gebruikers daar hinder van ondervinden. Door een password vault te gebruiken, hoeven gebruikers geen wachtwoorden te kennen en dit is een flinke stap voorwaarts bij het beveiligen van de bedrijfsinformatie. Door gebruikers daarnaast toegang te geven tot het bedrijfsnetwerk op basis van rollen, wordt bovendien voorkomen dat zij meer privileges hebben dan strikt noodzakelijk. Ga uit van minimale toegang en breidt uit op basis van bijvoorbeeld functie.
Toegang externe leveranciers
Naast de interne gebruikers hebben organisaties ook te maken met grote aantallen externe leveranciers die toegang hebben tot het netwerk. Het vertrouwen hier lijkt iets lager te liggen, maar nog altijd geeft 53 procent aan niet te weten wanneer externe leveranciers zich toegang tot het netwerk verschaffen. Daarnaast zegt 75 procent deze toegang te verschaffen door middel van een vpn-verbinding. Om te voorkomen dat externe leveranciers onzichtbaar over het netwerk bewegen, is het verstandig om rechtstreekse verbindingen met het netwerk te verwijderen en te voorkomen. Tenslotte is het raadzaam om de afgifte van inloggegevens te automatiseren en gebruik te maken van multi-factor authenticatie. Zo weet je zeker dat gebruikers die toegang hebben tot de bedrijfssystemen zijn wie ze zeggen. En natuurlijk geldt ook hier dat het vastleggen van audit trails essentieel is voor het borgen van de veiligheid. Zeker ook met het oog op de GDPR. Leg alle sessies op het netwerk en de activiteiten vast. Wanneer je dan toch onverhoopt met een lek te maken krijgt, is er in ieder geval een volledige audit trail beschikbaar.
Organisaties kunnen nog zoveel end-point solutions implementeren, maar als men niet weet wat er op het netwerk gebeurt, is het gevaar nog lang niet geweken. In 2018 moet er wat mij betreft dan ook meer focus komen op de toegang: er moeten andere wegen aangelegd worden en er moeten ‘camera’s’ langs de route geplaatst worden. Alleen zo weet je, ook achteraf, wie welke route heeft afgelegd.
Inderdaad een groot risico dat nog altijd blijft bestaan, Hannes. Als toevoeging op de door jou genoemde maatregelen is een einddatum ook een goed middel. Dus een einddatum ‘hangen’ aan deze accounts en bewust verlengen ipv standaard verlengen. Hiermee kan je ook ‘authorization creep’ tegen gaan.