Eén van de grootste uitdagingen in databeveiliging, waar alle organisaties tegenwoordig mee om moeten gaan, is de bedreiging van binnenuit: onopzettelijke of kwaadwillende activiteiten uitgevoerd door een individu dat toegang heeft tot hun netwerk. De bezorgdheid over diegene met exclusieve toegang tot de bedrijfsdata lijkt groot.
Zo toonde ons eigen onderzoek met meer dan vijfhonderd it-beveiligingsexperts dat 70 procent van de respondenten de bedreiging van binnenuit als een groter risico ziet dan een externe aanval. Als aanvallers interne toegang krijgen kunnen ze maandenlang onopvallend hun gang gaan en grote, blijvende schade veroorzaken. Onder de risico’s: dataverlies of -diefstal, of zelfs de introductie van malware op het netwerk.
In het huidige cloudtijdperk moet er goed worden nagedacht over wie die ‘insiders’ nu precies zijn. De grenzen verschuiven: als onze data niet langer door onszelf in de gaten wordt gehouden, waar zitten dan de risico’s? Omdat we ze niet langer zelf aannemen of natrekken weten we immers niet wie de mensen zijn die voor onze meest waardevolle bezittingen zorgen. We kunnen ook niet zomaar een datacenter binnenwandelen om de individuen verantwoordelijk voor ons it-vastgoed te overzien. De vraag is dus: hoe krijgen we weer grip op het ‘menselijk risico’ van ‘insiders’ bij onafhankelijke providers?
Veranderende netwerkgrenzen
Cloudcomputing is de nieuwe standaard en bedrijven van allerlei groottes profiteren van de flexibiliteits- en schaalbaarheidsvoordelen. Veranderende netwerkgrenzen hebben echter gezorgd voor meer en meer misverstanden over waar de verantwoordelijkheid begint en eindigt als het op databeveiliging aankomt. Gebruikers krijgen gemakkelijker toegang tot data, en ook delen gaat sneller. Daardoor is het niet altijd duidelijk wanneer de gebruiker verantwoordelijk is en wanneer deze verantwoordelijkheid bij de cloudprovider ligt. Toch zijn de gevolgen van schade aangericht door een kwaadwillende insider met exclusieve toegangsrechten waarschijnlijk ingrijpender dan wanneer er schade wordt veroorzaakt door iemand die is doorgedrongen tot het bedrijf zelf.
Een bijkomende uitdaging is dat ‘insiders’ weten hoe het netwerk het beste te infiltreren valt. Dankzij hun exclusieve toegangsrechten hebben ze waarschijnlijk kennis van waar ze moeten toeslaan om maximaal effect te behalen, en hoe ze hun daden kunnen verdoezelen. Dit alles heeft natuurlijk ook invloed op de serviceprovider. Zelfs kleine prestatieproblemen, vertragingen of downtime kan hun reputatie zware schade toe brengen. De gevolgen van een ontspoorde werknemer kunnen behoorlijk uit de hand lopen.
Oplossingen voor overzicht en controle
Er is altijd sprake van een risico wanneer je de verantwoordelijkheid aan een externe partij overdraagt. Er zijn echter manieren om de controle over de samenwerking te behouden en wel door een combinatie van gezonde processen, transparantie en inzicht in hun activiteiten.
- Bepaal de voorwaarden waarop je een partner kiest. Vanuit operationeel oogpunt is het voor organisaties verstandig kritisch te zijn bij het kiezen van hun partner, en te zorgen dat beveiligingsbeleid en -procedure contractueel worden vastgelegd. Hier zal de cloudprovider zich aan moeten houden. Organisaties moeten ook vooral navraag doen over degenen met exclusieve toegangsrechten. Het gaat in dit geval om de systeembeheerders die de cloudomgeving zullen beheren, en dus is het belangrijk op de hoogte te zijn van de checks en controles die bij deze individuen worden uitgevoerd.
- Monitoren van beheerdersactiviteiten. Het beperken van de toegang van externe beheerders is lastig uit te voeren. Het is daarom van groot belang over de juiste middelen te beschikken om derden en externe-beheerdersactiviteiten te kunnen monitoren. Organisaties moeten op de hoogte zijn van wat er binnen het gehele netwerk in realtime plaatsvindt, en ongeautoriseerde toegang voorkomen.
- Afwijkingen detecteren. Nieuwe aanpakken, zoals user behaviour analytics (uba), stelt organisaties in staat grip te krijgen op de activiteiten binnen het netwerk, en dus ook afwijkingen te identificeren. Deze oplossingen bevatten zelflerende algoritmen die gebruikersprofielen creëren en afwijkingen kunnen opsporen op basis van de dagelijkse activiteiten van een gebruiker. Dankzij deze algoritmen kan de oorzaak van bijvoorbeeld een datalek of databasemanipulatie snel worden opgespoord.
In het kort: organisaties moeten het heft in handen nemen over de samenwerking met hun provider en dezelfde strenge beveiligingsregels hanteren als zij binnen hun eigen organisatie zouden doen. Inzicht in de activiteiten van gebruikers met exclusieve toegang helpt het ‘menselijk risico’ te beperken. Hierdoor kunnen de acties van kwaadwillende ‘insiders’ in de kiem worden gesmoord.
Csaba Krasnay, professor in militaire technologie en productmanager van de Shell Control Box bij Balabit
