Beheerrechten privilege management

Verwijder beheerrechten en sluit kritische kwetsbaarheden in uw organisatie uit

Het verwijderen van beheerrechten, of admin rechten, helpt niet alleen bij het verminderen van...

Secwatch

Gepubliceerd op 19-06-2020


Het verwijderen van beheerrechten, of admin rechten, helpt niet alleen bij het verminderen van dreigingen van binnenuit. Door beheerprivileges goed te managen zorgt u ook voor een betere beveiliging tegen bedreigingen van buitenaf.


Zodra u ervoor hebt gezorgd dat op een paar systeembeheerders na alle werknemers een gebruikersprofiel hebben in plaats van een beheerdersprofiel, kunt u de beheerrechten van geval tot geval gaan beoordelen.

In onderstaande richtlijnen leest u hoe het verwijderen van beheerrechten op alle punten leidt tot een betere beveiliging, en hoe u dit effectief doet.

De richtlijnen:

  • Wat zijn de risico’s van het gebruik van beheerrechten?
  • Waarom vrije beheerrechten gevaarlijk zijn (voor interne én externe bedreigingen).
  • Hoe risico’s worden geminimaliseerd door het wegnemen van beheerrechten.
  • Data en voorbeelden uit de praktijk.
  • Best practices voor het minimaliseren van risico’s die te maken hebben met beheerprivileges.

Bent u er klaar voor? Let’s go!


Wat zijn de risico’s van het gebruik van beheerrechten?

Stel, u geeft iedereen in uw organisatie beheerrechten. Wat zijn dan de risico’s? Ik noem een aantal concrete voorbeelden:

  • Het installeren van kwaadaardige apps, zoals spyware of malware, met als doel geld of data te stelen of activiteiten te verstoren.
  • Verouderde software wordt vaak vergeten en niet verwijderd van het systeem. Dit vervuilt systemen omdat software niet meer bijgewerkt wordt. Bovendien ontstaan hierdoor ook onnodig veel en vaak kritische kwetsbaarheden.
  • Het maken van achterdeurtjes waardoor cybercriminelen kwaadaardige apps kunnen installeren of systemen kunnen hacken.
  • Het openen of exporteren van gevoelige data die vervolgens kunnen worden misbruikt.
  • Het doorvoeren van veranderingen waardoor legitieme gebruikers worden buitengesloten van het systeem.
  • Het publiceren van misleidende of kwaadaardige informatie met als doel een PR-crisis te veroorzaken.

Natuurlijk is het niet per se zo dat een gebruiker dit alles bewust zelf zou doen, maar het is wel iets wat hackers kunnen bereiken door iemand met beheerrechten voor hun karretje te spannen. Door een phishingmail te versturen of door een USB-stick te vervangen door hun eigen stickje.

Manage beheerrechten om interne bedreigingen te neutraliseren

Voor alle duidelijkheid eerst even dit: zelfs het verwijderen van beheerrechten voor gewone gebruikers in uw organisatie garandeert niet dat u geen risico meer loopt op bedreigingen van binnenuit. U hebt eenvoudigweg nooit totale controle over het handelen van elke gebruiker. Er blijven nog genoeg gevaarlijke handelingen over die een werknemer kan doen, per ongeluk of expres, ook zonder beheerrechten. Denk maar eens aan:

  • Instellen van een zwak wachtwoord of een wachtwoord dat ook wordt gebruikt voor andere persoonlijke accounts.
  • Een wachtwoord delen met iemand anders.
  • Klikken op onveilige links in e-mailberichten of op het web.
  • Beveiligde informatie aan derden geven, per ongeluk door cybercriminaliteit (zoals CEO-fraude) of doelbewust.
  • Rondsnuffelen in de bestanden op het werkstation van een collega, wanneer die even weg is (vooral gevaarlijk als deze collega meer met gevoelige informatie werkt dan de betreffende werknemer).
  • Een geïnfecteerde USB-stick of externe harde schijf in een werkstation steken.

Het verwijderen van beheerrechten is wel het absolute startpunt om bedreigingen van binnenuit te voorkomen. Je voorkomt zo misschien niet alle bedreigingen van binnenuit, het is in elk geval een goed begin.

Waarom geven sommige organisaties beheerrechten dan nog steeds automatisch aan alle gebruikers? Er bestaan een aantal hardnekkige mythes.

  • We hebben een antivirusprogramma en een firewall geïnstalleerd, dus we hoeven ons nergens zorgen over te maken. Ze kunnen ons niets maken.
  • Als beheerders overal toestemming voor moeten geven, zijn ze daar uren per dag mee zoet.

Toegegeven: sommige mythes bevatten een kern van waarheid, want natuurlijk is het verstandig om een antivirusprogramma en een firewall te installeren, maar het is niet genoeg. En natuurlijk zijn systeembeheerders tijd kwijt aan het toekennen van beheerrechten, maar dat is niets vergeleken met de risico’s die zij op deze manier helpen voorkomen. (En met privilegebeheersoftware minimaliseer je de tijdverspilling.)

Manage beheerrechten om externe bedreigingen te neutraliseren. Kwetsbaarheden buitensluiten door beheerrechten te verwijderen.

Managen van beheerrechten  gaat niet alleen om het managen van bedreigingen van binnenuit. Het gaat zeker ook over het afsluiten van beveiligingslekken die vaak aanwezig zijn in de gangbare bedrijfssoftware en besturingssystemen.

Dit soort systemische kwetsbaarheden worden gelukkig vaak ontdekt en verholpen met een patch voordat er een hack plaatsvindt. Maar als hackers deze kwetsbaarheden snel herkennen, misbruiken ze die voordat ze kunnen worden onderschept en verholpen.

Uit een analyse over Microsoft-beveiliging blijkt dat er vanaf 2015 jaarlijks meer dan 500 kwetsbaarheden met de classificatie ‘kritisch’ in de systemen hebben gezeten. In 2019 werden er 668 kwetsbaarheden gemeld voor diverse Windows OS-versies. Dit betekent niet dat Microsoft-producten slecht of onveilig zijn, integendeel. Systeemkwetsbaarheden zijn nu eenmaal onvermijdelijk in producten die door zo’n grote groep mensen worden gebruikt, en hackers rusten niet voordat ze de mazen hebben gevonden.

Kortom: risico’s zijn onvermijdelijk. Ons rest niets anders dan ze zo klein mogelijk te maken door de beheerprivileges te verwijderen voor gewone gebruikers en deze rechten alleen te verlenen op verzoek en gedurende een beperkt tijdskader.

Data en voorbeelden uit de praktijk

Hoe voorkomt u dat uw organisatie als slachtoffer van een hackaanval in het nieuws verschijnt? Die kans is helaas groter dan veel organisaties zich realiseren. Om u een idee te geven van de enorme omvang van het gevaar zijn hier een paar feiten.

  • 63% van alle datalekken ontstaat door zwakke of gestolen wachtwoorden – als gebruikers geen beheerrechten hadden gehad, waren de gevolgen niet zo ernstig geweest.
  • 74% van alle datalekken ontstaat door het misbruiken van accounts met beheerrechten.
  • Het was misschien wel de stomste beslissing ooit, maar Equifax koos ervoor om ‘admin’ als gebruikersnaam én als wachtwoord in te stellen voor een database, waarna er een enorm datalek ontstond.
  • Facebook was prominent in het nieuws met schandalen en datalekken die ontstonden na misbruik van beheerrechten.
  • In mei 2019 lekten routers van Linksys alle historische gegevens omdat de beheerrechten automatisch waren ingesteld.
  • Marriot raakte in een tijdsbestek van vier jaar de financiële gegevens van ruim 400 miljoen gebruikers kwijt – als er door het managen van de beheerrechten beter was gecontroleerd op ongeautoriseerde toegang, was het datalek veel eerder ontdekt.

Zo kan ik nog wel even doorgaan. In het nieuws zijn er dagelijks berichten over datalekken. Vaak gaat het dan over technische details en methodes die hackers gebruiken (DNS-hijacking, een Trojan, malware) – zelden wordt uitgelegd hoe het zover heeft kunnen komen. Dat hackers konden binnenkomen door een account met beheerrechten te misbruiken.

Best practices voor het veilig managen van beheerrechten

Hoe kunt u beheerrechten managen, op een veilige en productieve manier, voor gebruikers én systeembeheerders? Hieronder werken we een aantal methoden uit – de best practices.

#1. Koester een omgeving met zo min mogelijk beheerrechten

Een goede beveiligingscultuur ontwikkelen binnen uw organisatie komt neer op zo min mogelijk beheerrechten verstrekken. Dat betekent niet dat er een streng beleid van uitsluitend ‘need to know’ moet worden gehanteerd. Interne transparantie leidt ertoe dat werknemers verder kijken dan hun eigen bureau, dat zij hun eigen taken en opdrachten beter begrijpen en dat zij effectiever naar het uiteindelijke doel toe kunnen werken. Voorkom dus dat u (ongewild) een bedrijfscultuur creëert waarin geheimzinnigheid de boventoon voert en bewaak vooral echt gevoelige informatie.
Een beleid van uitsluitend ‘need to know’ zal de algehele productiviteit doen kelderen.

#2. Automatiseer escalatie en de-escalatie van de beheerrechten

Automatisering is verreweg de effectiefste manier om beheerprivileges toe te kennen (escaleren) aan alle eindgebruikers in uw organisatie, of die beheerrechten te verwijderen (de-escaleren), zonder dat systeembeheerders hier zeeën van tijd aan hoeven te spenderen.

Betrouwbare privilegebeheersoftware automatiseert het proces van het verzoek om toegang tot beheerrechten (van de kant van de gebruiker) en van het al dan niet toewijzen van deze rechten (van de kant van de systeembeheerder).

#3. Zorg dat beheerders elke toekenning van beheerrechten navolgen, tenzij de-escalatie is geautomatiseerd

Kiest u ervoor om de escalatie en de-escalatie van beheerrechten handmatig te laten doen? Zorg er dan zeker ook voor dat systeembeheerders bij het toewijzen van beheerprivileges aan een eindgebruiker ook meteen de de-escalatie van die rechten regelen.

Het geadviseerde tijdskader is 5 tot 15 minuten – dat geeft een gebruiker genoeg tijd om de software te installeren die hij nodig heeft. Het is ook verstandig dat de systeembeheerder precies bijhoudt welke software wordt geïnstalleerd. Omdat het managen van beheerprivileges niet geautomatiseerd gebeurt, bestaat er immers het risico dat er per ongeluk een corrupt bestand wordt geïnstalleerd.

#4. Zorg dat er procedures zijn als een eindpunt in quarantaine moet worden geplaatst

Wat betekent het voor uw organisatie als een account wordt gehackt van binnenuit? Weet u zeker dat er via dat account geen handelingen kunnen worden uitgevoerd die consequenties hebben voor de veiligheid van uw organisatie?

Zorg dat uw interne beleid en de technische veiligheidsmaatregelen van dien aard zijn dat uw systeem snel elk willekeurig privilege kan de-escaleren en het gecompromitteerde eindstation in quarantaine kan plaatsen. Het snelst en effectiefst gaat dat met een geautomatiseerd privilegebeheerprogramma, maar handmatig is dit ook mogelijk.

#5. Zorg ervoor dat ook de accounts van superusers veilig zijn

Superuseraccounts zijn accounts van systeembeheerders die onder meer het recht hebben om elk willekeurig softwareprogramma te installeren, toegang hebben tot alle data en beheerrechten van andere gebruikers kunnen escaleren of de-escaleren.

Organisaties kunnen niet zonder één of twee systeembeheerders die op een veilige manier de rechten van andere gebruikers beheren. Tegelijkertijd moeten er ook procedures zijn die hun accounts beveiligen. Stel dat het account van een van beide systeembeheerders wordt gehackt, hoe goed kan uw organisatie deze situatie dan oplossen?

Spreek samen met de CTO, IT manager of de security manager en de systeembeheerders een crisismanagementprocedure af, speciaal voor het hierboven geschetste scenario. Zorg bijvoorbeeld dat de activiteiten van de ene systeembeheerder transparant zijn voor een andere systeembeheerder, zodat zij elkaars stappen terug kunnen volgen (broodkruimels achterlaten). Dit met het oog op aansprakelijkheid en ter voorkoming van het op afstand regelen van administratieve taken. Sta andere systeembeheerders toe het gecompromitteerde beheeraccount razendsnel te de-escaleren in geval van een hack.

Check nu!

Als alle of enkele gebruikers in uw organisatie toegang hebben tot beheerrechten, ga dan zo snel mogelijk na wat de status van deze rechten is. Maak een map met beheerrechten voor gebruikers en een procedure voor het toewijzen van deze rechten. Het standaard verwijderen van beheerrechten is een belangrijk startpunt in de bescherming van uw organisatie tegen kritische kwetsbaarheden van binnenuit.

Gebruik bij voorkeur gespecialiseerde software om de beheerrechten op een goede manier te beheren. Wees altijd waakzaam. Goed dat u uw werknemers vertrouwt, maar zorg dat de schade beperkt blijft als het account van een werknemer gehackt wordt.

Zorg dat u meer dan één systeembeheerder hebt. Zorg ervoor dat systeembeheerders de schade kunnen beperken die ontstaat als een van deze superusers wordt gecompromitteerd. Blijf op de hoogte van de recentste bedreigingen en gebeurtenissen.

Het verwijderen van beheerprivileges is slechts een eerste stap op weg naar een betere beveiliging, maar het is wel een heel belangrijke stap. Als u snel in actie komt en een coherent, intern beleid ontwikkelt voor de escalatie van beheerrechten, bent u in elk geval op de goede weg.

Dit blog is geschreven in samenwerking met Miriam Cihodariu, communication and PR Officer van Heimdal Security.

 

Gerelateerde onderwerpen

Telefoonnummer gekopieerd naar klembord