In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Overheid
Overige ontwikkelingen
Podcast tip van de maand
De niet-geleerde lessen van supply chain aanvallen
Software supply chain aanvallen blijven succesvol, terwijl we in de tussentijd weinig lijken te leren van aanvallen. Criminelen gebruiken in toenemende mate code-signing certificaten, zoals digitale handtekeningen en tijdstempels, als aanvalsmethode. Doordat de malware daardoor vaak legitiem lijkt, kan deze zich snel verspreiden. Om dergelijke incidenten te voorkomen, moeten organisaties een alomvattende aanpak overwegen die beleid, processen en technologie omvat.
Hoe cybervolwassen is de toeleverancier?
Binnenlands Bestuur, 17 augustus 2023
Als organisatie kan je jouw eigen systemen nog zo goed beveiligen, maar als jouw toeleveranciers dat niet doen, bestaat er nog steeds de kans dat je gehackt wordt. Daarom heeft het NCSC een handreiking met concrete handvatten uitgebracht.
- Zorg voor een actueel overzicht van de assets en kroonjuwelen.
- Maak een leveranciersoverzicht. Classificeer, prioriteer en begrijp op basis hiervan jouw (belangrijkste) leveranciers.
- Inventariseer welke (geopolitieke) risico’s jouw organisatie loopt en breng potentiële doelwitten in kaart vanuit het perspectief van een aanvaller.
- Voer periodiek een risicoanalyse uit en maak jouw medewerkers bewust van de risico’s.
- Maak goede afspraken met jouw toeleveranciers, wissel kennis uit en bereid een exit-plan voor.
Tweestapsverificatie in Nederlands bedrijfsleven steeds vaker toegepast
Het CBS meldt in de Cyber Security Monitor 2022 dat het gebruik van tweestapsverificatie de afgelopen vijf jaar sterk is toegenomen. Van de kleine bedrijven steeg het aantal van 23% naar 41% en bij grote bedrijven steeg het zelfs van 71% naar 93%. Over het algemeen ziet het CBS dat grotere bedrijven meer maatregelen, zoals antivirussoftware, logbestanden en risicoanalyses, treffen. Volgens het CBS is dit niet vreemd: “grotere bedrijven hebben immers vaker een grotere en meer complexe ICT-infrastructuur die daarom een breder spectrum aan beveiligingsmaatregelen vereist.”
RAPPORT: Identity gerelateerde aanvallen explosief gestegen in afgelopen jaar
CrowdStrikes 2023 Threat Hunting Report waarschuwt dat kwaadwillende actoren het afgelopen jaar het aantal identity-based aanvallen verdubbeld hebben. Op basis van gegevens uit de periode tussen 1 juli 2022 en 30 juni 2023 blijkt onder andere dat:
- In 62% van de aanvallen sprake is van misbruik van geldige accounts.
- In 34% van de aanvallen gebruik werd gemaakt van domain- of standaardaccounts
- Er een toename was van 160% om geheime sleutels en andere inloggegevens te verzamelen via API's voor cloud instance metadata.
- Pass-the-hash-aanvallen elk jaar met 200% stijgen.
De grootste stijging was volgens CrowdStrike te zien bij zogeheten Kerberoasting-aanvallen (583%). Hierbij wordt misbruik gemaakt van het Kerberos netwerkauthenticatieprotocol. Dit wordt gebruikt voor privilege-escalatie en laterale bewegingen die niet eenvoudig te detecteren zijn.
Thoma Bravo fuseert ForgeRock met Ping Identity
SecurityWeek, 23 augustus 2023
Private equity bedrijf Thoma Bravo heeft op de dag dat het ForgeRock officieel overnam meteen aangekondigd ForgeRock te willen fuseren met Ping Identity. Thoma Bravo schrijft in een verklaring dat het gecombineerde bedrijf “verbeterde producten en diensten, bredere geografische ondersteuning en meer innovatie” zal bieden, zodat “de levering van identiteitsbeveiligingservaringen voor klanten, werknemers en partners wereldwijd versnellen”. Naast ForgeRock ($ 2,3 miljard) en Ping Identity ($ 2,8 miljard) kocht Thoma Bravo eerder ook al SailPoint ($ 6,9 miljard), Proofpoint ($ 12 miljard) en Sophos ($ 3,9 miljard).
Gartner: boetes voor wanbeheer van rechten kunnen in 2026 boven $1 miljard uitkomen.
Volgens Gartner zullen de boetes als gevolg van het niet goed opvolgen van privacy klantvragen – subject right requests (SRR’s) genoemd – in 2026 vertienvoudigen ten opzichte van 2022. Dit komt neer op een bedrag van meer dan $ 1 miljard. Organisaties die gegevens verwerken moeten SRR’s binnen een bepaalde tijd afhandelen. Slechte of vertraagde afhandeling kan niet alleen een negatieve invloed hebben op het klantvertrouwen; het kan ook boetes opleveren. Volgens Gartner zal de vraag naar meer automatisering van het afhandelen van dit soort vragen leiden tot een snellere overgang naar een zero-touch model. "Dit model zal gebruikers in staat stellen om zelf rechten te beheren via een privacy portaal."
Ministeries krijgen Chief Privacy Officer
Digitale Overheid, 7 augustus 2023
In aanvulling op een CIO en een CISO moeten alle Nederlandse ministeries voor het einde van het jaar ook een Chief Privacy Officer (CPO) krijgen. De CPO moet de centrale coördinatie op het gebied van informatievoorziening en privacy gaan verbeteren en beschermen. Daarnaast moet de overkoepelende CPO-Raad de privacykaders en -beleid vaststellen en wordt er een CPO Rijk aangesteld om de situatie rijksbreed te monitoren. De CPO Rijk zal – net als de CISO rijk – onder de CIO Rijk worden gepositioneerd.
Met de invoering NIS2 wordt het toezicht strenger
Cybersecurity experts Dave Maasland en Bernold Nieuwesteeg zeggen dat er met de invoering van de NIS2 niet alleen nieuwe en betere beveiligingseisen komen. Ook komen er nieuwe rapportageverplichtingen en wordt het toezicht hierop strenger – waarbij boetes tot 2% van de jaaromzet opgelegd kunnen worden en bestuurders zelfs geschorst kunnen worden. Ondanks dat september 2024 nog ver weg lijkt, is het zaak om nu al stappen te zetten. Zeker als je bedenkt dat er bij overheden en grote organisaties vaak met sprints wordt gewerkt. “Op dit moment duurt het nog zo’n 16 maanden voordat NIS2 in werking treedt. Wanneer je dit vertaald naar vier tot vijf sprints wordt duidelijk dat die deadline wel erg dichtbij komt.” Dit terwijl Maasland twijfelt of het onderwerp genoeg leeft in de gemeentelijke top. Stappen die al gezet kunnen worden, zijn volgens hem onder andere het opstellen van een risicoprofiel en per risico uiteenzetten “wat daaraan gedaan kan worden en hoe de controle over de situatie verbeterd kan worden.”
Waarom de softwarewereld in rep en roer is over nieuwe Europese regels
- Aansprakelijkheid: Volgens Dirk-Willem van Gulik, founder van de Apache Software Foundation, zit het probleem deels in het gedeelte over Product Liability Directive (PLD), een regulering die al veertig jaar bestaat voor tal van producten, maar nu ook voor software moet gaan gelden. Deze Directive stelt dat een product geschikt moet zijn voor het doel waarvoor het gekocht wordt. “De contracten die er nu zijn, waarin de softwareleverancier zich vrijwaart van aansprakelijkheid, gelden niet meer. Softwareleveranciers moeten dus door de CRA gigantisch zorgvuldig zijn met wat ze in de markt gaan zetten. In de kern is dit erg goed, maar de regeling beschrijft niet hoe dit moet.”
- Verantwoordelijkheid: Opensourcesoftware wordt niet meer als zodanig beschouwd wanneer een programmeur van een bedrijf “in zijn avonduurtjes nog vrijwillig wat sleutelt aan een opensourceproject dat het algemene doel dient.” Met andere woorden: het bedrijf is dan verantwoordelijk. “Het leidt ertoe dat vrijwilligers minder snel willen bijdragen aan zo’n project”, aldus van Gulik.
- Schade: Kwetsbaarheden in software moeten gemeld worden bij ENISA nog voordat ze opgelost zijn. “Bij opensourceproducten wordt dit doorgaans juist zo geruisloos mogelijk gedaan, om te voorkomen dat kwetsbaarheden uitgebuit worden door kwaadwillende krachten.”
- Certificering: Opensource software wordt niet vrijgesteld van het CE-keurmerk voor veilige software. “Door de hoge werklast kunnen alleen bedrijven óf heel rijke opensource-organisaties dit uitvoeren. Bij certificeringen krijg je als ontwikkelaar altijd de vraag wat de scope is van een product, en wat het toegestane gebruik ervan is.” “Dat is voor een opensource-organisatie niet uit te voeren: er bestaat voor hen geen commerciële, bindende, dwingende top-down relatie met afnemers van een product."
Openbaar Ministerie rolt ‘grootste botnet ter wereld’ op
Nederland heeft samen met autoriteiten in de VS, Duitsland, Frankrijk, het Verenigd Koninkrijk, Roemenië en Litouwen Qakbot, een beruchte botnet, opgerold. Via Qakbot konden cybercriminelen ransomware-aanvallen uitvoeren en (financiële) misdrijven plegen. In Nederland zijn 22 servers bij diverse datacentra in beslag genomen. Nadat de FBI de controle over Qakbot overgenomen had, werd het netwerkverkeer omgeleid naar servers die in beheer waren bij de FBI. Vervolgens is de Qakbot-malware verwijderd op geïnfecteerde computers. "Een voorzichtige schatting laat zien dat het botnet via ransomware voor honderden miljoenen schade heeft toegebracht aan bedrijven en overheidsinstellingen".
NIST stelt belangrijke update op van het veelgebruikte cyberbeveiligingsraamwerk
Na ruim een jaar feedback ophalen, heeft NIST haar cybersecurity framework (CSF) geüpdatet met een zesde pijler: “govern”. Daarnaast is de herziene versie niet alleen bedoelt voor de kritieke infrastructuur. Het moet het ook makkelijker maken om het CSF in de praktijk te brengen voor grote en kleine organisaties binnen alle sectoren. Het is mogelijk om tot 4 november commentaar te geven op het concept framework.
Herziening van het NIST Cybersecurity framework
Ransomware bereikt nieuwe hoogten
Dark Reading, 23 augustus 2023
Ransomware ligt – mede door grote bugs zoals MOVEit – op koers om ook in 2023 weer veel organisaties slachtoffer te maken. Volgens NCC Group werden 502 compromissen op zogeheten “leak sites” gepubliceerd. Een toename van 150% in vergelijking met diezelfde maand een jaar eerder. Ook blijkt uit onderzoek van Sophos dat criminelen na de initiële toegang sneller (laterale) stappen zetten om bedrijven in gevaar te brengen. De gemiddelde verblijftijd daalt van 9 dagen naar 5 dagen bij ransomware-aanvallen. Bij andere aanvallen, hebben aanvallers over het algemeen meer tijd nodig (van 13 naar 11 dagen).
.png?width=750&height=378&name=WI%20elemenet%20(1).png)
Darknet Diaries
Darknet Diaries is een podcast over hackers, breaches, schaduw activiteiten van overheden, hacktivisme, cybercrime, en alle andere verborgen activiteiten in ons netwerk.
