In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Overheid
Overige ontwikkelingen
Podcast tip van de maand
Okta Hack Blamed on Employee Using Personal Google Account on Company Laptop
Okta wijt de recente hack van hun supportsysteem aan een medewerker die zijn persoonlijke Googleaccount op de werklaptop gebruikte. Het gebruik van dit account resulteerde in de blootstelling van inloggegevens, waardoor data van Okta-klanten kon worden gestolen. De werknemer bewaarde bestanden met details over inloggegevens van Okta-serviceaccounts op het Googleaccount, dat waarschijnlijk is gehackt. In eerste instantie meldde Okta dat slechts 134 klanten waren getroffen, maar het hoofd beveiliging, David Bradbury, heeft dit naar boven bijgesteld. Nu blijkt dat alle klanten van Workforce Identity Cloud (WIC) en Customer Identity Solution (CIS), met uitzondering van klanten in specifieke overheidsomgevingen, slachtoffer zijn geworden van de hack.
Passkeys beschermt niet tegen álle vormen van phishing
Passkeys, een nieuwe technologie voor inloggen, brengt een revolutie teweeg door envoudig en veilig inloggen op websites mogelijk te maken zonder wachtwoorden. De technologie biedt effectieve bescherming, maar niet voor alle vormen van phishing, zoals phishing-e-mails waarin criminelen zich voordoen als de CEO en slachtoffers onder druk zetten om belangrijke informatie te delen of geld over te maken. Hoewel Passkeys potentie heeft om ons beter te beschermen tegen cybercriminaliteit, vooral bij bredere acceptatie op websites en online diensten, is het geen alomvattende oplossing tegen alle vormen van phishing.
Identity Alone Won't Save Us: The TSA Paradigm and MGM's Hack
De recente cyberaanval op MGM Resorts onderstreept de uitdaging van toegangs- en verificatiecontroles. De aanval begon met social engineering, waarbij de verificatie van eindgebruikers werd omzeild en ransomware werd ingezet na het verkrijgen van beheerdersrechten. Dit artikel benadrukt dat het toevoegen van meer identiteitsproducten niet de oplossing is; de focus moet liggen op goede authenticatie en toegangscontrole naast identiteitsbescherming. Een voorgestelde oplossing vergelijkt security met luchthavenbeveiliging, waarbij user authenticatie, integriteitschecks op apparaten en continue verificatie belangrijk zijn. Het implementeren van het NIST 800-207 Zero Trust Architecture-model en het vervangen van verouderde technologie door een zero-trust secure access service edge-oplossing is cruciaal voor betere autorisatie- en toegangscontroles. Het incident onderstreept de noodzaak van een allesomvattende, meerlaagse beveiligingsaanpak om geraffineerde cyberbedreigingen te bestrijden.
Securing Remote Workers Through Zero Trust
Zero trust is de afgelopen jaren van een concept veranderd in een uitvoerbaar model. Organisaties verifiëren steeds vaker dataverzoeken voor er toegang gegeven wordt. Eén van de voordelen die zero trust biedt is dat remote werken veiliger wordt. Traditionele cyberverdediging biedt vaak minder zichtbaarheid bij werken op afstand, maar zero trust, dat continue verificatie hanteert, is specifiek ontworpen om de gevaren van remote werken te verminderen.
5 Steps to Assessing Risk Profiles of Third Party SSE Platforms
SecurityWeek, 20 november 2023
Als je overweegt om over te stappen naar een Secure Services Edge (SSE) platform, is het essentieel om risico’s in kaart te brengen. SSE belooft verbeterde beveiliging, maar heeft zelf ook zwakke punten en kan zelfs nieuwe kwetsbaarheden introduceren. Het is daarom cruciaal om SSE-platforms zorgvuldig te beoordelen aan de hand van vijf stappen:
- Controle van certificeringen,
- Analyse van reputatie en geschiedenis,
- Beoordeling van databeveiligingsmethoden,
- Evaluatie van service-level afspraken
- Verifiëren dat het platform constant zijn beveiliging verbetert.
Deze stappen helpen bij het opstellen van een risicoprofiel, waardoor de voordelen van SSE worden gemaximaliseerd en de risico's verminderd.
Micrsofts Hello-authenticatie kwetsbaar op onder meer eigen Surface Pro
Vingerafdrukscanners in laptops van Dell, Lenovo en Microsoft Surface Pro X, waaronder die van Goodix, Synaptics en ELAN, zijn kwetsbaar voor man-in-the-middle-aanvallen bij het gebruik van Microsofts Hello-authenticatie. Onderzoekers van Blackwing Intelligence ontdekten zwakheden in de cryptografische implementatie van de sensoren, waardoor gestolen of onbewaakte laptops kunnen worden ontgrendeld zonder de juiste vingerafdruk. Microsoft heeft eerder al kwetsbaarheden moeten oplossen in Windows Hello, waaronder een bug die gezichtsherkenning verwarde met een infraroodbeeld. Deze nieuwe bevindingen benadrukken de noodzaak voor verbeteringen in biometrische beveiliging.
A Taxonomy of Modern Authorization Models
De opkomst van de cloud heeft de complexiteit namelijk vergroot, met duizenden toestemmingsniveaus en niet-menselijke accounts die infrastructuur beheren. In dit artikel verkent IDPro daarom de taxonomie van autorisatiemodellen om de diversiteit van moderne autorisatiemodellen te begrijpen. Daarnaast introduceert het artikel een beslisboom die organisaties kunnen gebruiken om het juiste autorisatiemodel te kiezen op basis van hun specifieke behoeften.
Cloud Privileged Access Management: Agent-Based Vs. Agentless
In het snel evoluerende Cloud services-landschap is Cloud-first PAM cruciaal voor organisatorische beveiliging. Er zijn twee benaderingen: agent-based en agentless. Agent-based vereist software agents op elk apparaat met toegang tot Cloud resources, wat voordelen biedt maar ook complexiteit, systeemoverhead en onderhoud met zich meebrengt. Agentless werkt zonder software agents, wat een eenvoudige implementatie en schaalbaarheid biedt, maar beperkingen heeft zoals het ontbreken van een kill-switch en beperkte offline functionaliteit. Kortom, agent-based legt de nadruk op robuuste beveiliging, terwijl agentless efficiëntie en eenvoud benadrukt.
Despite hype, the password-free workplace is still a long way off
Dark Reading, 15 november 2023
Ondanks toenemende risico’s blijkt uit onderzoek van Delinea dat de meeste organisaties nog ver verwijderd zijn van een volledig wachtwoordvrije werkplek. Van de respondenten erkent 53% een geleidelijke overgang naar wachtwoordloze technologie. Terwijl 30% al is begonnen, zijn 36% nog één tot twee jaar bezig, en 21% is drie tot vier jaar verwijderd van password less. Als gevolg blijven cyberaanvallen op wachtwoorden een dreiging. Uit het onderzoek blijkt echter dat 28% van de respondenten weerstand of onbegrip bij medewerkers noemt als obstakel voor het invoeren van wachtwoordloze processen. Delinea stelt daarom een hypride aanpak voor, met bekende technologieën zoals multifactorauthenticatie (MFA), biometrie, eenmalige wachtwoorden en wachtsleutels op basis van encryptietechnologie. Wachtwoordbeheeroplossingen, zoals PAM en enterprise passwordmanagement, kunnen worden ingezet om de beveiliging in deze overgangsfase te verbeteren.
Researchers Discover Dangerous Exposure of Sensitive Kubernetes Secrets
SecurityWeek, 22 november 2023
Onderzoekers van Aqua Security hebben een kritiek beveiligingsprobleem ontdekt: de openbare blootstelling van Kubernetes-configuratie secrets. Hierdoor lopen honderden organisaties en open-sourceprojecten het risico op een ketenaanval. Het onderzoek richtte zich op Kubernetes-secrets die essentieel zijn voor het beheren van gevoelige gegevens en die per ongeluk in openbare repositories werden geüpload. 46% van de records bevatte geldige referenties, met serieuze risico's zoals ongeautoriseerde toegang en mogelijke datalekken. De blootgestelde secrets omvatten die van SAP's Artifacts-managementsysteem, twee blockchainbedrijven en verschillende Fortune 500-bedrijven. Het dringende advies: los dit probleem snel op om beveiligingscompromissen en risico’s in de supply chain te voorkomen.
FusionAuth Snags 65 Million Investment For Customer Identity Tech
FusionAuth heeft $65 miljoen aan externe investeringen binnengehaald van Updata Partners, hun eerste externe financiering tot nu toe. Het platform, gericht op klantauthenticatie en autorisatie, biedt ontwikkelaars tools voor het beheren van klantidentiteiten en heeft wereldwijd al meer dan 450 betalende klanten aangetrokken. Met functies als single sign-on, MFA en geavanceerde dreigingsdetectie staat FusionAuth bekend vanwege de eenvoudige implementatie op diverse hostingomgevingen, van dev boxes tot cloudservers. De investering zal worden gebruikt om de productontwikkeling te versnellen en de marktpositie te versterken.
Gartner Magic Quadrant for Access Management
Gartner heeft het jaarlijkse Magic Quadrant voor Access Management gepubliceerd. Okta, Microsoft en Ping Identity (en ForgeRock) zijn opnieuw erkend als “leader”. Daarnaast heeft IBM zich bij dit gezelschap gevoegd. Deze oplossingen hebben een omvangrijk klantenbestand, wereldwijde aanwezigheid, sterke visie en effectieve uitvoering. Gartner benadrukt dat Workforce Access Management in 2024 een gemeengoed wordt. Terwijl CIAM sneller innoveert met meer kansen voor B2B-gebruiksscenario’s, focus op ITDR (Identity Threat Detection and Response) en ondersteuning voor passkeys en identiteitsverificatie.
Nederlands iDEAL gaat basis vormen voor Europese digitale portemonnee
Het European Payments Initiative (EPI) kiest iDEAL als basis voor de nieuwe Europese digitale portemonnee, Wero, die iDEAL uiteindelijk zal vervangen. Wettelijke goedkeuringsprocessen voor de overdracht van iDEAL zijn afgerond. Voorlopig verandert er niets en de geleidelijke overgang van iDEAL naar Wero zal naar verwachting in 2025 beginnen. Wero moet de nieuwe standaard worden in betalingen voor Europese consumenten en verkopers bij alle soorten retailtransacties.
Digitaal stembusakkoord voor oa minister Digitale zaken, ondertekend door 7 politieke partijen
Zeven politieke partijen hebben een digitaal stembusakkoord ondertekend, gesteund door organisaties als Amnesty International en Bits of Freedom. Het akkoord richt zich op de bescherming van mensenrechten in de digitalisering en bevat twaalf maatregelen voor de komende kabinetsperiode, waaronder een verhoogd budget voor de Autoriteit Persoonsgegevens, de oprichting van een minister van Digitale Zaken en toezicht op AI en algoritmes. Het doel is een onafhankelijk digitale publieke ruimte zonder ongerechtvaardigde monitoring of vervolging.
CIO-beraad Rijk krijgt meerdere onderraden
Er is meer tijd nodig om het toezicht op het Rijksbreed IT-beheer te verbeteren, zoals de Algemene Rekenkamer eerder heeft geadviseerd. Demissionair staatssecretaris Van Huffelen van BZK werkt nog aan een algemene herziening van het CIO-stelsel om die rol steviger in te kunnen vullen. In Q1 van 2024 staat een update gepland op het besluit CIO-stelsel en meerdere onderraden toe te voegen aan het CIO-beraad. Ook komt de Auditdienst Rijk in het voorjaar met een evaluatie van het huidige CIO-stelsel. De door CIO Rijk beheerde kaders met betrekking tot het IT-beheer zullen daarnaast jaarlijks door departementen beoordeeld worden, wat leidt tot aanpassingen of toevoegingen aan bestaande kaders.
Privacyzorgen rond eIDAS-wetgeving van de baan
Recente wijzigingen in de eIDAS-verordening, het Europese raamwerk voor digitale identiteit, leidden tot zorgen over misbruik van certificaten door overheden. Aanvankelijke bezorgdheden, vooral rond artikel 45 met betrekking tot Qualified Website Authentication Certificates (QWACS), lijken weggenomen na aanpassingen in het voorstel. Experts uitten aanvankelijk zorgen over de zwakte van internetveiligheid en bescherming van gebruikers. Een last-minute brandbrief heeft nu geleid tot versterking van het registratieproces, beperking van het risico op over-authenticatie en verduidelijking van de beoogde certificaten als controle voor overheidswebsites. Webbrowsers moeten nu toezichthouders op de hoogte stellen van certificaataanvallen om overheidsmisbruik te voorkomen. Europarlementariërs uiten goede hoop na de aanpassingen, maar sommigen wensen verdere controle door ENISA.
Grote winnaar PVV heeft weinig ambities op gebied van digitalisering
De PVV, de grote winnaar van de Tweede Kamerverkiezingen, heeft in zijn partijprogramma maar weinig oog voor de IT-problemen of IT-ambities van de overheid. Ondanks brede steun voor een minister van Digitale Zaken, benoemt de PVV geen IT-gerelateerde kwesties. Andere partijen tonen in hun programma’s juist diverse ICT-ambities, zoals digitale vaardigheden in het onderwijs, digitale soevereiniteit en burgerrechten. De verkiezingsuitslag lijkt ook de aanwezige ICT-kennis in de Kamer te verminderen, waarbij PVV en andere partijen IT-expertise missen op verkiesbare plekken.
EU investeert 291 miljoen euro in techinnovatie
De EU stelt als onderdeel van het programma Horizon Europe Digital, Industry and Space voor de periode 2023-2024 € 291 miljoen beschikbaar. Er wordt € 85 miljoen beschikbaar gesteld ter bevordering van ai-innovatie, € 60 miljoen voor ai- en data-oplossingen ter ondersteuning van de Europese Green Deal, en € 76 miljoen voor robotica, softwareontwikkeling en fotonica. Het resterende bedrag van € 70 miljoen wordt besteed aan projecten zoals cloud-naar-edge servers, de bevordering van een Europese open cloud en de ontwikkeling van quantum-sensortechnologie. Organisaties worden opgeroepen zich in te schrijven voor deelname aan het programma en in aanmerking te komen voor subsidie.
After Major Cloud Hacks, Microsoft Unveils ‘Secure Future Initiative’
Na recente hacks lanceert Microsoft het ‘Secure Future Initiative’ voor snellere patches, beter beheer van identiteits-ondertekeningsleutels en een hogere standaard beveiliging. Het doel is vernieuwing van de Software Development Lifecycle met de nadruk op “beveiliging als standaard.” De recente hack op het M365-cloudplatform onderstreept de noodzaak van verbeterde beveiliging. Microsoft implementeert geautomatiseerde sleutelrotatie, AI voor bedreigingsmodellering en standaard Azure-tenant-baselinecontroles. Het streven is om de oplostijd voor Cloud kwetsbaarheden te verkorten en Microsoft pleit voor transparantie bij het melden ervan.
How Do We Truly Make Security ‘Everyone’s Responsibility’?
Lenny Zeltser, CISO bij Axonius en Faculty Fellow bij het SANS Institute, wijst op de uitdaging van ‘veiligheid is ieders verantwoordelijkheid’ zonder dat het voelt als niemands verantwoordelijkheid. Hij pleit voor het verduidelijken van verwachtingen, het afdwingen van verantwoordelijkheid en het creëren van een persoonlijke connectie tussen teamleden en beveiligingstaken. Een RACI-verantwoordelijkheidsmatrix kan specifieke taken toewijzen. Daarnaast moeten cybersecurity-leiders duidelijke richtlijnen geven, technische teams beveiligingsprincipes integreren, en IT-teams systemen tijdig patchen. Verantwoordelijkheid handhaven kan worden versterkt met technologische ondersteuning, veiligheidsmaatregelen en actieve monitoring.
MOVEit Hackers Pivot to SysAid Zero-Day in Ransomware Attacks
Dark Reading, 10 november 2023
Microsoft onthulde recent een nieuwe zero-day kwetsbaarheid in on-premises SysAid IT Support-implementaties. Deze kwetsbaarheid, aangeduid als CVE-2023-47246, werd misbruikt door de hackersgroep Lace Tempest voor de Cl0p-ransomware. SysAid heeft de kwetsbaarheid verholpen met versie 23.3.36. Organisaties met on-premises SysAid-installaties wordt dringend aangeraden onmiddellijk te upgraden en een grondige netwerkanalyse uit te voeren om hacks te identificeren, zoals ongeautoriseerde toegang of aanwezigheid van malware.
Europese IT-uitgaven stijgen in 2024 met dik 9 procent
Gartner voorspelt dat de Europese IT-uitgaven in 2024 naar verwachting met 9,3% stijgen tot $ 1,1 miljard. Ondanks economische tegenwind, blijven kosten toenemen. Wel verschuift het accent naar kostenbeheersing, efficiency en automatisering. It-projecten met een langere terugverdientijd raken op de achtergrond. Software- en IT-diensten zullen naar verwachting de grootste groei laten zien, met respectievelijk bijna 15% en 12% in 2024. Datacenter-systemen en communicatiediensten laten ook positieve cijfers zien, met respectievelijk een groei van 8% en 4,4% in 2024.
Cybersecurity Investment Involves More Than Just Technology
Dark Reading, 15 november 2023
Volgens het “Cyber Security Insights Report 2023” van S-RM breiden organisaties hun investeringen in cyberbeveiliging uit tot andere gebieden dan alleen technologie. Het rapport, gebaseerd op antwoorden van 600 C-suite business leaders en senior IT-professionals, laat een verschuiving zien. Belangrijke investeringsgebieden zijn cybersecurityproducten (49%), threat intelligence (46%), risicobeoordeling (42%), cyberverzekering (42%) en risicobeheer door derden (40%). Terwijl technologie essentieel blijft, groeit het bewustzijn dat effectieve cyberbeveiliging governance- en personeelsinvesteringen vereist, met een focus op bijscholing van bestaande teams (42%) en aannemen van geschoold personeel (41%). Zorgen over budgetbeperkingen blijven bestaan: 31% noemt dit als een belangrijk beveiligingsprobleem.
Cyber Threats to watch in 2024
Dark Reading, 28 november 2023
Google Cloud zet in dit artikel de cyberdreigingen voor 2024 uiteen:
- Geavanceerde AI-manipulatie: Toenemend gebruik van AI voor het creëren grootschalige phishing- en desinformatiecampagnes.
- Toename van ransomware en afpersing.
- Cloudaanvallen nemen toe: Hackers richten zich steeds vaker op cloudomgevingen en misbruiken hierbij misconfiguraties en identiteitsfouten.
- Compromittering toeleveringsketen gaat door: onder andere door sterke afhankelijkheid en open source pakketten.
- Toename van zero-day-exploitatie: Organisaties wordt daarom geadviseerd een zero-trust beleid te implementeren en prioriteit te geven aan patches voor actief uitgebuite kwetsbaarheden.
Five Cybersecurity Predictions for 2024
SecurityWeek, 29 november 2023
Benieuwd naar de vijf cybersecurity voorspellingen voor 2024?
- Gecompromitteerde credentials blijven een probleem: Door de afhankelijkheid van gebruikersnamen en wachtwoorden blijven gecompromitteerde identiteiten een terugkerend probleem. Organisaties moeten daarom Zero Trust-principes implementeren.
- Ransomware-aanvallen evolueren: Ransomware-aanvallen zullen naar verwachting aanhouden én veelzijdiger worden. Het Ransomware-as-a-Service-model vergemakkelijkt aanvallen en geeft gegevens publiekelijk vrij als er geen losgeld wordt betaald.
- Hacktivisme is in opmars: Wereldwijde conflicten en de Amerikaanse presidentsverkiezingen vormen een bodem voor hacktivisme.
- Heropleving van vulnerability management: Als gevolg van wet- en regelgeving in de EU en de VS verschuift de aansprakelijkheid naar organisaties die hun software niet (goed) beveiligen tegen 'zero-days.
- Next-gen security awareness programma: Gericht op realtime begeleiding tegen social engineering-aanvallen en helpen softwareontwikkelaars bij het aanleren van veilige codeerpraktijken.
.png?width=750&height=378&name=WI%20elemenet%20(1).png)
Podcast tip - BNR Digitaal
Hacked onderzoekt hacking, internetfraude, cybersecurity en technologie, van huurmoordenaars op het internet tot morele dilemma’s rond verloren wachtwoorden van miljoenen crypto wallets. De afleveringen behandelen diverse onderwerpen, inclusief intrigerende vragen over bijvoorbeeld of een oplichter in Minecraft de president zou kunnen hacken. Luister je mee?
