Het onderzoekspanel The CISO View, bestaande uit Chief Information Security Officers (CISO’s) van Global 1000 organisaties, heeft ervaringen met datalekken en best practices ter voorkoming gebundeld in het rapport Rapid Risk Reduction. Het rapport is in samenwerking met CyberArk opgesteld en biedt een 30-dagen actieplan om de beveiliging te verbeteren door zogeheten privileged accounts te beschermen.

The CISO View panel bestaat uit top-executives van onder andere ING Bank, Lockheed Martin, Starbucks, CSX Corporation, Carlson Wagonlit Travel, News UK en McKesson. Het industrie-initiatief is ontstaan uit behoefte om onderzoek uit te voeren en van elkaar te leren. De meest recente rapportage levert nu een concreet stappenplan op waarmee bedrijven in 30 dagen de beveiliging kunnen versterken. De basis van dit plan ligt in het afschermen van privileged accounts, ofwel inloggegevens met meerdere bevoegdheden. In de praktijk blijkt dat misbruik van deze gegevens kenmerkend is voor het overgrote deel van aanvallen. Eenmaal in het bezit van privileged accounts kunnen hackers vaak ongestoord en ongezien het netwerk afstruinen naar kritieke applicaties en gevoelige data.

In het onderzoek zijn gevallen bestudeerd waarbij aanvallers in staat waren de Windows-beheergegevens op domeinniveau te achterhalen door gebruik te maken van bekende kwetsbaarheden in zakelijke IT-omgevingen. Gerrit Lansing, Chief Architect bij CyberArk, en mede-auteur van dit rapport: “Dit CISO View rapport zou verplichte kost moeten zijn voor alle security teams en hun managers die hun organisaties proactief willen beschermen tegen de meest succesvolle aanvalstechnieken. Gebaseerd op de praktijkervaringen en de kennis van de experts is het absoluut mogelijk om in 30 dagen een significante verbetering door te voeren. Samenwerking en transparantie zijn hierin van cruciaal belang.”

30-dagen actieplan
Het onderzoeksrapport definieert de vaak voorkomende aanvalspatronen en de beste manieren om datalekken tegen te gaan. Op basis van deze daadwerkelijke praktijkvoorbeelden is een versneld stappenplan samengesteld om de weg via privileged accounts in Windows-omgevingen af te sluiten. Door verschillende beveiligingsmaatregelen te nemen, zijn binnen 30 dagen concrete resultaten te behalen.

Er zijn drie belangrijke stappen die als eerste moeten worden gezet. Als eerste worden (beheerder)accounts in Windows geïdentificeerd middels Active Directory en lokale Administrator-groepen. Vervolgens wordt in de implementatie van beveiligings- en beheertools voorrang gegeven aan de meest risicovolle accounts. Beheerder-accounts, accounts met toegang tot veel apparaten en applicatie-accounts die domeinbeheer-bevoegdheden hebben, moeten als eerste worden beschermd. Daarnaast moet een realistische afweging worden gemaakt in welke accounts allemaal worden beveiligd in eerste instantie. Accounts van werkstations hoeven bijvoorbeeld geen beheerrechten te hebben, maar dat is lastig op grote schaal door te voeren. Die kan men beter op termijn, stapsgewijs beschermen.

De te nemen maatregelen omvatten onder andere het opnieuw configureren van accounts om taken te scheiden, wachtwoorden van beheerders in een kluis op te bergen en multi-factor authenticatie door te voeren om bij deze gegevens te kunnen, admin-privileges voor eindgebruikers van werkstations verwijderen en tools implementeren om verdacht gedrag te detecteren.

Het rapport en andere onderzoeksgegevens zijn te vinden op www.cyberark.com/cisoview