Bescherm thuiswerkers beter met extra toegangsrechten
Begin met sterke authenticatie
24 februari 2021 -
Bedrijven en medewerkers hebben de voordelen van thuiswerken inmiddels gezien, maar er blijven zorgen over de beveiliging, met name de bescherming van de collega’s met privileged accounts, ofwel verhoogde toegangsrechten tot bedrijfsnetwerken. Deze accounts spelen bij vrijwel alle grote datalekken een belangrijke rol en bieden een ingang voor aanvallers.
Het beheer en de beveiliging van deze privileged accounts is dus van bedrijfsbelang. Dit blijkt uit onderzoek van CyberArk, waaruit ook best practices naar voren komen om de bescherming te verbeteren.
In 2020 schoot het VPN-gebruik omhoog naar 277 miljoen downloads wereldwijd, terwijl IT-teams werkten om externe medewerkers online te krijgen en te houden. Na maanden van thuiswerken zei 78 procent van de werknemers dat het verbinden met bedrijfssystemen hun grootste probleem was met de nieuwe werknorm. Gezien het aantal recente inbraken in systemen voor toegang op afstand, is duidelijk geworden dat een veilige en eenvoudige toegang voor externe werknemers en partners verre van ideaal geregeld is.
Drie best practices
Uit het onderzoek komen drie best practices naar voren om privileged access management in goede banen te leiden.
1. Begin met sterke authenticatie. Dit lijkt voor de hand liggend, maar het is van belang dit per account te controleren, of het een collega of leverancier is met toegang tot het netwerk. Privileged accounts moeten met multi-factor authentication (MFA) worden beschermd. Er is inmiddels ruime keuze in MFA-opties, zoals sleutels, tokens, push-meldingen, teksten en biometrie, dus het is van belang een passende te kiezen die medewerkers gemakkelijk kunnen gebruiken en zo min mogelijk hinder opleveren. Productiviteit en hoe mensen tegenover dit soort maatregelen staan, wegen mee in de beslissing.
2. Onderzoek het VPN-gebruik. VPN's kunnen, als ze niet goed worden geïmplementeerd en onderhouden, worden misbruikt door aanvallers om geprivilegieerde toegang te krijgen tot gevoelige systemen en gegevens. Aanvallers richten zich op privileged accounts, om daarmee tijdrovende stappen als het stelen van niet-geprivilegieerde inloggegevens en lateraal en verticaal verplaatsen om privileges te achterhalen over te kunnen slaan. De VPN-verbinding die geprivilegieerde gebruikers vanuit huis aangaan blijkt steeds vaker een ingang. Onveilige of verkeerd geconfigureerde routers brengen spelen hier ook een risicovolle rol bij. Veel routers voor thuisgebruik zetten vaak een permanente VPN-verbinding op, zodat iedereen op het thuisnetwerk toegang heeft tot bedrijfsnetwerken. Uit het onderzoek blijkt dat 57 procent van de externe werknemers toegeven dat ook andere leden van het huishouden hun zakelijke apparaten mogen gebruiken voor schoolwerk, gamen en winkelen. Dit vergroot de ‘attack surface’ ofwel het aantal mogelijkheden waarop aanvallers kunnen toeslaan.
Hoewel hierbij vooral aan de IT-infrastructuur van bedrijfskantoren wordt gedacht, zijn er ook steeds meer aanvallen op operationele technologie (OT) en nutsvoorzieningen. VPN's zijn onvoldoende voor deze omgevingen en mogen niet worden gebruikt om veilige externe toegang te bieden aan geprivilegieerde gebruikers, zoals operators en technici. In plaats daarvan moeten rigoureuze beveiligingsmaatregelen worden geïmplementeerd om identiteiten gedurende hun hele levenscyclus te beveiligen. Toegang mag alleen worden verleend via beveiligde gateways die rechtstreeks verbinding maken met kritieke onderdelen en elke geprivilegieerde sessie moet worden bewaakt en geregistreerd om risico's te verminderen.
3. Probeer workflows van mensen niet te verstoren. Privileged accounts horen bij mensen die belangrijke, vaak spoedeisende taken hebben te vervullen. Inloggen en toegang tot systemen en applicaties moet zo simpel mogelijk zijn. Van buitenaf is het vaak nodig om meermaals verbinding te maken. Door dit proces te centraliseren met remote desktop connection managers kan het makkelijker, maar ontstaan ook security blind spots voor security-afdelingen. Om de zichtbaarheid te behouden en risico's te minimaliseren, moet elke verbindingssessie worden geïsoleerd, gecontroleerd en opgenomen. Het voorkomt irritatie bij de eindgebruiker en geeft beveiligingsteams de informatie die nodig is om een volledig controlespoor te behouden.
Flexibel blijven
Renske Galema, regional director van CyberArk: "Naast deze best practices moeten we ook de beheerders ondersteunen waar mogelijk. Thuiswerken zorgt voor een ander werkritme dan negen tot vijf. Om te voorkomen dat mensen in een ‘altijd-aan’ modus staan, is het verstandig om met push-meldingen te werken en de mogelijkheid aan beheerders bieden om directe verzoeken op hun smartphones te ontvangen. De eindgebruikers worden snel geholpen, terwijl beheerders meer flexibiliteit krijgen. Het gaat om het vinden van balans tussen security en bedrijfsflexibiliteit."