Identity en Access Management en beveiligingsincidenten

Verizon maakt elk jaar een analyse van de beveiligingsincidenten die hebben plaatsgevonden bij grote bedrijven. Het afgelopen jaar waren dat er meer dan 63.000. Ook de het Nederlandse National Cyber Security Centre (NCSC-NL) draagt daar aan bij. Interessant is de relatie tussen Identity en Access Management (IAM) en de verschillende categorieën die Verizon daarin onderkent. In de nevenstaande grafiek heb ik aangegeven waar mijnsinziens een duidelijke relatie te vinden is tussen de soort beveiligingsincidenten en de inrichting van IAM

Menselijke Fouten

Daarbij zijn de meest voorkomende fouten gebaseerd op vergissingen en onzorgvuldigheid, voorbeelden zijn het verzenden van gevoelige data naar niet geautoriseerde gebruikers of het vrijelijk publiceren van niet voor publicatie geschikte informatie door eindgebruikers, administratie personeel of systeembeheerders. Maar ook business partners spelen daar vaak een rol in.

Op IAM gebaseerde aanbevolen tegenmaatregelen tegen beveiligingsincidenten:

  • Autoriseer gebruikers op basis van toegangscriteria tot gevoelige data (sla deze documenten ook separaat op)
  • Maak bij publicatie gebruik van interne en externe sites die separaat geautoriseerd worden.
  • Maak gebruik van een extra rol als tweede reviewer bij publicaties

Misbruik van gebruiksrechten

Het onvoldoende aandacht hebben voor het managen van gebruiksrechten is meestal de oorzaak van beveiligingsincidenten en problemen op dit gebied. Zowel voor interne medewerkers (behalen van persoonlijk of financieel gewin) als externe partners (verkrijgen van business kennis of intellectual property) speelt dit een rol. Het feit dat het meestal medewerkers betreft die een vertrouwde plaats hebben in de organisatie, maakt het ook zo moeilijk om aan te pakken.

Op IAM gebaseerde aanbevolen tegenmaatregelen tegen beveiligingsincidenten:

  • Zorg dat je weet waar je data staat en wie er toegang toe heeft
  • Implementeer verantwoordelijkheden
  • Volg gebruikers waarbij bekend is dat men gaat vertrekken
  • Beperk tijdig de toegang tot systemen bij vertrekkende medewerkers
  • Match regelmatig informatie uit het personeelsbestand incl. contracters met IT autorisaties

Aanval op web applicaties

Een aanval op een (externe)webapplicatie wordt vaker door hackers dan eigen personeel uitgevoerd na diefstal van enkelvoudige userid’s, SQL injectie of trial and error, en meer vanuit ideologie 65% dan van uit financieel 33% oogpunt. Ook het user-management systeem kan een doelwit zijn. Data diefstal en/of financieel gewin zijn de drijfveren.

Op IAM gebaseerde aanbevolen tegenmaatregelen tegen beveiligingsincidenten:

  • Hanteer een security policy die gericht is op gebruikers awareness (voorkom phishing etc.)
  • Maak onderscheid tussen de aanlogprocedures van de interne en externe sites
  • Sluit toegang tot sites af na meerdere mislukte aanlogpogingen.
  • Implementeer two-factor authenticatie met bijvoorbeeld een soft token

Point of Sale inbraak

Er is een dalende trend in het aantal inbraken op POS systemen, dit is te verklaren uit meer aandacht vanuit de retail sector voor de veiligheid van het betalingsverkeer. Financieel gewin voor de aanvaller is de belangrijkste drijfveer.

Op IAM gebaseerde aanbevolen tegenmaatregelen tegen beveiligingsincidenten:

  • Maak geen gebruik van het default password van het toegepaste apparaat
  • Beperk het remote access hebben van de leverancier tot het apparaat
  • Sluit het apparaat af voor het publieke internet
  • Gebruik two-factor authenticatie

Voor het uitgebreide rapport: zie Verizon