De wereldwijde pandemie heeft ons meer doen inzien hoe belangrijk onze fysieke gezondheid en veiligheid wel is. Plots zijn we er continu mee bezig en dragen we allemaal mondmaskers. Iets wat we tot een paar weken geleden eerder associeerden met bescherming tegen smog in sommige Aziatische grootsteden. Met het fenomeen thuiswerken trachten we door isolement onze eigen veiligheid en die van anderen te garanderen. We realiseren ons echter niet dat een ander gevaar zich sterker manifesteert dan ooit, cybercriminaliteit.
We stellen ons niet direct de vraag bij thuiswerken: zijn we goed bezig? Zijn we wel veilig? Terwijl hackers vandaag hun phishingpogingen en malware afstemmen op de trends van ons massaal internetgedrag: in de eerste weken zochten we met z’n allen informatie over het virus, vervolgens over de steunmaatregelen en nu over de relancemaatregelen. Je zou kunnen stellen dat ze eveneens agile zijn. Hackers schieten bovendien nu op veel meer doelwitten, want er nu is altijd wel ergens een lek dat ze kunnen uitbuiten.
Enkel toegang voor gekende identiteiten
Corona heeft ons meer thuis én meer in de cloud doen werken. Voordeel is de verzekering van business continuity. De voornaamste taak van it was oorspronkelijk om iedereen snel operationeel te krijgen. De benodigde beveiliging kwam vaak pas op het eind (of niet) aan bod. Onze benadering van veiligheid van traditionele netwerk security heeft echter zijn limieten bereikt. De vertrouwde security perimeter van het bedrijfsnetwerk kan je vergelijken met het kasteel en gracht concept. In dit concept is alles dat zich binnen de muren of netwerk firewalls bevindt standaard vertrouwd. Ransomware attacks komen echter typisch binnen via phising e-mails. Doel: op zoek gaan naar de ‘golden keys’, de admin account met de hoogste rechten. Dus moet er naar andere parameters gekeken worden om de beveiliging te garanderen. Een identiteit toegang geven op basis van zijn context zoals de locatie waar die zich bevindt, het toestel dat hij/zij gebruikt, het tijdstip van inloggen, het paswoord en andere authenticatiefactoren, werkt preventief en heeft bewezen effectief te zijn. Dit concept heet met een mooi woord: identity & access management (iam).
Organisaties moeten afstappen van netwerk gedreven perimeters voor security. De identiteit en data perimeter is de standaard op basis van waar toegangen verleend worden tot data en informatie. De identiteit is zelfs de eerste lijn van je ‘defensie’ tegen aanvallen. Het gaat erom dat je alle typen identiteiten in je organisatie kent, dat je weet welke toegang ze nodig hebben en wie de eigenaar is van de datasets die worden opgevraagd. Dat gaat dus hand in hand samen met dataclassificatie.
Zero trust en stap voor stap
Maar let op, want sommige hackers gaan op zoek naar jouw id-credentials. Ze verzamelen bijvoorbeeld via sociale media privé-data die ze aan elkaar linken om eventueel te gebruiken bij een cyberaanval op het bedrijf waar je werkt. Daarom is het concept ‘zero trust’ zo interessant. Vertrouw niemand. Geef op basis van minimale permissies toegang tot data. Geef niet meer rechten dan nodig. En de context van de identiteit is daarbij essentieel. Kijk daarvoor naar alle parameters. Een werknemer van een bank kan bijvoorbeeld wel toegang hebben tot kritieke datasets, maar wat als die credentials midden in de nacht worden gebruikt? Of vanuit een zonnig oord in het buitenland? Is die collega op reis? Dan heb je andere manieren om zijn identiteit te checken. Tweefactorauthenticatie zoals Itsme kan daarbij helpen. Met iam weet je zelfs wie met het anonieme account ‘admin’ inlogt, want hij moet zijn eigen credentials geven.
Iam is een proces dat je niet zomaar kan invoeren. Je moet stap voor stap nagaan welke data beschikbaar zijn, welke er kritiek zijn en welke profielen of individuele gebruikers deze mogen bewerken. En wie er het ownership heeft. Dat is een complexe oefening. Wat doe je bijvoorbeeld met privileged users en partners die remote access hebben om bepaalde machines te monitoren? Vergelijk het met een hotel. Als bezoeker geef je je identiteitskaart en creditcard en na controle krijg je een kamersleutel. Daarmee kan je gedurende de duur van jouw verblijf bijvoorbeeld in je kamer gebruik maken van de wifi, genieten van de wellness en maaltijden nuttigen in het restaurant. Nadien wordt de toegang afgesloten. Maar er zijn ook veel medewerkers die het hotel draaiende moeten houden en onderhouden. Zij hebben toegang tot veel meer plaatsen, en dat houdt meer risico’s in. Deze identiteiten moet je zeker sterk beveiligen.
Commerciële troef
Veel moeite, maar iam heeft een toegevoegde waarde in een veel breder spectrum. Niet alleen voor je preventieve security is het een troef, je kan het ook commercieel uitspelen. Vooreerst omdat je bedrijf een veilige toegang biedt (ook bij online-verkoop) wat het vertrouwen en jouw reputatie ten goede komt. Daarnaast zijn er heel wat oplossingen om de user experience te optimaliseren, denk daarbij aan het efficiënt inloggen zonder honderd keer je wachtwoord te moeten gebruiken, of het zelf beheren van je profiel om zaken als je eigen adres te kunnen beheren. Het wordt door sommige organisaties zelfs gebruikt voor marketing doeleinden. Realiseer je dat wanneer je de relatie kan leggen tussen die identiteit die regelmatig je website bezoekt en die loyalty kaart van je bedrijf je hele interessante informatie hebt met betrekking tot het koopgedrag van die cliënt.
Dave Vijzelman, iam business development manager bij Orange Cyberdefense Belgium
Hoeveel van de WONDERmiddelen verkopers in de beveiliging gaan eens de geschiedenis bestuderen want een kasteel is meer dan een passieve verdediging van meerdere ringen. En de vijand werd al van zijn paard geschoten voordat deze ook maar in de buurt van de slotgracht was, alleen maar omdat deze de verkeerde kleuren op zijn schild had. En anders werd hij wel een kopje kleiner gemaakt bij de poort als hij over de uitspraak van bûter, brea en griene tsiis stuikelde. Zero trust was cultureel de norm in de middeleeuwen want alles buiten de ‘omheinde’ wereld was vijandig.
In een wereld van open grenzen hebben we een ‘paspoort’ waarop het vertrouwen van toegang gebaseerd is en dit vertrouwen wordt geschonden door WONDERmiddelen verkopers die een identificatieplicht koppelen aan commerciële profileringen. Er is namelijk nog zoiets als privacy en wantrouwen hierin is een omkeerde vorm van zero trust aangaande IAM systemen.
Ik heb persoonlijk zero trust in bedrijven die commerciële oplossingen verkopen voor beveiligingsproblemen.