post

Beveiliging van IT systemen krijgt steeds meer aandacht. En terecht! We horen, zien en lezen in de media steeds meer over hack-pogingen en ddos aanvallen. Ook vanuit de overheid krijgen we als bedrijfsleven een zetje in de rug om aandacht te hebben voor security. Denk dan bijvoorbeeld aan de wet rondom datalekken. Niemand zit te wachten op een melding in een register, laat staan een boete die kan oplopen tot 10% van de jaaromzet. En dan hebben we het nog niet eens over commerciële spionage.

Wat ik in de praktijk vaak zie gebeuren is dat de aandacht rondom beveiliging gaat zitten in het voorkomen dat er digitaal ingebroken wordt. Er worden bijvoorbeeld firewalls geconfigureerd en de antivirus beveiliging wordt verscherpt. Niemand wil immers dat een aanvaller binnenkomt. Tegelijkertijd weten we met elkaar dat 100% veilig, ook digitaal, niet bestaat. Hoe hoog het virtuele hek dat we bouwen ook is, er zullen altijd mogelijkheden zijn om er overheen te klimmen. Of het nu komt door menselijke fouten of door bugs in de security maatregelen: een inbraak valt nooit helemaal te voorkomen. Het doel is natuurlijk om de kans dat men binnenkomt zo minimaal mogelijk te maken en te houden. Natuurlijk gaat dat in een afweging waarbij gekeken moet worden naar de risico’s en de middelen. Iedereen zal begrijpen dat de spreekwoordelijke bakker op de hoek minder beveiligingsmaatregelen treft om zijn boekhouding en recepten te beschermen dan een multinational doet. Waar ik me voor nu op wil focussen, is wat te doen als men toch binnen komt.

Tja, wat dan? En hoe weet ik eigenlijk dat iemand binnenkomt? Detectie van een inbraak is in mijn ogen even belangrijk als het voorkomen er van. Ik ken al meerdere verhalen van bedrijven die er weken of zelfs pas maanden later achter komen dat ze gehackt zijn. In de tussentijd kan er dan al informatie naar buiten gelekt zijn. Ga dan nog maar eens na welke informatie dat precies is! Er zijn steeds meer manieren om inbraken te detecteren. Denk hierbij aan een IDS (Intrusion Detection System) of aan SIEM (Security Information and Event Management) tooling. Ook Microsoft ATA is een mooi detectie systeem. Over deze systemen valt nog veel meer te vertellen, maar dat parkeren we even tot een volgende keer. Naast detectie is er namelijk nog een aspect dat belangrijk is voor het geval er ingebroken is. Het is niet de bedoeling dat er binnen gelijk toegang is tot alle data en systemen. “Dat hebben mijn medewerkers toch ook niet?” hoor ik u denken. Het is bijna vanzelfsprekend dat iedereen alleen toegang heeft tot de systemen waar hij of zij mee moet werken. Toch gaat het vaak op dit vlak mis. Dat komt omdat de IT afdeling vaak wel de rechten heeft om bij meerdere systemen te kunnen. Zolang je dit goed regelt is dat prima. Een voorbeeld hiervan is het gebruik van een ‘normaal’ medewerkers account en een apart ‘beheer’ account. De beheerwerkzaamheden worden hierbij uitgevoerd met een ander account dan je voor de normale kantoorwerkzaamheden gebruikt. Dit is een goed begin.

Zonder te diep in de techniek te duiken: beheerders zijn niet altijd bewust van de werking van zogeheten Pass-The-Hash en Pass-The-Ticket aanvallen. Bij Windows blijven er van een account waarmee op een computer of server is aanmeld gegevens achter. We hebben het dan over inlog-gegevens, ook wel credentials genoemd. Als een beheerder dus een probleem aan het oplossen is op de computer van een eindgebruiker en hij hiervoor inlogt met zijn beheer-account, dan blijven hier gegevens van achter op de computer van de eindgebruiker. Als diezelfde computer even later gehackt wordt, dan vindt de aanvaller hier de inloggegevens van de beheerder en kan hij zodoende meer rechten binnen de IT-omgeving van het bedrijf krijgen. Je wilt natuurlijk voorkomen dat je als beheerder onbewust je gegevens achterlaat op een computer. Dit gebeurt echter automatisch, want zo werkt Windows nu eenmaal. Gelukkig is er wat aan te doen!

Remote overnemen

Als je een computer op afstand wilt beheren dan wordt vaak gebruik gemaakt van een Remote Desktop Connection, ook wel een RDP sessie genoemd. Het is mogelijk om deze te starten in Restricted Admin modus. Hierdoor blijven er geen gegevens achter op de computer waar je verbinding mee maakt. Meer informatie hierover is te vinden via deze link.

Just in time access

Met Windows Server 2016 is het mogelijk om in Active Directory tijdelijke rechten uit de delen. Je kunt namelijk een zogenaamde Time To Live (TTL) aan een groepslidmaatschap meegeven. Zodoende kan een beheerder voor bijvoorbeeld voor twee uur rechten krijgen op een bepaald systeem. Na twee uur worden de rechten automatisch weer ingetrokken. Als een hacker na deze twee uur aan de haal gaat met de gegevens van het beheer-account dan kan hij niet zomaar overal bij. Het gebruik van TTL op groepslidmaatschappen is slechts één van de mogelijkheden die de PAM (Privileged Access Management) tooling voor Active Directory biedt. Op deze pagina van Microsoft is meer technische informatie te vinden.

Tiering

Het aanbrengen van verschillende lagen in de infrastructuur wordt tiering genoemd. Hiermee kun je ook een stap zetten in beveiliging. Als je voor elke tier een aparte combinatie van gebruikersnaam/wachtwoord hebt en die uitsluitend gebruikt op de management systemen en servers uit dezelfde tier dan kun je voorkomen, of bemoeilijken zo je wilt, dat een aanvaller van de ene tier in de andere komt. Meer informatie over dit Privileged Access Reference model is hier te vinden.

Naast deze drie opties zijn er nog tal van andere mogelijkheden om je interne beveiliging naar een hoger niveau te krijgen. Denk daarbij bijvoorbeeld ook aan een tweede factor authenticatie voor de medewerkers en de beheer-accounts, een regelmatige reset van het KRBTGT-account, het SAM-R protocol uitzetten, gebruik maken van Protected Users Groups, enzovoorts.

IT beveiliging stopt niet bij de voordeur. Als een hacker eenmaal binnen is dan wil je dit kunnen detecteren. Ook wil je voorkomen dat een hacker verder komt dan het systeem waarmee de hacker binnengekomen is. Hiervoor zijn tal van technische en organisatorische middelen beschikbaar. Helaas zijn deze middelen vaak onvoldoende bekend bij de IT beheerafdelingen. Het argument dat het aanbrengen van extra beveiligingslagen per definitie betekent dat de gebruiksvriendelijkheid minder wordt, is zwak: er zijn genoeg maatregelen te treffen waar de gebruiker niets van merkt.

 

Comments (2)

  1. Pascal Wierckx profile photo
    Pascal Wierckx
    Beantwoorden

    Goed verhaal, interessant om security op Microsoft applicatie niveau te zien. Security blijft iets dat niet bij een afdeling binnen IT ligt. Eigenlijk zou bij iedere IT groep (windows, werkplekken, linux, netwerken, ontwikkeling etc) iemand moeten zitten die het security aspect bekijkt en er verantwoordelijk voor is.

  2. Pingback: Security van binnenuit | Dutch ITPro

Leave a comment