Betere beveiliging begint bij de bescherming van privileges
Het tegengaan van datalekken en het afweren van aanvallen is een dagtaak geworden voor bedrijven. Uiteraard wordt hierbij gekeken naar de nieuwste beveiligingsoplossingen.
Omdat de risiconiveaus zijn toegenomen en netwerken complexer zijn geworden, hebben leveranciers, service providers en gebruikers hun tools en aanwezige kennis moeten uitbreiden. Zonder twijfel hebben agility, automatisering en andere technologische vernieuwingen de aanpak veranderd, maar met cyberaanvallen die nog steeds regelmatig de krantenkoppen halen, is het ook duidelijk dat deze ontwikkelingen een averechts effect kunnen hebben. Waar zit de kern van het probleem?
We hebben gezien dat er altijd zwakke plekken zullen zijn in zowel de securitytoepassingen als alle endpoints en de hele netwerkinfrastructuur. Dat is een aardig uitgangspunt, maar welke acties kunnen we dan wel ondernemen? We moeten nadenken over wat te misbruiken is, wat realistisch is en hoe het bedrijf is te beïnvloeden? Als je dat weet, kun je daar je tijd en geld in investeren.
Dit is een heel andere houding dan hoe we voorheen beveiliging in IT toepasten. Denk aan het kasteel met grote vestingmuren, verdedigers naar buiten gericht, een ophaalbrug en een slotgracht. Beveiliging was gebaseerd op een situatie waarin alles wat je in huis had, beschermd moest worden. Buiten de muur was het per definitie onveilig. Nu is de helft van de kritieke bedrijfsmiddelen en gegevens van het bedrijf echter verspreid over verschillende cloudproviders, in verschillende landen en op verschillende apparatuur.
Twee kernpunten van security
Uit onderzoek blijkt dat zo’n 78 procent van de bedrijven hackers ziet als een van de drie grootste gevaren voor cruciale data, gevolgd door georganiseerde misdaad (46 procent), hacktivisten (46 procent) en privileged insiders (41 procent). De redenen dat deze risico’s bestaan slaan veelal terug op interne misstappen of onduidelijkheden. Volgens 84 procent van de respondenten is de IT-infrastructuur en cruciale data niet volledig beschermd tenzij privileged accounts, inloggegevens en secrets zijn beschermd.
Met dit in het achterhoofd zijn er twee elementen die de kern vormen van een succesvolle IT-beveiligingsstrategie. Ten eerste is er ‘Identity’: wie heeft toegang, hoe beheer je die toegang, wat is die toegang en hoe ga je om met veranderingen in die toegang?
En ten tweede zijn er de gegevens zelf. Waar moeten die gegevens worden opgeslagen, wie mag toegang hebben en welke gegevens zijn het meest waardevol? Bedrijven die zich in een digitale transformatie bevinden, moeten de dingen beschermen die het meest waardevol zijn en het meest impactvol voor het behoud van vertrouwen, inkomsten en doorlopende activiteiten.
De overeenkomst tussen deze twee aspecten is privileged access, ofwel de mensen, toepassingen en machines die rechten hebben om cruciale gegevens en systemen te beheren. In bijna elke inbraak worden privileged accounts misbruikt om identiteiten te vervalsen en toegang te krijgen. Het is dus van cruciaal belang om deze privileged access te beheren en te beschermen op iedere plek waar waardevolle identiteiten en gegevens voorkomen - in het bedrijf of in de cloud. De vestingmuur hoeft misschien niet direct naar beneden te worden gehaald, maar hij is wel een stuk minder belangrijk geworden.
Wat zijn privileged accounts?
Met de inzet van moderne infrastructuren en digitale transformatie is privilege een veelvoorkomend verschijnsel. Van cruciale applicaties tot IoT-apparatuur, van robotische procesautomatisering (RPA) tot DevOps-tools, het is handig om accounts te hebben die uitgebreidere toegangsrechten hebben om snel te schakelen. Vaak hebben we het dan over accounts van menselijke gebruikers, zoals beheerders en gedeelde accounts om systemen en netwerken aan te sturen. Handig in de praktijk, ook al vraagt het wat controle, want met deze machtige accounts heb je immers toegang tot het hele netwerk zonder dat er alarmbellen gaan rinkelen. Inmiddels wordt steeds meer duidelijk over de gevaren van privileged accounts.
Ten eerste moet duidelijk zijn wat privileged accounts zijn. De definitie gaat verder dan alleen menselijke gebruikers. Privileged accounts zijn tegenwoordig overal terug te vinden, in elk stukje IT, server, desktop, applicaties, database en netwerkapparatuur. Doordat de IT-omgevingen steeds complexer worden, vermindert het zicht op deze privileged accounts, met alle gevolgen van dien. Investeringen in automatisering en agility vergroten het beveiligingsrisico omdat het zicht op privileged credentials verder afneemt; een duidelijk nadeel van DevOps, RPA en cloud-activiteiten. Het biedt aanvallers gelegenheid om via legitieme gebruikersgegevens met verhoogde rechten een IT-omgeving binnen te komen en middels laterale stappen hogerop in het netwerk te komen.
Sterker nog, misbruik van deze accounts lagen aan de basis van het merendeel van de succesvolle cyberaanvallen van de afgelopen jaren. Bij vrijwel alle grote datalekken van de afgelopen periode vormde misbruik van privileged access de toegangsdeur en het middel om de aanval verder uit te voeren. Aanvallers nemen privileged inloggegevens over om ongezien door het netwerk te manoeuvreren tot ze hun uiteindelijke doel bereiken.
De lat hoger leggen
Uit het eerder genoemde onderzoek blijkt dat een overgrote meerderheid vindt dat de IT-infrastructuur en cruciale data niet volledig beschermd is, tenzij privileged accounts, inloggegevens en secrets zijn beschermd. Ondanks deze overtuiging heeft slechts 49 procent daadwerkelijk een securitystrategie om bedrijfskritische apps en cloud-infrastructuur te beveiligen, of om DevOps (35 procent) en IoT (32 procent) te beschermen. Daar zit dus een discrepantie. Bedrijven erkennen dit overigens wel. Ze richten hun security-investeringen steeds meer op de kernpunten van de aanvalsketen, waarbij ongeveer 28 procent van het totale budget de komende twee jaar wordt geïnvesteerd in het stoppen van misbruik van privileged gegevens en laterale bewegingen in het netwerk.
Bedrijven moeten door de technologische ontwikkelingen ook vacatures zien te vullen om deze ontwikkelingen in cloud, data en netwerken in goede banen te leiden. Dit geldt ook voor security. Digitalisering is een strategische prioriteit voor de meeste, vooruitstrevende bedrijven, maar houden hun eigen teams het tempo van verandering wel bij? De rol van de traditionele IT-medewerker wordt op zijn kop gezet, waarbij veiligheid hoog op de checklists staat. Onder de taken valt het actief opsporen van risico’s en de gaten dichten. Dit betekent voor een hoop mensen dat ze de lat hoger moeten leggen voor zichzelf om relevant te blijven. Deze mensen moeten ingezet kunnen worden in de hele organisatie om de bedrijfsdoelstellingen te halen en tegelijkertijd risico’s weten te verminderen. Het gaat niet om perfecte beveiliging; het gaat erom een risicoprofiel voor het bedrijf te bepalen op basis van de risicobereidheid, de sector waarin het bedrijf zich bevindt en de soorten bedreigingen waarmee het wordt geconfronteerd.
Conclusie
Privileged accounts, secrets en inloggegevens zitten inmiddels overal, door de hele organisatie heen, in elk IT-project. Van cruciale applicaties en DevOps, tot cloud, robotische procesautomatisering, en IoT, privileges bestaan en zijn noodzakelijk om deze elementen goed te laten werken. Daarom is het beheer van toegang met privileges - het beheren en beveiligen van de accounts, secrets en inloggegevens - nu bestempeld als de belangrijkste security-prioriteit voor CISO’s. Privileges zijn van belang, en als we ze goed beheren en beveiligen, kunnen alleen de juiste mensen daarvan profiteren.