Hoe zijn machine-identiteiten beter te beveiligen?

Uit het laatste Cybersecuritybeeld Nederland (CSBN) blijkt dat het aantal cyberdreigingen gestaag blijft toenemen en deze het digitale zenuwstelsel van onze maatschappij aantasten. Securityteams moeten daarom meer brandjes dan ooit tevoren blussen, terwijl ze liever hun hele infrastructuur en systemen beter willen beveiligen om kwetsbaarheden te voorkomen. Nog te vaak zijn zwakke machine-identiteiten de open deuren voor cybercriminelen.

Om het probleem complexer te maken, neemt de wereldwijde afhankelijkheid van software snel toe. Veel bedrijven realiseren digitale transformatie-initiatieven waarbij de focus vooral ligt op snelheid. Elke digitale verbinding werkt echter met machine-identiteiten, die data verzamelen, data delen met andere machines en autonome beslissingen nemen op basis van hun status en diverse instellingen. Ook heeft elke verbinding een machine-identiteit nodig om de communicatie te beveiligen - of het nu gaat om systemen, applicaties, API's of cloudservices. Door de snel groeiende digitalisering gebruiken organisaties momenteel al twee keer zoveel machine-identiteiten als twee jaar geleden. Helaas hebben veel securityteams niet dezelfde digitale transformatiestrategieën als de rest van het bedrijf toegepast op het beheer van alle gebruikte machine-identiteiten.

Hackers weten waar zwakke plekken zitten

Cybercriminelen zijn zich bewuster geworden van de blinde vlekken in de beheerstrategie voor machine-identiteiten bij veel organisaties. Als gevolg daarvan zijn er al meerdere aanvallen geweest waarbij doelgericht misbruik is gemaakt van slecht beschermde machine-identiteiten. Zo maakte de malware met de naam Hildegard gebruik van SSH-machine-identiteiten om Kubernetes-clusters aan te vallen en een cryptominer te lanceren. De aanval op SolarWinds heeft machine-identiteiten omzeild voor het ondertekenen van code om kwaadaardige code te implementeren, terwijl de aanval op de webserver van MonPass TLS/SSL-machine-identiteiten misbruikte om detectie te omzeilen.

Kwaadwillenden misbruiken steeds vaker machine-identiteiten om legitiem over te komen en controles van security-oplossingen te omzeilen. Gestolen machine-identiteiten kunnen een hacker namelijk geautoriseerde toegang geven tot kritieke systemen, zodat deze zich binnen een netwerk kan verplaatsen en voor langere tijd kan verbergen. Deze aanvallen worden tevens geraffineerder naarmate de technieken van hackersgroepen die gelieerd zijn aan overheidsorganisaties doordringen tot de alledaagse cybercriminelen. Bovendien hebben veel organisaties (79%) in slechts twee jaar te maken gehad met een inbraak in verband met identiteiten, en slechts 35% van de securitymanagers en IT-teams van ondernemingen is ervan overtuigd dat zij informatiediefstal met behulp van machine-identiteiten hebben voorkomen.

Hoe zijn machine-identiteiten beter te beveiligen?

Organisaties moeten snel in actie ondernemen om de risico's van aanvallen op machine-identiteiten te beperken. Anders blijven zwakke machine-identiteiten open deuren voor hackers, die hen in staat stellen binnen te komen en schade aan te richten. Bedrijven doen er verstandig aan hun security op drie belangrijke gebieden te verbeteren: zichtbaarheid, intelligentie en automatisering.

Zichtbaarheid: Om ervoor te zorgen dat alle beleidsregels efficiënt worden afgedwongen, is het noodzakelijk een volledige inventarisatie van alle machine-identiteiten uit te voeren. Alleen op die manier kunnen securityteams erop vertrouwen dat ze inzicht hebben in hun netwerk en alle processen om snel te kunnen reageren op potentiële dreigingen.

Intelligentie: het hebben van uitgebreide en bruikbare intelligentie over de gehele levenscyclus van machine-identiteiten, die certificaatinschrijving, installatie, vernieuwing en intrekking omvat, helpt ondernemingen bij het beschermen en beveiligen van geautoriseerde, versleutelde communicatie tussen machines. Zo’n intelligentieniveau maakt het mogelijk veel van de kosten te besparen die nu nodig zijn voor het ad-hoc beheren van alle certificaten en machine-identiteiten.

Automatisering: door machine-identiteiten geautomatiseerd te gaan beheren, neemt de druk op de securitymanagers en -teams af en zijn fouten of vergissingen door onvoldoende oplettendheid te voorkomen. Automatisering stelt het securityteam ook in staat een reeks snelle acties te orkestreren die gericht kunnen zijn op een enkele machine-identiteit of een hele groep identiteiten als dat nodig is. Het minimaliseert ook de overhead van het handmatig wisselen van certificaatautoriteiten (CA's) en het vervangen van kwetsbare machine-identiteiten.

Door deze drie elementen te combineren, kunnen organisaties de volledige levenscyclus van machine-identiteiten preventief beter beveiligen. Dit omvat het afdwingen van een sterker beleid voor certificaatbeveiliging, het stroomlijnen en versnellen van herstel, het valideren dat machine-identiteiten correct zijn geïnstalleerd en correct werken, en het voortdurend bewaken van de sterkte en veiligheid van certificaten. Tenslotte is het belangrijk machine-identiteitsbeheer voor iedereen binnen de organisatie beter zichtbaar en begrijpelijk te maken. Security is namelijk niet de taak en verantwoordelijkheid van slechts één persoon of team, maar van iedereen.

Kevin Bocek, VP security strategy & threat intelligence bij Venafi