De plek waar we werken maakt voor de bedrijfsvoering steeds minder uit. Het veelvuldige thuiswerken (met allerlei afleidingen) heeft uiteraard zijn nadelen, maar genoeg mensen ontdekken ook dat flexwerken eigenlijk heel goed lukt. Omdat deze mensen verschillende taken hebben binnen een bedrijf, is het vanuit security-oogpunt van belang om die mensen in te delen in verschillende soorten remote users.
Thuis- en flexwerkers zullen op enig moment verbinding moeten maken met een bedrijfsnetwerk om bij gegevens te kunnen, te werken in systemen of mails te verwerken. Daarnaast zijn er partners en leveranciers die functioneren als medewerker en belangrijke taken uitvoeren op het bedrijfsnetwerk. Hierbij gebruiken bedrijven vaak vpn’s om dit enigszins in goede banen te leiden. Belangrijker is echter om naar toegangsrechten te kijken. Om de risico’s te minimaliseren, moeten de privileges die mensen krijgen, gebaseerd worden op wat ze daadwerkelijk nodig hebben.
1. It- of security-medewerkers
Mensen met een domain admin, network admin of andere beheerfunctie die toegang hebben tot cruciale interne bedrijfssystemen werkten meestal vanuit kantoor, maar steeds vaker ook van buitenaf. Het zorgt voor een verstoring van de dagelijkse gang van zaken qua security-processen. Het is daarom van belang het juiste niveau van toegangsrechten te bepalen en uit te gaan van least privilege zodat ze alleen bij die systemen kunnen die ze ook daadwerkelijk nodig hebben. Traditionele security-oplossingen zoals vpn’s kunnen dit niet effectief op een gedetailleerd, applicatiespecifiek niveau doen, terwijl het wel belangrijk is om te voorkomen dat een Windows-admin toegang krijgt tot root-accounts.
2. Externe hardware- en softwareleveranciers
Third party netwerkverkeer afkomstig van bijvoorbeeld it-service providers en uitbestede helpdesk-support vereist meestal admin-privileges om bij Windows- of Linux-servers of -databases te kunnen en patches of updates door te voeren. Ze hebben toegangsrechten waarmee ze in theorie een hoop kwaad kunnen. Het identificeren en instellen van toegangsniveau van deze mensen gebeurt daarom vaak case-by-case, een zeer tijdrovende taak, maar wel belangrijk.
3. Ketenleveranciers
Wanneer productie of levering van goederen niet de core-business is, worden vaak gespecialiseerde ketenleveranciers ingeschakeld. Deze hebben regelmatig toegang tot het bedrijfsnetwerk om voorraden en productie te monitoren, en forecasts te doen, kwaliteitscontroles uit te voeren en andere ict/ot of supply chain-processen aan te sturen.
Deze partijen worden vaak over het hoofd gezien omdat ze niet te boek staan als beheerders, maar hun toegangsrechten kunnen wel misbruikt worden door aanvallers met andere bedoelingen.
4. Servicebedrijven
Ondersteunende diensten als juridische, pr en payroll-ondersteuning hebben soms toegang tot bedrijfstoepassingen om efficiënter te kunnen werken. Ook hierbij moet het least privilege principe worden doorgevoerd om zeker te zijn dat ze geen toegang tot systemen waar ze niet bij horen te komen. Identificeren wie waar toegang tot heeft, is van belang om ook laterale beweging van de ene applicatie naar de andere tegen te gaan.
5. Externe consultants
Business en it-consultants krijgen soms toegangsrechten om op projecten mee te kunnen werken, maar dit moet alleen gelden voor de periode dat ze actief zijn op dat specifieke project. De toegang moet daarna nauwgezet gecontroleerd worden, en direct en automatisch worden afgesloten zodra het project ten einde is.
Steeds meer bedrijven maken gebruik van externe mensen die toegang hebben tot het bedrijfsnetwerk. Inzicht in de verschillen is belangrijk, evenals het beheer, monitoren en beveiligen van de verschillende remote users. Dit kan overkomen als veel werk, maar kan grotendeels geautomatiseerd worden. Hierdoor valt het handmatig werk mee en, nog belangrijker, worden de beveiligingsregels strenger nageleefd.
