Mensen zijn niet de (enige) zwakke schakel in security

  1. 25 okt 2017
  2. 0 reacties

remco_feenstra - CyberArk

Remco Feenstra - CyberArk

Wanneer is er voor het laatst ingebroken in uw organisatie? Bij het merendeel van de aanvallen blijkt dat de dader al veel langer binnen was voordat de inbraak duidelijk werd. De daders geven zich toegang tot het netwerk via ongeëigend gebruik van correcte accountgegevens.

Dit misbruik vindt zijn oorsprong in de definiëring van de accountgegevens. Veelal worden ze beschouwd als inloggegevens van mensen, uiteenlopend van standaard gebruikers tot beheerders met uitgebreide toegangsrechten tot de IT-infrastructuur, de zogeheten privileged accounts. Dat deze gegevens op straat kunnen komen, is kwalijk, maar is nog te begrijpen.

Mensen zijn echter niet de (enige) zwakke schakel in security. Er zijn namelijk veel meer (privileged) accounts aanwezig dan alleen het aantal gebruikers. Ieder apparaat in het netwerk heeft een account om bepaalde processen aan te sturen. Een account dus met toegang tot andere systemen.

Accounts van machines

Hackers zijn er op uit om binnen te komen en informatie te halen. Daar hoeven ze geen menselijke inloggegevens voor te hebben, machine-accounts zijn veelal voldoende.

Nieuwe apparaten in een netwerk krijgen accounts en services toegewezen. Op die manier ontstaan koppelingen tussen machines en andere resources in het netwerk. Hier zit het struikelpunt. Veel van deze accounts leven een ongezien en onbekend bestaan, en veel accounts krijgen onterecht een andere security-prioriteit dan de (gebruiker)accounts die wel zichtbaar zijn. Hoe vaak worden de wachtwoorden van machine-accounts aangepast? Als hackers privileged accountgegevens hebben, kunnen ze door het netwerk gaan, onzichtbaar voor alle beveiligingslagen als firewall, AV, SIEM omdat ze zich voordoen als legitieme gebruikers.

Veelvoorkomende misstappen

Autorisatieniveaus worden meestal handmatig vastgesteld. Bij problemen met een service gaat het vaak om ‘te weinig rechten’. Even wat extra rechten geven, is de makkelijkste oplossing, maar niet de veiligste. Lastig te weerstaan als een CEO ‘eist’ dat hij toegang krijgt tot bepaalde apps of systemen.

Daarnaast zien we ook nog andere misstappen als dezelfde accountgegevens voor verschillende services op servers, het opslaan van inloggegevens in scripts op endpoints, domeinniveau-toegang gebruiken op lokale systeemservices, en vele andere. Een goudmijn voor een gemiddelde hacker.

Alles heeft een account

Voor een goede beveiliging is het dus cruciaal te begrijpen dat alles een account heeft, gebruikers én machines. Menselijke accounts moeten worden gescheiden van service accounts en alleen worden gebruikt door een enkel geautomatiseerd proces. Rechten moeten niet voor het gemak maar wat hoger worden ingeschaald, maar beter worden beheerd. Het wisselen van wachtwoorden moet automatisch plaatsvinden, onafhankelijk van menselijk handelen. Beveilig en monitor alle accounts. Technologie die alleen opvallend menselijk gedrag detecteert is niet voldoende; wees alert op opvallende activiteiten van machines. En wees strenger voor de CEO. Uiteindelijk bescherm je haar of hem tegen een publieke boetedoening na een succesvolle aanval.