Het monitoren van privileged user access: wie bewaakt de bewakers?
Een toenemend aantal privileged (super) users maakt misbruik van systemen. Hoe moeten organisaties omgaan met deze serieuze bedreiging?
We horen steeds vaker dat privileged users - gebruikers met speciale beheerdersrechten -misbruik maken van hun status. Een bekend voorbeeld is Edward Snowden die als systems engineer en beheerder bij de US National Security Agency (NSA) toegang had tot veel informatie en nu bekend is vanwege het grootste informatielek ooit. Een ander voorbeeld was winkelketen Target (Verenigde Staten), waar hackers toegang kregen tot het netwerk via een derde partij.
Veel beveiligingsincidenten ontstaan binnen een bedrijf doordat iemand met uitgebreide rechten misbruik maakt van zijn of haar positie. Daarbij is het ook mogelijk dat een externe hacker zijn pijlen richt op een interne gebruiker en probeert gebruiker-id’s en wachtwoorden te achterhalen. In veel gevallen gaat het dan om het root-wachtwoord. Voor de externe hacker is de toegang tot het account van een CEO of systeembeheerder nu eenmaal zeer interessant.
Cijfers onderstrepen dat er reden is voor zorg. Uit het laatst verschenen beveiligingsonderzoek van Verizon bleek dat 88 procent van het interne misbruik gerelateerd is aan privileged users. Het is dan ook cruciaal dat organisaties zich wapenen tegen deze risico’s en manieren moeten vinden om de bewaker te bewaken.
Op zoek naar het echte verhaal
Wanneer zich een incident voordoet, wil een organisatie uiteraard het echte verhaal weten. Dat is niet altijd eenvoudig. Je moet bijvoorbeeld duizenden tekstlogs analyseren, waarbij vaak ook nog externe hulp nodig is. Daar komt nog bij dat veel verschillende beheerders inloggen met hetzelfde privileged account en ook hetzelfde wachtwoord gebruiken. Dat maakt het heel lastig om te bepalen wie verantwoordelijk is voor een bepaald incident.
Hier verandering in brengen is complexer dan het op het eerste gezicht lijkt. Bestaande oplossingen als logmanagement, firewalls en SIEM richten zich vooral op compliancy en op het monitoren van een omgeving op bepaalde momenten. Dat zorgt voor blinde vlekken die insiders de mogelijkheid bieden om de beveiliging te omzeilen. Een systeembeheerder of andere 'super user' heeft vaak onbeperkte toegang tot besturingssystemen, databases of applicaties. Dat betekent dat hij of zij directe invloed kan uitoefenen op de meest gevoelige informatie in een organisatie. Denk aan financiële gegevens, klantdata, personeelsdossiers of creditcardnummers.
Einde aan de complexiteit
Om te voorkomen dat super users misbruik maken van hun positie, is het zaak om hun gedrag te volgen. Extra beveiligingslagen hebben hier weinig zin. Maar informatie over gebruikersgedrag, zoals het tijdstip waarop een account wordt geopend, of afwijkingen in routines kunnen duiden op potentiële inbreuken op systemen.
Gebruikers laten meestal karakteristieke gedragspatronen zien: zij gebruiken dezelfde applicaties, voeren dezelfde routines uit in hun werk, ontsluiten dezelfde informatie en typen zelfs op een eigen kenmerkende manier. Deze interacties met IT-systemen laten een persoonlijke vingerafdruk achter, die vast te leggen is. Dit profiel is vervolgens real-time te vergelijken met de activiteiten van gebruikers. Zo zijn afwijkingen te detecteren. Een voorbeeld is een gebruiker die veelal kantoorapplicaties gebruikt, maar plotseling via de command line het netwerk op gaat. Dat kan een signaal zijn dat een account gehackt is. Een ander voorbeeld: een salesmedewerker logt altijd in op Salesforce, maar kijkt plotseling rond in een test- en ontwikkelomgeving.
Met nieuwe beveiligingsbenaderingen is het mogelijk om alle gebruikersactiviteiten te analyseren, dus ook de illegale. Zo is een beter inzicht te creëren van wat er echt gebeurt op het netwerk. Doordat je snelle reconstructies kunt maken, wordt ook de onderzoekstijd veel korter en zijn kosten te reduceren. Het monitoren van gebruikersgedrag is zo de sleutel naar een veiliger netwerk.
Zoltán Györkő is CEO van BalaBit