In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Overheid
Overige ontwikkelingen
Podcast tip van de maand
Beveilig legacy identiteiten, data en processen
Dark Reading, 6 september 2023
Legacy systemen zijn niet alleen moeilijk te beheren en te integreren met nieuwere systemen, ze vormen ook een groot risico. Sumedh Thaker, CEO van Qualys, pleit in dit artikel voor een bredere definitie van ‘legacy’:
- Legacy identiteiten: accounts die binnen een organisatie bestaan, maar niet langer nodig zijn, zoals oude accounts van (IT-)leveranciers. Deze accounts vormen een groot risico omdat ze misbruikt kunnen worden. Om de risico’s tot ongeautoriseerde toegang te mitigeren, moeten op regelmatige basis controles worden uitgevoerd en oude accounts worden verwijderd. Idealiter pak je dit als organisatie op binnen een alomvattende IAM-strategie, waarbij ook rekening wordt gehouden met MFA, PAM en Zero-standing privilege (ZSP).
- Legacy data: data die verouderd of achterhaald is. Het bepalen of data verouderd is, is niet alleen ingewikkeld. Het kan ook een cybersecurityrisico vormen. Bijvoorbeeld doordat vertrouwelijke informatie naar de verkeerde persoon wordt verstuurd of doordat de data niet gecodeerd of beschermd is. Als organisatie moet je in controle zijn over welke data je opslaat, wanneer en waarom het is opgeslagen, hoe vaak het wordt bekeken en wanneer het voor het laatst gewijzigd is. Daarmee kan geïdentificeerd worden welke datasets risicogevoelig zijn.
- Legacy processen: processen die niet regelmatig worden herzien en bijgewerkt. Als voorbeeld: het één keer per kwartaal uitvoeren van een vulnerability scan was jaren geleden nog passend, maar is in het huidige dreigingslandschap ontoereikend. Als organisatie moet je daarom regelmatig jouw processen herzien en testen om zwakke punten te analyseren en eventueel te moderniseren.
Alle soorten legacy systemen brengen cybersecurity risico’s met zich mee. Om deze te beperken, moeten organisaties oude identiteiten, gegevens en processen identificeren en dit proces periodiek te herhalen.
Hoe cybervolwassen is de toeleverancier?
Securityweek, 18 september 2023
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een nieuwe richtlijn gepubliceerd over hoe overheidsorganisaties Identity and Access Management (IDAM) kunnen integreren in hun Identity, Credential, and Access Management (ICAM) architectuur. De richtlijn, die deel uitmaakt van het CDM-programma (Continuous Diagnostics and Mitigation), is bedoeld om de netwerkbeveiliging te verbeteren. De richtlijn geeft verduidelijking over de reikwijdte en mogelijkheden van ICAM en IDAM, waaronder PAM. De ICAM-referentiearchitectuur omvat daarnaast federatie services, IDP’s en is bedoeld om federale organisaties aan te moedigen een zero trust architectuur te implementeren.
Risicobeheer van derden
Security Boulevard, 28 september 2023
Tegenwoordig besteedt bijna elke organisatie wel een gedeelte van zijn activiteiten uit, maar het wordt steeds lastiger om deze identiteiten op een goede manier te beheren én tegelijkertijd te vertrouwen op de interne processen van jouw externe (software)leveranciers. Naast de veranderende risico’s die organisaties lopen, zet Hyperproof in dit artikel ook best practices uiteen. Ondanks dat hier geen one-size-fits-all aanpak voor is, zijn er wel een aantal zaken waar je rekening mee moet houden, waaronder:
- Houd bij tot welke data jouw leveranciers toegang toe hebben.
- Zorg voor een risicobeoordelingsraamwerk van leveranciers.
- Kijk hoe andere organisaties binnen jouw branche het doen en kijk naar security frameworks als SOC2 en ISO27001.
- Zorg voor een gestructureerde on- en offboarding van jouw leveranciers.
Active Directory is achilleshiel identiteitssecurity
Uit CrowdStrikes ‘2023 Global Threat Report’ blijkt dat bij 80% van alle cyberaanvallen identiteiten worden misbruikt. Het benadrukt de noodzaak om Active Directory te versterken en biedt oplossingen voor veelvoorkomende aanvalsscenario's door identiteiten centraal te beheren en beschermen.
- Local Security Authority Subsystem Service (lsass): aanvallers maken vaak gebruik van het lsass-proces in Windows dat het mogelijk maakt inloggegevens te verkrijgen, te gebruiken en vervolgens verder te bewegen door de AD. Het is belangrijk om deze aanvalsmethode direct te detecteren en blokkeren. Organisaties worden ook geadviseerd om honeytoken-accounts in te zetten, waarmee aanvallers worden gelokt.
- Privilege-escalatie: aanvallers proberen endpoints te compromitteren en schakelen over op brute force-aanvallen als ze worden tegengehouden. Identitysecurityoplossingen helpen hergebruikte wachtwoorden op te sporen en unieke wachtwoorden af te dwingen.
- Gebruik van oude protocollen: hackers maken gebruik van oudere protocollen waar organisaties geen zicht op hebben. Moderne beveiligingsoplossingen moeten deze protocollen dekken en inzicht bieden in verdacht gedrag, zoals pass-the-hash aanvallen.
Bijna 3,5 jaar cel geëist voor hacker die sleutels voor wachtwoordkluizen kocht
Het OM eist dat een 34-jarige hacker uit Boskoop ruim drie jaar de gevangenis in moet. De man zou op de Genesis Market voor meer dan $ 5000, - aan hoofdwachtwoorden voor 1029 wachtwoordkluizen (‘botjes’ genoemd) hebben gekocht. “Elk botje stond voor één slachtoffer, en elk botje werd ook maar één keer verkocht. Een koper abonneerde zich als het ware op een slachtoffer.” Met de ‘botjes’ kon hij inloggen op al hun accounts, ook als zij hun wachtwoorden aanpasten. Als het wachtwoord gewijzigd was, werd dit namelijk ook doorgestuurd en aangepast naar de koper. Het standaardadvies om bij identiteitsdiefstal je wachtwoord te wijzigen, ging hier dus niet op.
De staat van de Identity Attack Surface: inzichten in kritieke gaten in de bescherming
Osterman Research, september 2023
Osterman Research heeft onderzoek gedaan naar de identity attack surface van vandaag de dag. Uit het onderzoek is gebleken dat het bestaan van MFA en PAM in een omgeving níét genoeg is om de hele identity attack surface te ontlasten. De key takeaways zijn als volgt:
- Bijna de helft van de organisaties heeft het afgelopen jaar een breach meegemaakt die veroorzaakt werd door misbruik van een identiteit.
- 65,4% van de organisaties heeft MFA niet voldoende geïmplementeerd.
Bij slechts 1 op de 8 organisaties dekt MFA meer dan 70% van het IT-landschap. - Slechts 5,7% van de organisaties heeft volledig zicht in serviceaccounts en 78% heeft er geen vertrouwen in dat ze real-time misbruik van een gecompromitteerd serviceaccount kunnen voorkomen.
- Slechts 1 op de 5 organisaties hebben er vertrouwen in dat ze identity threats kunnen voorkomen.
'MFA bombing' ontmanteld
Ping Identity, 12 september 2023
Hoe kan je als organisatie de verschillende accounts binnen jouw organisatie beschermen tegen accountovername zonder dat jouw eindgebruikers gefrustreerd raken? Veel organisaties gebruiken daar tegenwoordig MFA voor, maar ook aanvallers hebben deze methode ontdekt én vinden steeds vaker methoden om misbruik te maken. Ping Identity zet in dit artikel vier alternatieven uiteen:
- Beperk MFA-meldingen tot een specifiek tijdsbestek.
- Maak gebruik van pushmeldingen met nummerselectie.
- Maak gebruik van risico gebaseerde authenticatie.
- Ga 'passwordless' met FIDO2.
Okta Agent betrokken bij cyberaanval MGM Resorts, beweren aanvallers
Dark Reading, 15 september 2023
Na eerdere berichtgeving van Okta, waarin gewaarschuwd werd voor social engineering aanvallen op de servicedesks van Okta-klanten, heeft ALPHV (ook wel bekend als Backcat), de partij die mogelijk achter de cyberaanval op MGM Resorts en Caesars Entertainment zit, bekendgemaakt dat zij de systemen konden hacken door in te breken in de Okta Agent, de lightweight client die verbinding maakt met de Active Directory van een organisatie. Volgens Okta’s CISO, David Bradbury, was de aanval succesvol doordat de aanvallers hun eigen Identity Provider (IDP) en gebruikersdatabase in het Okta-systeem konden zetten. Volgens Callie Guenther, senior manager bedreigingsonderzoek bij Critical Start, zou dit wel eens de eerste kunnen zijn in een nieuwe golf van cyberaanvallen. Aaron Painter, CEO van Nametag, een leverancier van helpdesk cybersecurity tools, voegt daaraan toe dat het probleem niet Okta zelf is. “Het is gewoon het feit dat MFA is ontworpen om apparaten te identificeren in plaats van mensen (…) Deze kwetsbaarheid is niet uniek voor MGM of Okta; het is een systemisch probleem met MFA.”
Hoe de Okta Cross-Tenant-imitatie-aanvallen slaagden
Dark Reading, 27 september 2023
De recente aanvallen op MGM Resorts en Casesars Entertainment laten zien dat account takeovers en privilege escalatie hardnekkige aanvallen zijn, die zelfs de beste IAM-oplossingen kunnen omzeilen. De hackers gebruikten daarvoor vijf tactieken, technieken en procedures:
- Toegang tot accounts van privileged gebruikers: met deze toegang was het mogelijk om MFA-factoren opnieuw in te stellen.
- Anonimiseren van proxyservices: om hun identiteit en locatie te verbergen.
- Privilege-escalatie: om gecompromitteerde “super-user”-accounts hogere privileges toe te wijzen, authenticators te resetten en het authenticatiebeleid te wijzigen.
- Installatie via een tweede IDP.
- Manipulatie van gebruikersnamen: om SSO uit te voeren in applicaties waarbij ze zich voordeden als andere gebruikers.
Geen enkele oplossing kan absolute veiligheid garanderen. Om deze uitdaging aan te gaan, moeten organisaties prioriteit geven aan ITDR-strategieën, ondersteund door best practices.
DigiD-app ietsje makkelijker
Binnenlands Bestuur, 1 september 2023
Informatiepunten digitale overheid (IDO’s) krijgen veel vragen van mensen die er zelf niet uitkomen met de DigiD-app. Maar de stappen in de app makkelijker maken, is nog niet zo simpel. Doordat de DigiD-app moet voldoen aan de eisen vanuit de eIDAS-verordening is het niet mogelijk om stappen, zoals het uitvoeren van een ID-check, over te slaan. Een update van de DigiD-app maakt eenmalige stappen, zoals het activeren van de app en de ID-check, wel eenvoudiger. Zo is er meer overzicht, is het mogelijk om bepaalde stappen later uit te voeren en voldoet de app nu aan de wettelijke verplichtingen op het gebied van toegankelijkheid.
Samenwerking cybersecurity: “De overheid heeft een voorbeeldrol”
Digitale Overheid, 4 september 2023
De ministeries Justitie en Veiligheid (JenV), Economische Zaken en Klimaat (EZK) en Binnenlandse Zaken en Koninkrijksrelaties (BZK) vormen samen het “motorblok voor het cybersecuritybeleid, onder de vlag van de Nederlandse Cybersecuritystrategie.” Ondanks dat elk ministerie een ander focuspunt heeft, is de rode draad het verhogen van de digitale weerbaarheid – van zowel de overheid, als burgers en bedrijven. “Belangrijk uitgangspunt daarbij: de overheid heeft een voorbeeldrol.” De ministeries werken samen op verschillende gebieden, waaronder het vertalen van de NIS-2 richtlijn naar de Nederlandse situatie, veilig inkopen van hard- en software en het delen van kennis en ervaring.
Digitale Zaken in de begroting 2024
De Koning benadrukte het al in de Troonrede: “Digitalisering en kunstmatige intelligentie leiden tot nieuwe kansen en risico’s (…). Het kabinet zet stappen om ervoor te zorgen dat iedereen veilig en vertrouwd kan meedoen, onder meer door mensen te helpen digitale vaardigheden op te doen.” Uit de begroting voor 2024 blijkt dan ook dat het demissionair kabinet extra wil inzetten op ondersteuning, bewustwordingscampagnes en het versterken van de digitale vaardigheden. Zo krijgen gemeenten extra subsidies voor informatiepunten digitale overheid en krijgen scholen € 224,8 miljoen extra voor het ontwikkelen van (digitale) basisvaardigheden. Omdat ontwikkelingen als AI snel gaan, wordt ook een ‘rapid response team’ overwogen. Dit team moet zorgen dat er kansen zijn om te innoveren en om de mensenrechten te waarborgen. Andere focuspunten zijn de realisatie van één centrale cybersecurityorganisatie en de implementatie van de NIS2- en de CER-richtlijn.
Digitale ontwikkeling EU heeft nog een lange weg te gaan
Uit het onlangs gepubliceerde voortgangsrapport ‘State of the Digital Decade’ blijkt dat de digitale ontwikkeling van de EU achterblijft op de doelstellingen die gesteld zijn in het Digital Decade Policy Programme (DDPP). Het rapport roept lidstaten dan ook op om de huidige investeringstekorten aan te pakken, de digitale transformatie te versnellen en de inspanningen op te voeren om de doelstellingen van het DDPP te behalen. Alleen op die manier, kunnen de doelstellingen die gesteld zijn voor 2030 behaald worden. Lidstaten moeten onder andere investeren in digitale infrastructuur, halfgeleiders en digitalisering van bedrijven en digitale vaardigheden van burgers.
De 20 meest misbruikte kwetsbaarheden zijn al jaren geleden gedicht
Herhaaldelijk maken cybercriminelen gebruik van kwetsbaarheden die al geruime tijd zijn ontdekt en verholpen. Ondanks de dagelijkse ontdekking van nieuwe beveiligingslekken, geven deze aanvallers de voorkeur aan bekende kwetsbaarheden die buitengewoon doeltreffend blijken te zijn. Een lijst samengesteld door beveiligingsbedrijf Qualys benadrukt deze trend, waarbij de meeste misbruikte kwetsbaarheden worden aangetroffen in diensten en producten van Microsoft. Intrigerend is dat sommige van deze kwetsbaarheden in 2023 nog steeds worden misbruikt, hoewel ze al geruime tijd geleden zijn verholpen. Eén van deze bekende fouten is "EternalBlue", die eerder werd misbruikt bij beruchte ransomware-aanvallen zoals WannaCry en Petya. Ondanks de oplossing van deze kwetsbaarheid in 2017, zijn er in 2023 nog steeds meldingen van misbruik. Dit benadrukt het belang van regelmatige patching en het actueel houden van software.
'Techleveranciers en cloudaanbieders verzwijgen gaten en patches'
Dit AG Connect-artikel legt de nadruk op het gebrek aan transparantie bij tech- en cloud leveranciers met betrekking tot kwetsbaarheden en patches in hun producten en diensten, een praktijk die bekendstaat als "silent patching". Silent patching houdt in dat leveranciers kwetsbaarheden oplossen zonder openbaarheid te creëren. In plaats van duidelijke communicatie worden kwetsbaarheden in sommige gevallen afgezwakt of geheimgehouden. Dit kan problematisch zijn, omdat het gebrek aan communicatie over kwetsbaarheden andere organisaties kan hinderen bij het inschatten van de ernst van deze kwetsbaarheden en het nemen van tijdige maatregelen om hun systemen te beschermen. Het belang van het delen van informatie over deze kwetsbaarheden en patches strekt zich uit tot gebruikers van technologieën en organisaties, omdat het essentieel is om de beveiliging te verbeteren en criminaliteit effectief te bestrijden.
Consumentenbond sleept Google voor rechter om schendingen privacy
De Consumentenbond stapt naar de rechter om Google aan te klagen wegens schending van privacyregels. De organisatie eist dat Google stopt met het verzamelen van gegevens en eist daarnaast een schadevergoeding van € 750,- per gebruiker. Meer dan 82.000 mensen hebben zich bij de schadeclaim aangesloten. De zaak draait om advertentieveilingen; Google bezit advertentieruimte en verkoopt deze aan adverteerders, waardoor gebruikers gepersonaliseerde advertenties te zien krijgen. Dit gebeurt zonder toestemming van de gebruikers en is daarom in strijd met de privacyregels. Er zijn al meerdere gesprekken gevoerd tussen de Consumentenbond en Google, maar dit heeft geen resultaat opgeleverd. Eerder dit jaar is Facebook al veroordeeld voor onrechtmatige verwerking van Nederlandse persoonsgegevens voor advertentiedoeleinden.
.png?width=750&height=378&name=WI%20elemenet%20(1).png)
Podcast tip - HACK
In juli 2021 werd het Brabantse bedrijf Hoppenbrouwers Techniek getroffen door een wereldwijde cyberaanval via een gat in beheersoftware van leverancier Kaseya. Het bedrijf besloot om hier zo open mogelijk over te zijn en de ervaringen te delen in een gratis e-book. Nu is er dus ook een podcastserie, waarin Hoppenbouwers Techniek de gebeurtenissen nogmaals bespreekt. Luister je mee?
