Agility en automatisering hebben averechts effect op beveiliging van privileged accounts

Aanvallers hebben bij de helft van bedrijven vrij spel om een netwerk binnen te komen, elke keer als ze het proberen. Dat geven de organisaties zelf aan in het nieuwste Threat Landscape Report, een jaarlijks security-onderzoek van CyberArk. Investeringen in automatisering en agility vormen bovendien een beveiligingsrisico omdat het zicht op privileged credentials afneemt; een duidelijk nadeel van DevOps, robotic process automation (RPA) en cloud-activiteiten.

Een minderheid van de bedrijven heeft een security-strategie om de risico’s van DevOps, IoT, RPA en andere populaire technologieën en methodes op te vangen. Het biedt aanvallers gelegenheid om via legitieme gebruikersgegevens met verhoogde rechten een IT-omgeving binnen te komen en middels laterale stappen hogerop in het netwerk te komen. 

Bedrijven erkennen dit probleem wel blijkt uit het onderzoek. Ze richten hun security-investeringen steeds meer op de kernpunten van de aanvalsketen, waarbij respondenten aangeven 28 procent van het totale budget de komende twee jaar te investeren in het stoppen van misbruik van privileged gegevens en laterale bewegingen in het netwerk.

Belangrijkste risico’s
Proactieve investeringen zijn van belang om risico’s in te dammen. Zo’n 78 procent noemt hackers als een van de drie grootste gevaren voor cruciale data, gevolgd door georganiseerde misdaad (46 procent), hacktivisten (46 procent) en privileged insiders (41 procent). Daarnaast zijn volgens 60 procent externe aanvallen het grootste security-gevaar voor de organisatie als geheel, gevolgd door ransomware (59 procent) en Shadow IT (45 procent).

De redenen dat deze risico’s bestaan, slaan veelal terug op interne misstappen of onduidelijkheden. Volgens 84 procent van de respondenten is de IT-infrastructuur en cruciale data niet volledig beschermd tenzij privileged accounts, inloggegevens en secrets zijn beschermd. Ondanks deze overtuiging heeft slechts 49 procent daadwerkelijk een security-strategie om bedrijfskritische apps en cloud-infrastructuur te beveiligen, of om DevOps (35 procent) en IoT (32 procent) te beschermen.

Verder begrijpt slechts 21 procent dat privileged accounts, inloggegevens en secrets bestaan in containers, 24 procent weet dat ze bestaan in broncode en 30 procent dat ze voorkomen in privileged applicaties en processen zoals RPA.

Voldoen aan wetgeving
Het onderzoeksrapport gaat ook in op het voldoen aan security-regelgeving. Maar liefst 41 procent van de respondenten geeft aan bereid te zijn een boete te betalen voor non-compliancy, maar zou zelfs na een succesvolle cyberaanval het security-beleid niet aanpassen. Met het oog op de boetes van inmiddels 300 miljoen dollar in totaal die zijn opgelegd vanuit GDPR lijkt deze opstelling van bedrijven niet heel lang meer houdbaar.

Wel is deze trend wereldwijd terug te zien. Minder dan de helft van de Europese bedrijven (46 procent) is volledig voorbereid om een datalek te onderzoeken en te melden binnen de verplichte 72 uur volgens GDPR/AVG. Van de Australische bedrijven geeft 62 procent aan dat ze volledig kunnen voldoen aan de regels vanuit de nieuwe Data Breach Notification Law die in februari in werking trad. In Californië is op dit moment nog maar 37 procent klaar voor de California Consumer Privacy Act die volgend jaar van kracht wordt; 39 procent is hard aan het werk de deadline te halen.