Management

Cloud
Cloud

Maak van cloudgebruikers geen superlosers

Privileged accounts zijn het grootste risico

© Pixabay CC0
25 juni 2018

IaaS-, PaaS- en SaaS-oplossingen winnen rap aan populariteit. Het is geen verrassing dat deze cloudservices steeds vaker worden aangeschaft.

Organisaties kunnen de functies en services die hun developers nodig hebben, aankopen, op- en afschalen naarmate de organisatie evolueert en talloze applicaties vanuit de cloud vrij gemakkelijk leveren. Hoewel cloudservices voorspelbare kosten opleveren, is de beveiliging een stuk minder voorspelbaar. Het inmiddels breed uitgestrekte cloudlandgoed levert een uitdaging op voor risicobeheerders, CISO's en IT-teams die verschillende groepen gebruikers beheren.

Bedrijven zetten steeds meer in op clouddiensten als onderdeel van hun strategie voor digitale transformatie. Dit terwijl webgebaseerde applicaties in termen van cyberbeveiliging het meest kwetsbaar zijn. Het feit dat PaaS- en IaaS-oplossingen webgebaseerde applicaties zijn, maakt privileged users een target voor cybercriminelen. Cybercriminelen weten dat het hacken van de accounts van privileged beheerders de makkelijke weg naar identiteitsdiefstal is. Onderzoek laat zien dat 74 procent van de datalekken identiteitsdiefstal betrof. Daarom is het zo belangrijk voor bedrijven om een ​​hogere mate van toegangsbeveiliging voor deze beheerders te waarborgen.

Maatregelen

Hoe meer servers en applicaties organisaties naar de cloud verplaatsen, hoe moeilijker het wordt om al deze gegevens goed te beveiligen. Dit komt doordat IT-beheerders niet langer rondlopen door het gebouw om handmatig op iedere machine in te loggen. Integendeel, tegenwoordig openen ze een reeks toepassingen via een webgebaseerde beheerconsole, die ook toegankelijk is voor andere beheerders.

Cybercriminelen kennen de makkelijkste weg naar identiteitsdiefstal

Gezien het grote aantal hacks in cloudgebaseerde applicaties moeten organisaties nieuwe beveiligingsmaatregelen implementeren om deze te beschermen. Met deze trend in het achterhoofd doen security officers er goed aan toegangsbeveiliging toe te passen voor gebruikers en beheerders die routinematig toegang hebben tot privileged cloudgebaseerde accounts. Hoe kan voorkomen worden dat hackers zich toegang verschaffen tot de applicaties en accounts van privileged users?

1. Elimineer het gebruik van wachtwoorden
Een uitdaging waar veel beheerders tegenaan lopen is de enorme hoeveelheid wachtwoorden. Het gebruik van single sign-on voor privileged accounts zorgt ervoor dat het niet meer nodig is alle wachtwoorden op papier te schrijven of ze op te slaan in een niet-gecodeerd digitaal bestand. Maar het is belangrijk om gebruik te maken van smart single sign-on en niet van de reguliere variant. Met de smart single sing-on heb je toegang door je eenmalig aan te melden, maar kunnen apps met een hoger beveiligingsniveau vragen om extra toegangshandelingen. Dit in tegenstelling tot reguliere single sign-on. Die methode is namelijk geënt op de 'keys to the kingdom'-benadering, die een enkele credential voor alle toepassingen biedt. Als deze credential wordt buitgemaakt door een hacker, zijn alle apps waartoe de gebruiker toegang heeft, kwetsbaar.

2. Gebruik sterke authenticatie
Vanwege het hoge risico dat aan privileged accounts kleeft, moeten beheerders worden onderworpen aan een sterke multi-factorverificatie om zo meer beschermingslagen te hebben bij het inlogproces. Denk bij multi-factorauthenticatie aan eenmalige wachtwoorden die worden gegenereerd door hardwaretokens of biometrische authenticatie, of door een combinatie ervan.

3. Maak toegang voorwaardelijk
Stel beleid in dat de toegang tot alleen de beheerders beperkt. Maak tevens gebruik van een toegangsbeleid dat is gebaseerd op de rol van iemand in de organisatie. Welke gegevens gebruikt iemand en welke toegang vereist dit? Versterk de multi-factorauthenticatie met contextuele factoren zoals sessieduur, toegangslocatie, IP-adres, geografische locatie et cetera.

Privileged accounts vormen het grootste risico en zijn belangrijk om te beschermen. Om reputatieschade, financiële schade en privacyschade veroorzaakt door identiteitsdiefstal te voorkomen, is het verstandig een ​​oplossing te overwegen die alle clouddiensten ondersteunt en integreert met andere oplossingen, zoals Privileged Access Management (PAM). Met andere woorden, laat superuser-accounts geen superloser-accounts worden.

Reactie toevoegen
1
Reacties
Michiel Steltman 25 juni 2018 09:59

Het beschermen van privileged accounts is uiteraard een halszaak voor alle systemen met een netwerk stekker , niet alleen cloud. Dat is wat suggestief. Want het is een hardnekkige misvatting dat alleen online systemen zulke security risico's hebben. Soms is de on premise situatie nog erger. Voorbeeld: iedere gebruiker in een organisatie die de lokale AD server kan benaderen kan een reverse brute force doen. Dat lukt je niet met Cloud.