Voorkomen dat een hacker een systeem binnendringt, lijkt schier onmogelijk. Malware, drive-by-download, zero days, een kwaadwillende vindt altijd een manier om een systeem te besmetten en binnen te komen. Maar hoe te voorkomen dat de aanvaller – eenmaal binnen – je database steelt of je bedrijfsproces platlegt?
Veel it’ers denken op hoofdlijnen te weten hoe een aanvaller te werk gaat. Wat veel it’ers niet weten, is dat het voor een aanvaller cruciaal is een privileged account (pa) te bemachtigen. Pas dan kan hij succesvol worden.
Wanneer een aanvaller een endpoint heeft besmet en overgenomen, is hij nog niet op de plek waar hij zijn wil. Dat is die database, het financiële systeem of het crm-systeem om informatie te stelen of te manipuleren.
Om daar te komen, moet de aanvaller zich in de infrastructuur kunnen bewegen. Dat kan alleen als hij rechten krijgt om op andere systemen in te loggen. Hiervoor heeft hij dus een account met rechten nodig: een privileged account (pa).
Een pa is bijvoorbeeld het lokale-beheerderaccount van een laptop of het wachtwoord van een domeinbeheerder, of het rootaccount in Unix/Linux-omgevingen. Een pa is een account met rechten om op een systeem iets te mogen installeren of aanpassen.
Er zijn meer pa’s in een it-infrastructuur dan je denkt. Veelal hebben beheerders in Windows-omgevingen een persoonlijke account, maar er zijn er veel meer waar we geen weet van hebben.
Niet alleen het beheeraccount van de it-beheerder, maar ook elke applicatie, laptop, server heeft een ingebakken beheeraccount. Deze worden nagenoeg nooit aangepast en zijn in sommige gevallen gelijk over de verschillende systemen (het administrator-wachtwoord uniek maken over vijfhonderd servers is handmatig en beheersmatig een uitdaging).
Vier keer zoveel
Uit ervaring blijkt dat er gemiddeld ongeveer vier keer zoveel pa’s als medewerkers in een organisatie zijn. Denk aan service-accounts, scheduled tasks, root-accounts en scripts. Maar ook in applicaties zitten hardgecodeerde credentials die rechten geven om bijvoorbeeld op een database te mogen schrijven of je Azure- of Amazon Cloud-omgeving mogen aanpassen (en zo je hele clouddatacenter kunnen platleggen).
Een Windowsbeheerder die een remote desktop-verbinding maakt met een server, gebruikt een pa om toegang te krijgen. Wat vaak onbekend is, is dat hierdoor een hash achterblijft op zijn werkplek. Deze hash is een versleutelde vorm van het pa. Een aanvaller kan met opensourcetools deze hash met weinig moeite op die werkplek terugvinden. Daarmee krijgt de aanvaller de rechten die de beheerder ook heeft, en neemt daarmee zijn identiteit over. De aanvaller hoeft deze hash niet terug te rekenen, maar kan daarmee inloggen in elke server waar de beheerder op kan inloggen. Mocht de beheerder een domeinbeheeraccount gebruikt hebben, dan heeft de aanvaller nu ook domeinrechten; hij kan in alle systemen in het domein inloggen.
Doordat de aanvaller de identiteit overneemt van de beheerder wordt hij onzichtbaar en merken beveiligingssystemen hem niet op. En zolang het wachtwoord niet is veranderd, is deze hash actief.
Om het aanvallers te verhinderen succesvol te worden, is het dus belangrijk dat wachtwoorden van pa’s continue (i.e. direct na gebruik) gewijzigd worden, beheerders niet meer wachtwoorden kennen, wachtwoorden uniek zijn en scripts en applicaties niet meer laten vertrouwen op hard gecodeerde wachtwoorden.
Security-laag
Privileged Account Security-oplossingen helpen daarbij en zijn een belangrijke security-laag aan de binnenkant van de it-organisatie geworden. Een eerste stap is inzicht krijgen in welke pa’s er in de infrastructuur nu daadwerkelijk aanwezig zijn. Er zijn Privileged Account-vendoren die hiervoor gratis discover tools beschikbaar stellen, waarmee een audit gedaan kan worden. Dat gaat je helpen om weer grip te krijgen op alle pa’s die nu onzichtbaar zijn! Daarmee kun je weer compliant en veiliger worden.
