De afgelopen jaren zijn overweldigend geweest als het gaat om cybersecurity. Zoals de laatste editie van het Data Breach Investigations Report (DBIR) stelt, is het moeilijk om nog verrast te worden door wat er op ons afkomt in de duistere wereld van de cybercriminaliteit. Toch is het goede nieuws dat veel van de meest voorkomende cyberdreigingen kunnen worden tegengegaan door een goede oplossing voor Identity and Access Management (IAM).
Aanvallen op kritieke infrastructuur: check! Massale inbreuken op de toeleveringsketen: check! Financieel gemotiveerde aanvallen door hackers: check! Aanvallen van nationale staten op andere landen: check! In totaal onderzocht de DBIR bijna 24.000 beveiligingsincidenten die in 2022 plaatsvonden, waarvan ruim 5200 bevestigde datalekken. Door deze incidenten te analyseren kwamen de onderzoekers tot zeven aanvalspatronen waarin deze datalekken kunnen worden ingedeeld, samen met een categorie 'overig'.
Aanvallen op standaard internetapplicaties
Aanvallen tegen een internetapplicatie die gericht zijn op het stelen van gegevens. Het patroon is: "binnenkomen, gegevens stelen en snel weer wegwezen". Om binnen te komen, gebruiken cybercriminelen gestolen inloggegevens, maken gebruik van kwetsbaarheden of voeren brute force-aanvallen uit op wachtwoorden.
Denial of service
Aanvallen die bedoeld zijn om de beschikbaarheid van netwerken en systemen in gevaar te brengen. Het gaat hierbij om aanvallen op netwerken en applicatielagen en blijft een van de meest voorkomende soorten cybersecurity-incidenten.
Verloren en gestolen assets
Incidenten waarbij een informatie-asset verloren is gegaan door een verkeerde plaatsing of opzettelijk. Hoewel de kern van het probleem voornamelijk wordt gevormd door medewerkers die hun assets kwijtraken, maken externe actoren misbruik van deze assets door de verloren of gestolen assets te verkopen.
Diverse fouten
Incidenten waarbij onbedoelde handelingen direct een beveiligingsattribuut van een informatie-asset in gevaar hebben gebracht. Meestal gaat het om medewerkers of partners die toegang hebben tot uw systemen. "Mensen maken nog steeds fouten, en deze fouten kunnen datalekken veroorzaken."
Misbruik van voorrechten
Incidenten die voornamelijk het gevolg zijn van ongeoorloofd of schadelijk gebruik van legitieme rechten. Bij dit patroon gebruiken mensen de legitieme toegang die ze als medewerker is verleend om gegevens te stelen. Ze kunnen alleen of samen met anderen handelen.
Social engineering
Een psychologisch compromis van een persoon die zijn of haar gedrag verandert en actie onderneemt of vertrouwelijkheid schendt. Volgens het rapport blijft het menselijke element een belangrijke factor in 82% van alle inbreuken.
Inbraak in een systeem
Complexe aanvallen die malware en/of hacken gebruiken om hun doelen te bereiken, waaronder het implementeren van ransomware. Ransomware is een van de snelst groeiende aanvalspatronen, met een toename van 13% in 2022.
IAM komt u redden
Het is misschien verrassend dat de hierboven genoemde patronen nog steeds voor kunnen komen wanneer er zoveel oplossingen beschikbaar zijn door alleen maar Identity en Access Management te gebruiken. IAM biedt bescherming voor een aantal use cases. Kijkend naar de oorzaak van deze problemen, kunnen de meeste worden voorkomen door gebruikers te helpen hun toegang op een handigere manier te beveiligen. De meest voorkomende risico's hebben te maken met het beheer van wachtwoorden van gebruikers, toegangsrechten tot verschillende assets en het delen van inloggegevens.
De implementatie van een zero-trust Identity en Access Management platform helpt u te beschermen tegen dit soort aanvallen.
Wachtwoordbeheer
Hackers proberen kosteneffectief te zijn en de eenvoudigste manier voor ze om toegang te krijgen tot een extern systeem is via:
- Raden: Het lijkt misschien vreemd, maar zelfs na 25 jaar voorlichting aan gebruikers over slechte wachtwoorden is het meest gebruikte wachtwoord nog steeds 123456. Er bestaan lijsten met deze meest gebruikte wachtwoorden, en door een beetje onderzoek te doen op social media, kunnen hackers hun succespercentage eenvoudig verhogen. De slechtste procedure is een oplossing voor een 'vergeten wachtwoord' toestaan die een paar vragen stelt, zoals wat is de meisjesnaam van je moeder, de naam van je eerste huisdier...
- Kopen: Troy Hunt, eigenaar van https://haveibeenpwned.com/, verifieert meerdere lijsten die iedereen kan kopen op het dark web, met accountinformatie inclusief gebruikersnaam- en wachtwoordcombinaties. Op de website zijn bijna 12 miljard gehackte accounts beschikbaar, en dit is slechts een gedeelte van de voor hackers beschikbare informatie. Aangezien de meeste gebruikers hetzelfde wachtwoord op meerdere sites gebruiken, is het zeer waarschijnlijk dat een combinatie van gebruikersnaam en wachtwoord die binnen uw bedrijf wordt gebruikt, openbaar is. Zelfs als u uw gebruikers vraagt hun wachtwoord elke maand te wijzigen, is de kans groot dat hackers erachter komen welke gebruikers slechts een klein gedeelte van hun wachtwoord wijzigen.
- Met brute kracht berekenen: Bij een brute force-aanval probeert een computer willekeurig elke mogelijke tekencombinatie om een wachtwoord van een gebruiker te achterhalen. Aangezien de computer elke mogelijke combinatie moet berekenen, maakt het niet uit of u een letter, een cijfer of een speciaal teken in uw wachtwoord gebruikt. De sleutel om het deze algoritmen moeilijk te maken is het gebruik van lange wachtwoorden, idealiter zelfs hele zinnen. Maar er zijn twee problemen met deze techniek: Computers worden steeds sneller, en met kwantumcomputers in het verschiet zullen de eeuwen die nodig zijn om een lang wachtwoord te kraken minuten worden. Ten tweede zijn lange complexe wachtwoorden niet eenvoudig in te voeren, zodat gebruikers cruciale tijd verliezen bij de toegang tot hun systemen. Ze kunnen zichzelf zelfs blokkeren als ze de verkeerde combinatie invoeren.
- Social engineering: Deze aanvalsmethode vergt de meeste inspanning van hackers, omdat ze in contact moeten komen met hun slachtoffer en hem of haar moeten overtuigen om inloggegevens prijs te geven of een applicatie te installeren op de pc van het slachtoffer. Om de kosten te drukken, gebruiken ze methoden zoals phishing om gebruikers om te leiden naar nepwebsites en hun slachtoffers te verleiden hun gebruikersnaam en wachtwoord te 'geven'. Het voordeel van deze methode is dat het ook kan worden gebruikt met eenvoudige eenmalige wachtwoordoplossingen (OTP) waarmee u de OTP op de nepwebsite kunt invoeren.
Als het doelwit waardevoller is (dit kan financieel zijn, maar iedereen die toegang kan geven tot IT-systemen van een bedrijf is een interessant doelwit) geven hackers meer geld uit en gebruiken ze meer methoden zoals smishing (met het laatste WhatsApp-lek zijn nu nog eens 500 miljoen telefoonnummers beschikbaar voor hackers) of pakken ze zelfs de telefoon op en doen zich voor als een IT-beheerder van uw bedrijf, uw telecombedrijf, bank..... Vervolgens laten ze u inloggen op een (nep) website, zodat ze nu uw inloggegevens hebben.
De beste manier om dit soort aanvallen tegen te gaan is het afdwingen van embedded, asymmetrische, out-of-band sterke gebruikersauthenticatie. Laten we eens kijken wat embedded, asymmetrisch en out-of-band betekenen.
Embedded betekent dat u de sterke authenticatiemethode in de internet- of mobiele applicatie zelf integreert. Hierdoor wordt het authenticatiemechanisme gekoppeld aan het apparaat waarmee de gebruiker zich heeft aangemeld. Als een verificatieverzoek van een ander apparaat/applicatie komt, kan het als verdacht worden gemarkeerd en kan er om extra verificatie worden verzocht.
Bij een symmetrische methode zoals OATH, die door standaard OTP-generatoren wordt gebruikt, kan het geheim gestolen worden dat wordt gebruikt om de OTP te genereren. Hierdoor kunnen hackers OTP's genereren op een ander apparaat zonder dat de gebruiker daarvan op de hoogte is. Asymmetrisch biedt het voordeel dat er een unieke combinatie is tussen de client en de authenticatieserver. Dit betekent dat een hacker ook toegang moet hebben tot het apparaat zelf.
Bij out-of-band authenticatie is er een kloof tussen het apparaat dat de authenticatie genereert en valideert, en de applicatie zelf. Dit kan worden bereikt door een pushbericht of het scannen van een gecodeerde QR-code.
Dit klinkt misschien ingewikkeld, maar de voordelen zijn tweeledig:
- Gebruikerservaring: bij de registratie van het account worden gebruikers automatisch ingeschreven in een mechanisme voor sterke authenticatie door hun browser of mobiele applicatie te registreren. Ze hoeven geen wachtwoord meer aan te maken, maar alleen een pincode toe te voegen en de biometrische gegevens te activeren. De volgende keer als ze inloggen, hoeven ze alleen hun pincode in te voeren of hun biometrische gegevens te gebruiken om toegang te krijgen tot de applicatie. Onboarding gaat sneller en gebruikers zijn minder gefrustreerd als ze de applicatie openen.
- Beveiliging: aangezien gebruikers geen wachtwoord hoeven aan te maken tijdens onboarding, is er geen risico dat een wachtwoord wordt achterhaald. De encryptie in het wachtwoord kan worden gebruikt om de gebruikersgegevens uniek te versleutelen, zodat de hacker elke sleutel moet bemachtigen om bij de gegevens van de gebruikers te komen, zelfs als er sprake is van een datalek.
Eenmalige aanmelding (SSO)
Om het aantal wachtwoorden voor een gebruiker te beperken, kunt u het beste protocollen implementeren die eenmalige aanmelding ondersteunen, in plaats van voor elke gebruiker nieuwe accounts met wachtwoorden aan te maken. Als ze gedwongen worden, zullen gebruikers dezelfde inloggegevens gebruiken voor alle applicaties. Als één applicatie wordt gecompromitteerd, kan de hacker toegang krijgen tot elke applicatie. Dit is vooral het geval wanneer u applicaties van derden in uw ecosysteem integreert. De beste manier om deze systemen te beveiligen is protocollen gebruiken zoals OIDC die authenticatie met behulp van een token ondersteunen. Authenticatie vindt plaats onder controle van uw bedrijf, terwijl toegang automatisch wordt verleend door een beveiligd token te delen dat ter plekke wordt gegenereerd. De gebruiker kan gewoon op de link naar de specifieke resource klikken en alle verificatie- en autorisatieprocessen vinden achter de schermen plaats. Als een specifieke resource beter moet worden beveiligd dan de oorspronkelijke resource waarvoor de gebruiker is gemachtigd, kunnen systemen zoals stapsgewijze authenticatie worden ingevoerd om de beveiliging met minimale inspanningen te verhogen.
Progressieve profilering
De meeste gebruikers openen uw applicatie op hetzelfde apparaat, vanaf dezelfde locatie. Door al deze gegevens te verzamelen, kunt u sessieprofielen aanmaken die de veiligheid van de volgende sessies verhogen. Als een verzoek om toegang afkomstig is van een onbekend apparaat of een andere locatie, leidt dit tot een risicoscore, zodat u de beveiligingsmechanismen kunt verhogen, zoals vragen om een stapsgewijze authenticatie of de toegang tot de resource beperken.
Wachtwoord delen
Een ander groot risico van wachtwoorden is dat gebruikers hun gegevens delen met collega's die ze helpen. Als beheerder wilt u de toegang tot resources beveiligen en het aantal mensen dat toegang heeft tot die resources beperken. Dit kan er echter toe leiden dat mensen hun inloggegevens delen. Vooral als u geen mechanisme voor sterke authenticatie kunt implementeren, betekent dit dat u geen controle heeft over wie toegang heeft tot die resources. Met een access managementsysteem met goed Identiteitsbeheer, persona en delegatie, kunnen gebruikers tijdelijk toegang delen met andere gebruikers. Deze gebruikers kunnen dan gewoon hun inloggegevens gebruiken en, mits goed geïmplementeerd, door de gebruikers zelf worden beheerd op basis van de regels die u als beheerder instelt. Met goede auditing en rapportage kunt u bijhouden tot welke resources toegang is verkregen en door wie.
Door deze maatregelen toe te passen, kunnen de meeste inbreuken die in de DBIR worden opgesomd, worden voorkomen. Implementeer een effectieve IAM-oplossing en de DBIR van 2023 zal er een stuk minder somber uitzien dan de vorige edities.
