In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Overheid
Overige ontwikkelingen
Podcast tip van de maand
Passkeys Are Cool, but They Aren't Enterprise-Ready
Dark Reading, October 13, 2023
Passkeys, zoals faceID en vingerafdrukken, winnen aan populariteit bij zowel mkb als big tech door hun gebruiksgemak, maar de integratie kan ook tijd kosten vanwege de behoefte aan "controle en attestatie". Ondanks de vele voordelen, blijven organisaties terughoudend. Passkeys maken namelijk gebruik van een gestandaardiseerde PKI als communicatievorm. Het zijn in feite bruikbare certificaten die voor sommige organisaties moeilijk te beheren zijn. Voor kleine organisaties lijkt het dus een nuttig hulpmiddel, maar voor grotere organisaties lijkt het momenteel waarschijnlijker dat ze passkeys aan bieden aan hun klanten.
SailPoint Unveils Annual 'Horizons of Identity Security' Report
Dark Reading, Oktober 19, 2023
SailPoint Technologies heeft het jaarlijkse 'The Horizons of Identity Security' rapport uitgebracht. Voor het rapport verzamelde SailPoint informatie onder meer dan 375 security executives wereldwijd met als doel de huidige status van identity security in kaart te brengen en toekomstige trends in de markt te begrijpen. Wat kunnen we leren van dit rapport?
- 90% van security breaches heeft te maken met identiteit. Dit toont het belang aan van veilige identiteitsoplossingen
- 44% van de organisaties is nog maar net begonnen aan hun identity security journey.
- 77% van de respondenten geeft aan dat zij onvoldoende focus en sponsoring krijgt van executives. Dit hangt ook samen met onvoldoende budget.
Zes redenen waarom mensen in uw bedrijf Shadow IT gebruiken
Elke organisatie heeft wel te maken met shadow IT. Medewerkers kunnen data opslaan op hun persoonlijke laptop, een eigen cloudomgeving of USB-stick of op één van de vele cloudomgevingen, zoals Dropbox. In dit artikel zet Tanium zes belangrijke redenen uiteen waarom shadow IT bestaat en blijft bestaan, waaronder een gebrek aan visie en afstemming tussen verschillende afdelingen. Als afdelingen geen flexibiliteit ervaren, kunnen zij zelf systemen gaan bouwen of aanschaffen, met hoge kosten tot gevolg.
Organizations Warned of Top 10 Cybersecurity Misconfigurations Seen by CISA, NSA
De Amerikaanse CISA en de NSA hebben richtlijnen gepubliceerd over de tien meest voorkomende cybersecurity fouten in grote organisaties. Deze fouten omvatten onder andere standaard softwareconfiguraties, onjuiste functiescheiding, gebrek aan netwerksegmentatie, onvoldoende netwerkbeveiliging en patchbeheer, omzeilen van toegangsmaatregelen, slechte wachtwoorden en onjuiste MFA-methoden. Organisaties kunnen deze fouten mitigeren door secure-by-design en secure-by-default benaderingen, maar ook door het geven van de juiste trainingen en het reserveren van financiële middelen.
Preparing for the Unexpected: A Proactive Approach to Operational Resilience
Hoe bereid je je voor op het onverwachte? Door je als organisatie niet alleen te richten op het voorkomen van cyberaanvallen, maar ook op het handhaven van de operationele continuïteit met minimale verstoringen. Klinkt simpel, maar hoe doe je dat?
Identificeer interne en externe risico’s
- Identificeer activiteiten die kritiek zijn voor bedrijfsbeheer en continuïteit
- Begrijp het dreigingslandschap
- Creëer communicatiekanalen tussen interne en externe stakeholders
- Houd een inventaris bij van je fysieke en digitale assets
Zorg voor een responsstrategie
- Bepaal welke risico’s jouw organisatie bereid is om te lopen
- Maak een responsplan
Zorg dat je klaar bent om actie te ondernemen
- Voer regelmatig oefeningen uit
- Zorg voor een effectieve governance
The Most Popular IT Admin Password Is Totally Depressing
Analyse van Outpost24 onder meer dan 1,8 miljoen beheerdersportals laat zien dat privileged beheerders net zo laks met wachtwoorden zijn als elke andere gebruiker. Het wachtwoord “admin” was met een aantal van 40.000 het meest populair, gevolgd door: 123456, 12345678, 1234, Password, 123, 12345, admin123, 123456789 en tenslotte admins.
How to handle secrets like a pro
Naarmate cloud DevOps-landschap steeds verder vergroot, neemt ook de brede toegang die ontwikkelaars hebben toe. Dit maakt organisaties steeds kwetsbaarder. Eén gecompromitteerde identiteit kan namelijk aanzienlijke schade veroorzaken. Dit ebook van GitGuardian biedt geeft een overzicht van de risico’s op het gebied van secret management. Naast kwetsbaarheden worden ook best practices geschetst over hoe organisaties het best secrets in Jenkins, Docker, Kubernetes, AWS, Python en Terraform kunnen beheren.
Okta Support System Hacked, Sensitive Customer Data Stolen
Na de eerdere berichtgeving rondom de hacks bij MGM Resorts en Caesars Entertainment, waarschuwt Okta nu dat hackers in Okta’s supportcase managementsysteem gehackt hebben. Ondanks dat dit systeem losstaat van de productieomgeving, konden hackers wel gevoelige klantgegevens, zoals cookies en sessie tokens, stelen. Okta heeft een lijst vrijgegeven van verdachte IP-adressen en getroffen klanten op de hoogte gesteld. Samen met hen werkt Okta aan maatregelen, zoals het intrekken van sessietokens. Klanten worden gevraagd om een HTTP Archive (HAR) bestand te uploaden, zodat eventuele problemen opgelost kunnen worden. Overigens benadrukt Okta dat de hack geen invloed heeft op Auth0 en het CIC-casemanagement systeem.
2023 Consumer Survey: Brand Loyalty in the Age of the Digital Economy
ForgeRock & Ping Identity, oktober 2023
Ping Identity heeft een survery gehouden onder klanten met als doel een beter inzicht in hun voorkeuren voor digitale ervaringen, zoals authenticatie en gedecentraliseerde identiteit. Pings bevindingen benadrukken het belang van naadloze klantervaring:
- 81% vindt gebruiksgemak het belangrijkste.
- 60% is wel eens gestopt met het gebruik van een onlinedienst vanwege frustratie in het aanmeldproces en 65% zou overstappen naar een vergelijkbaar merk als dat merk passwordless authenticatie aan zou bieden.
- 59% houdt wachtwoorden bij in het hoofd.
- 63% is meer bang voor identiteitsdiefstal dan voor financiële schade.
- Slechts 10% vertrouwt dat organisaties goed omgaan met identiteitsdata, waarbij het vertrouwen het hoogst is in de financiële sector (61%).
Tackling the growing challenge of third party cyber due diligence
ONE Conference Magazine, Oktober 2023
Nieuwe EU-wetgeving, zoals NIS2 en DORA, eist nauwkeuriger evaluatie en monitoring van cybersecurity-risico’s in de supply chain. Dit kan leiden tot een aanzienlijke workload, regeldruk en inefficiëntie. Hoe kan het dan wel effectief? 3rdRisk zet een aanpak met vier elementen uiteen:
- Standaardisatie in sectoren en risicodisciplines, bijvoorbeeld op het gebied van vragenlijsten voor het beoordelen van derden.
- Creëer een netwerk, vergelijkbaar met LinkedIn, voor het delen van due diligence-informatie over cybersecurity en andere risicogebieden.
- Stel een uniform due diligence-proces vast voor betere samenwerking tussen interne risicoteams en stroomlijning van informatieaanvragen.
- Voeg interne controle en risicobeheer bij derden samen om informatie over automatisch geteste controles efficiënt door te geven aan het bredere ecosysteem.
Overheid intensiveert samenwerking op waarschuwingen voor cyberdreigingen
Nationaal Cyber Security Centrum, 3 oktober 2023
Zoals eerder aangekondigd intensifieert de Nederlandse overheid met de opening van een gezamenlijk cybersecurity loket de cybersecuritysamenwerking. Dagelijks ontvangt de overheid diverse meldingen over kwetsbare systemen en cyberdreigingen. Vervolgens kan de overheid hier organisaties van op de hoogte stellen. Waar dit nu nog decentraal gebeurt, kunnen de meldingen straks centraal bij één loket onder de vlag van het NCSC gedaan worden.
'Aanpassingen aan EU-cyberwet nemen gevaar voor open source niet weg'
In een open brief aan de Eerste en Tweede Kamer schrijft Stichting Vrijschrift dat de Cyber Resilience Act (CRA) moet zorgen voor betere cyberweerbaarheid, maar dat de CRA tegelijkertijd een gevaar vormt voor het opensource-ecosysteem, en daarmee het concurrentievermogen van Europa. Veel moderne softwarebedrijven leunen volledig op open source; hierdoor zal de CRA in de huidige vorm een verstorend effect hebben op het vermogen van Europa om te innoveren en op wereldniveau te concurreren. Experts pleiten voor verdergaande grote aanpassingen aan de wet om dit te voorkomen.
Amazon-CTO en andere Nederlandse (tech)prominenten spreken zich uit tegen ICT-onkunde overheid
Alexander Klöpping en Onno Eric Blom pleiten in een opinieartikel in het NRC dat ICT een cruciaal thema voor de politiek moet worden. “De fundamenten moeten worden gerenoveerd, maar niemand durft die meer aan te raken uit angst dat alles in elkaar stort. Daardoor blijven we bezig met dure reparaties uitvoeren, wordt het systeem steeds onbetrouwbaarder en blijft nieuw beleid op de plank liggen.” Als gevolg zijn de maatschappelijke en economische kosten onnodig hoog. Mede daarom kan hun manifest om de overheid te ‘herprogrammeren’ ondertekend worden. Bekende namen zoals de CTO van Amazon Werner Vogels, schrijver en filosoof Maxim Februari, voormalig Tweede Kamerlid Kees Verhoeven en oprichter van Bunq, Ali Niknam hebben dit inmiddels gedaan.
ENISA Threat Landscape 2023
De elfde editie van het jaarlijkse ENISA Threat Landscape report schetst de belangrijkste dreigingen en trends op het gebied van aanvallen. Daarnaast analyseert ENISA ook de impact van aanvallen, en geeft adviezen voor maatregelen die organisaties kunnen nemen om de impact van mogelijke aanvallen te voorkomen. Over het algemeen ziet ENISA een grote toename in de diversiteit en de hoeveelheid van cyberaanvallen. De belangrijkste bevindingen:
- DDoS en ransomware aanvallen zijn de grootste dreiging, gevolgd door social engineering, misbruik van AI, informatiemanipulatie, supply chain aanvallen, en malware.
- Criminelen hebben hun werk geprofessionaliseerd, met steeds beter wordende ‘as-a-service' modellen.
- Overheden zijn met 19% het vaakst slachtoffer van cyberaanvallen, gevolgd door specifieke individuen (11%), de zorgsector (8%), digitale infrastructuur (7%) en de productie-, financiële- en transportsector.
EU Cyber Solidarity Act: “Geen lidstaat mag de zwakste link zijn”
De ontwerpwet Cyber Solidarity Act moet de EU-capaciteit versterken om significante en grootschalige cyberdreigingen en -aanvallen op te sporen, voor te bereiden en erop te reageren. De belangrijkste doelstellingen zijn:
- Oprichting van een pan-Europese Cyber Schild met nationale cybercoördinatiecentra en drie grensoverschrijdende Security Operational Centers voor snellere reacties op dreigingen.
- Implementatie van een cybernoodmechanisme om de lidstaten te ondersteunen bij de voorbereiding en reactie op grote cyberincidenten, inclusief EU-brede tests voor kwetsbare sectoren.
- Implementatie van een Europees mechanisme voor het beoordelen van grote en significante incidenten.
Het pakket kost totaal € 1,19 miljard. Volgens eurocommissaris Schinas is het dat meer dan waard. “Geen lidstaat mag de zwakste link zijn.”
MGM Resorts Says Ransomware Hack Cost $110 Million
MGM heeft onthuld dat de recente ransomware-aanval de organisatie meer dan $ 110 miljoen heeft gekost. De aanval leidde tot aanzienlijke operationele verstoringen, met name in Las Vegas, waardoor het bedrijf veel inkomsten misliep. Bovendien heeft het bedrijf ook $ 10 miljoen uitgegeven aan herstelwerkzaamheden.
Cyberoorlog Israël en Hamas ook losgebarsten: hackers hebben duizenden servers in handen
Hackersgroepen, waaronder ThreatSec en SiegedSec, mengen zich in de oorlog tussen Israël en Hamas, waar ze cyberaanvallen uitvoeren op zowel Israëlische als Palestijnse doelen, zoals ICS- en SCADA-systemen. ThreatSec claimt volledige controle over de IP-routering van meer dan 5000 servers in de Gazastrook te hebben, wat hen de mogelijkheid geeft alles af te sluiten. SiegedSec valt de Israëlische infrastructuur aan. Onderzoek van CyberNews toont aan dat deze systemen aantrekkelijke doelwitten zijn omdat ze zorgen voor ontwrichting en internationale aandacht trekken.
‘HTTP/2 Rapid Reset’ Zero-Day Exploited to Launch Largest DDoS Attacks in History
Cloudflare, Google en AWS hebben een nieuwe zero-day, genaamd ‘HTTP/2 Rapid Reset’, bekendgemaakt, waardoor één van de grootste DDoS-aanvallen ooit kon plaatsvinden. Cybercriminelen hebben een zwakte in het veelgebruikte HTTP/2-protocol misbruikt, en konden hiermee 201 miljoen verzoeken per seconde (RPS) bij Cloudflare versturen. Google rapporteerde zelfs een aanval van 398 miljoen RPS. Hoewel bestaande DDoS-beschermingen deels effectief waren, moesten er extra maatregelen worden genomen. Organisaties die afhankelijk zijn van HTTP, worden aangeraden om de beveiliging van hun servers te controleren en updates uit te voeren.
TNO weet het zeker: security-professionals vervangen door AI
TNO voorspelt in een position paper dat mensen in SOC’s in de toekomst plaats zullen maken voor AI. TNO voorziet een ‘systeem van systemen’ dat verder gaat dan simpelweg automatiseren. Het gaat om een zelflerend en zelfherstellend systeem dat diverse beveiligingstaken kan uitvoeren, zoals het voorkomen van ransomware-aanvallen op vitale infrastructuren. TNO benadrukt dat deze autonome systemen onvermijdelijk zijn en zich naar verwachting niet zullen beperken tot de koplopers, maar zich ook uitbreiden naar sectoren zoals de zorg, overheid en mogelijk zelfs het mkb.
Cybersecurity Awareness doesn’t cut it: it’s time to focus on behavior
Nudge Security’s Co-Founder en CEO, Russell Splitler, betoogt dat alleen awareness van risico’s niet voldoende is om gedrag te veranderen. In plaats daarvan moeten wij onze focus verleggen naar het daadwerkelijk gedrag. Hij vergelijkt dit met het leren autorijden, waarbij ook praktijkervaring cruciaal is. In plaats van de traditionele, preventieve en theoretische cybersecuritytrainingen, zouden medewerkers betrokken moeten worden bij real-life situaties om zo praktijkervaring op te doen.
Microsoft: 0ktapus Cyberattackers Evolve to 'Most Dangerous' Status
Microsoft waarschuwt dat hackersgroep 0ktapus, bekend van aanvallen op MGM, Ceasars Entertenment en 1Password, evolueert naar de “gevaarlijkste” status. De groep, gespecialiseerd in man-in-the-middle-aanvallen en social engineering, richt zich nu ook op het compromitteren van Okta-credentials. In recente campagnes toont de groep een groeiende mate van verfijning, met gebruik van Azure Data Factory en geautomatiseerde ontwikkelpipelines voor data-exfiltratie. Microsoft adviseert organisaties zich actief voor te bereiden op deze dreiging. Dit kan door een gelaagde cyberverdedigingsstrategie, inclusief beleid, technische verdedigingen en trainging om het risico van dergelijke aanvallen te minimaliseren.
.png?width=750&height=378&name=WI%20elemenet%20(1).png)
Podcast tip - BNR Digitaal
Digitale technologie zit overal en beïnvloedt onze levens dagelijks. Van AI en andere algoritmes op social media, tot zerodays in je smartphone. Elke woensdag praten Joe van Burik en Ben van der Burg jou bij over de laatste ontwikkelingen. Luister je mee?
