In security mag je een mogelijke dreiging nooit over het hoofd zien. Op de RSA Conference lichtte CA dan ook het gevaar van gedeelde beheer-accounts toe.
In het Oude Rome wisten ze het al, met hun ‘Sed quis custodiet ipsos custodes?’ of wie zal de bewakers zelf bewaken? Ook vandaag heeft dat niets aan waarheid ingeboet, want beheerders van ict-systemen – servers, netwerksystemen, databases, toepassingen en beveiligingsoplossingen – hebben in wezen ongebreidelde macht over de hen toevertrouwde systemen, en dat kan ronduit gevaarlijk zijn.
Spoorloosheid
Zo’n machtsuitoefening kan op zichzelf wel nodig zijn, maar – wat erger is – vaak hebben bedrijven in het geheel geen kijk op wie wat wanneer heeft gedaan. En dat is een ‘spoorloosheid’ die in deze tijden van deugdelijk bestuur en ‘audits’ niet kan worden gedoogd.
Concreet toont de studie ‘Privileged user management, it’s time to take control’, uitgevoerd door het Britse QuoCirca in opdracht van CA, aan hoe in Europa bij haast 40% van de respondenten de admin-accounts van besturingssystemen door verschillende personen worden gedeeld. Voor het beheer van toepassingen stijgt dat zelfs tot meer dan 50%. Helemaal erg is dat ca. 40% van de bedrijven die zo’n gedeeld gebruik toelaten, toch stellen de ISO27001 standaard te hebben geïmplementeerd (die een dergelijke praktijk nochtans uitdrukkelijk verbiedt). Wat België betreft, geven ca. 60% van de respondenten toe dat de accounts voor het beheer van besturingssystemen worden gedeeld, terwijl ze anderzijds toch beweren het gebruik ervan te controleren en in de gaten te houden. België boekt hiermee een van de slechtste scores in Europa. Overigens wordt het probleem van deze gedeelde accounts gewoonlijk maar een lage prioriteit toegekend.
Kortom, als er al knoeivrije logs worden bijgehouden, geven die vaak geen uitsluitsel met het oog op volwaardige audits. Bovendien wordt vaak al te losjes omgesprongen met het toekennen van de hoogste gebruikersrechten in en tussen systemen en toepassingen (vaak het gevolg van ontwikkelaars die het zich wat makkelijk maken), wat zowel malafiede insiders als hackers van buitenaf kansen biedt om op grote schaal huis te houden in de infrastructuur. CA adviseert om aangepaste beheertools aan te wenden, ook al omdat de nog vaak manuele controlesystemen niet voldoen. Wel moeten de nodige processen en mechanismen voorzien worden, zodat de beheerders in (nood)gevallen snel kunnen ingrijpen. Zo zou de normale praktijk voor bepaalde handelingen een ‘double key’-procedure kunnen vereisen (twee personen moeten tegelijk de handeling stellen), terwijl eventueel toch één persoon alleen dat kan, mits een knoeivrije registratie. Een goed controlesysteem is overigens des te meer een must, als dezelfde personen verschillende beheerfuncties voor hun rekening nemen. Op de RSA Conference Europe in London introduceerde CA overigens een rits updates van producten voor een krachtiger toegangsbeheer (in casu versies van Access Control, Identity Manager, Role & Compliance Manager, DLP, Records Mgr, evenals Governance, risk & compliance Manager).
Bij dat alles benadrukt Arno Brugman, senior principal consultant bij CA Benelux, dat bedrijven moeten sleutelen aan hun securitymaturiteit, onder meer door aandacht te besteden aan de nodige processen en procedures (zoals het opzetten van een intern ‘responsteam’ bij problemen). Dat betekent tevens een veralgemeend hanteren van de ‘least privilege’-regel (personen, toepassingen, systemen krijgen geen hoger niveau van gebruikersrechten dan nodig om hun taken optimaal uit te voeren), gekoppeld aan een rolgebaseerd toegangsbeheersysteem.
Het QuoCirca rapport over gedeelde beheeraccounts tref je aan op ca.com/gb/mediaresourcecentre.
Guy Kindermans
Fout opgemerkt of meer nieuws? Meld het hier