Moderne IT-infrastructuren zijn divers en complex. Het aantal eindpunten is sterk toegenomen en de groeiende populariteit van werken op afstand betekent dat de beveiligingsperimeters van organisaties ver zijn uitgedeind. De toegenomen prevalentie van beleidslijnen inzake BYOD (Bring Your Own Devices) gebruikt door werknemers die op afstand werken en derden die als opdrachtnemers optreden, heeft een grote rol gespeeld in de bedreiging van de bedrijfsbeveiliging. Meer BYOD-eindpunten beteken meer digitale kanalen naar kritieke systemen die beschermd moeten worden.
Bedrijven moeten ook het juiste evenwicht vinden tussen het beveiligen van hun netwerk en het openhouden van externe toegang. BYOD toelaten brengt risico’s met zich mee, maar het zorgt ook voor productiviteit en kostenbesparende voordelen in vergelijking met het verstrekken van bedrijfstechnologie aan alle externe werknemers. Een sterk kader voor toegangsbeveiliging dat beheer van bevoorrechte toegang en beheer van eindpuntrechten omvat, kan voor dit evenwicht zorgen. Het zorgt immers voor een transparante en veilige relatie tussen organisaties en derden.
BYOD-risico in evenwicht brengen
Via BYOD komen er nieuwe, verschillende apparaten in het netwerk van een organisatie. De tijd van vaste werkstations beschermd door interne beveiliging binnen één bedrijfsgebouw is al lang vervlogen. Organisaties hebben niet dezelfde zichtbaarheid of controle over BYOS zoals over eigen bedrijfsactiva. In een worst-case scenario kan er malware onopzettelijk worden gedownload door een BYOD-gebruiker, die dan wordt aangewend om hun apparaat – en hun aanmeldgegevens – te hacken, om van op afstand toegang te hebben tot vertrouwelijke en interne systemen.
Maar voor vele moderne ondernemingen ziet het ernaar uit dat BYOD zal blijven, ondanks de potentiële risico’s. Op dagelijkse basis kan het voor externe gebruikers nodig zijn om:
– van thuis uit of van op een andere plaats te werken
– kortlopende freelance opdrachten uit te voeren
– toegang tot resources te hebben buiten de kantooruren
– onderhoudstaken van op afstand uit te voeren
Voor kritieke activa is het niet langer mogelijk om per regio afgeschermd of geïsoleerde van de buitenwereld te zijn. Dit is met name het geval voor geografisch gefragmenteerde organisaties met ingewikkelde IT-infrastructuren. Fabrikanten moeten verbonden IoT-systemen bewaken en beheren omdat IT en OT samensmelten. Gezondheidszorgorganisaties vereisen onderhoud van hun uiterst gevoelige medische apparatuur door experts. Wereldwijd moeten bedrijven zich aanpassen aan de snel voortschrijdende digitale transformatie. Daarom moeten de risico’s van BYOD zo doeltreffend mogelijk worden verminderd.
Het concept van Defense in Depth (diepgaande verdediging) moet worden toegepast als moderne resources en netwerken aan de orde van de dag zijn. Defense in Depth (diepgaande verdediging) komt tot stand wanneer een onderneming meerdere beveiligingslagen heeft die in staat zijn om de complexiteit van het bedrijfsnetwerk aan te kunnen. Eén enkele verdedigingslijn is niet genoeg om tegen BYOD-risico te beschermen. Sterke kaders voor toegangsbeveiliging die PAM (Privileged Access Management = beheer van bevoorrechte toegang) en EPM (Endpoint Privilege Management = beheer van eindpuntrechten) omvat, kunnen op het noodzakelijke granulaire niveau werken om kritieke resources veilig te houden.
BYOD beheren met PAM
PAM-oplossingen implementeren het principe van de minste rechten om de risico’s van externe toegang te verminderen. Met een robuuste PAM-oplossing kan potentiële schade worden beperkt als een BYOD-gebruiker een probleem heeft voor gehad, door te verzekeren dat gebruikers alleen toegang hebben tot het minimumaantal resources die ze voor hun taken nodig hebben. Zo vormen BYOD-gebruikers een kleiner risico als hun apparaat en aanmeldgegevens eventueel in gevaar zijn gekomen.
Effectieve PAM-oplossingen delen BYOD-gebruikers en hun rechten in compartimenten in, dit betekent dat geen enkele gebruiker acties kan uitvoeren waarvoor hij of zij geen bevoegdheid heeft, ongeacht het apparaat of de plaats van waaruit zij toegang tot het netwerk hebben. Ze laten IT-beheerders eveneens toe om:
– de toegang van gebruikers in te trekken wanneer die toegang niet meer nodig is
– de bevoorrechte toegang van gebruikers in realtime te bewaken en verdachte activiteit te markeren of te beëindigen
– alle systeemrechten, accounts en gebruikers centraal beheren
– een audittrail creëren van alle activiteiten via bevoorrechte sessies
BYOD kan misbruik van systemen en gegevens makkelijker maken – maar PAM kan beletten dat bevoegde gebruikers in een netwerk schade aanrichten. Een oplossing zoals WALLIX’s Bastion maakt van PAM een duurzame en pervasieve kracht voor de inspanningen van een organisatie op het vlak van beveiliging en naleving. EPM (Endpoint Privilege Management = beheer van eindpuntrechten) in combinatie met een PAM-oplossing biedt diepgaande verdediging die nodig is om de risico’s van BYOD in te dijken.
BYOD beschermen op het eindpunt
EPM-oplossingen (Endpoint Privilege Management = beheer van eindpuntrechten) zoals WALLIX BestSafe versterken het principe van de minste rechten op de eindpuntapparaten van een organisatie. Eindpunten zijn ideale doelwitten om toegang tot een bedrijfsnetwerk te krijgen, vooral dan BYOD-eindpunten buiten de reikwijdte van perimetrische beveiligingsmaatregelen van dit bedrijf. In het verleden waren oplossingen voor cyberbeveiliging gebaseerd op bescherming tegen gekende exploits, maar dit is niet echt van nut tegen nieuwe of ‘zero-day’-bedreigingen. Aanvalsvectoren evolueren en veranderen zo sterk dat verdedigingen proactief in plaats van reactief moeten zijn.
Het beheer van eindpuntrechten streeft ernaar om een verdediging van het ‘immuunsysteem’-type voor de eindpunten van een organisatie te bieden. EPM volgt het ‘zero-trust’-model van cyberbeveiliging, waarbij elk apparaat dat geen deel uitmaakt van het ‘host-organisme” wordt tegengehouden en beoordeeld. Als het op BYOD aankomt, wordt geen enkel apparaat en geen enkele gebruiker automatisch als betrouwbaar beschouwd.
De sterkste EPM-oplossingen schrijven rechten toe op proces- en applicatieniveau, niet gewoon op gebruikersniveau. Dit betekent in wezen dat processen en applicaties alleen met een welbepaalde set rechten in een specifieke context kunnen werken. Wanneer gebruikers niet zelf hun rechten kunnen opwaarderen, dan kunnen processen niet worden gehackt om handelingen met boze bedoelingen uit te voeren. PAM en EPM geven host-organisaties gemoedsrust, evenals aan derden waarmee zij samenwerken.
PAM-voordelen tot stand brengen voor BYOD-gebruikers
Een transparante werkomgeving is voor iedereen een voordeel. Als BYOD-gebruikers via een PAM-oplossing toegang tot een netwerk hebben, dan kunnen zij er van op aan dat hun apparaten in overeenstemming zijn met de beveiligingsprocedures en -voorschriften van de host-organisatie. Dit zorgt voor wederzijds vertrouwen dat iedereen van op dezelfde pagina aan het werk is, zonder de productiviteit te vertragen of gebruikers aan te moedigen om achterpoortjes in de beveiligingsprocedure te zoeken.
Werknemers van derden hebben vaak samenwerkingstools nodig. Maar bedrijven kunnen weigerachtig zijn om software te ontwikkelen die een communicatiekanaal recht naar de kern van hun kritieke systemen openzet. PAM-oplossingen zoals WALLIX’s Bastion kunnen twee gebruikers toegang verlenen tot een zelfde sessie en tegelijk beveiliging, geavanceerde opnames en vertrouwelijkheid van de wachtwoorden garanderen – zelfs als een van de gebruikers een persoonlijk apparaat gebruikt.
PAM-oplossingen betekenen dat BYOD-gebruikers nog altijd slechts één unieke login nodig hebben die hen toegang tot toegestane resources biedt. Zij kunnen vlot van op afstand verbinding maken zonder dat ze hun routine moeten veranderen en gedwongen worden om op nieuwe verbindingstools over te schakelen. Verder bieden zij een volledig overzicht en traceerbaarheid van alle acties van de organisatie. Beide partijen kunnen ook via een beveiligde externe verbinding werken, bijvoorbeeld een HTTPS-portaal. Via een PAM-oplossing werken biedt de host-organisatie de nodige gemoedsrust en bewijst controleerbaarheid en vertrouwen wat de BYOD-gebruiker betreft.
Er moet een evenwicht worden gevonden tussen de voordelen van kostenbesparing en productiviteit van BYOD enerzijds en de toegangsbeveiliging van een organisatie anderzijds. Daarom is het meer dan ooit van vitaal belang dat bedrijven zich beschermen aan de hand van sterke PAM- en EPM-oplossingen. Via deze oplossingen kunnen IT-beheerders de infrastructuur op flexibele wijze volledig veilig openstellen voor externe verbindingen.
Download de whitepaper
Download de whitepaper van WALLIX ‘Richtlijnen voor toegangsbeveiliging voor beginners’ en kom meer te weten over de theorie achter toegangsbeveiliging en hoe die geïmplementeerd is.
