image

ICS-CERT: Gedeelde accounts probleem voor vitale infrastructuur

dinsdag 16 januari 2018, 11:27 door Redactie, 6 reacties

Gedeelde en groepsaccounts zijn een groeiend probleem voor de vitale infrastructuur, zo waarschuwt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid. Het ICS-CERT analyseert elk jaar wat de meestvoorkomende problemen in de vitale infrastructuur zijn. Al vier jaar op rij gaat het om "Boundary Protection", waarbij ongeautoriseerde activiteiten in vitale systemen niet worden gedetecteerd.

Ook zwakkere grenzen tussen bedrijfsnetwerken en industriële systemen vallen hieronder. Het tweede probleem dat het ICS-CERT geregeld tegenkomt betreft identificatie en authenticatie van gebruikers. Zo is er een gebrek aan verantwoording en traceerbaarheid van de acties van een gebruiker wanneer zijn account is gecompromitteerd. "Een groeiend probleem dat bij veel assessments wordt gevonden is het gebruik van gedeelde en groepsaccounts", stelt het ICS-CERT verder (pdf).

Dergelijke accounts maken het lastiger om de gebruiker in kwestie te identificeren en zorgen ervoor dat kwaadwillenden het account met anonimiteit kunnen gebruiken. Ook laat het ICS-CERT weten dat accounts die door een groep gebruikers worden gedeeld over het algemeen zwakkere wachtwoorden hebben die aanvallers eenvoudig kunnen raden en niet geregeld worden veranderd als een lid van de groep vertrekt. Een ander probleem waar de overheidsinstantie voor waarschuwt is een tekort aan personeel om vitale systemen te beveiligen.

Image

Reacties (6)
16-01-2018, 11:54 door Anoniem
> "... van de Amerikaanse overheid"
> "een gebrek aan verantwoording en traceerbaarheid"

......
16-01-2018, 12:15 door karma4
Je hebt meerdere service accounts nodig voor een gedegen data en functie scheiding.
Het IAM beheer en HR zijn daarop niet berekend zij kennen enkel natuurlijke personen.
Omdat een en ander toch moet werken en de leverancier het best wel zal weten komen er almachtige groepsaccounts omdat het dan het doet. Pak dat probleem bij de bron aan en je krijgt een ander verhaal. Dan moeten de OS nerds wel willen meewerken.
16-01-2018, 12:42 door Anoniem
Door karma4: Je hebt meerdere service accounts nodig voor een gedegen data en functie scheiding.
Het IAM beheer en HR zijn daarop niet berekend zij kennen enkel natuurlijke personen.
Omdat een en ander toch moet werken en de leverancier het best wel zal weten komen er almachtige groepsaccounts omdat het dan het doet. Pak dat probleem bij de bron aan en je krijgt een ander verhaal. Dan moeten de OS nerds wel willen meewerken.

IAM beheer kent bijna overal Personal accounts en Non Personal accounts, en zelfs die in verschillende varianten. Ik weet niet waar je werkt, maar blijkbaar niet bij een grotere organisatie. In grote organisaties wordt zelfs ge-eist dat NPA's uit een kluis zoals cyberark komen, maar dat zie je vooral bij financials waar geld in dit opzicht een wat minder grote/ andere rol speelt.

Ook in de SCADA wereld (food) wordt echt wel gebruikt gemaakt van scheiding, ze zijn niet dom.
16-01-2018, 14:22 door Anoniem
> "... van de Amerikaanse overheid" > "een gebrek aan verantwoording en traceerbaarheid"

Je beseft je dat het hier bovenal gaat om commerciele bedrijven, die verantwoordelijk zijn voor vitale infrastructuur, en hun werknemers ? Het gaat hier om commentaar, vanuit de overheidsinstantie ICS-CERT, over de wijze waarop men binnen deze bedrijven met de IT veiligheid om gaat.
16-01-2018, 16:01 door karma4
Door Anoniem:
IAM beheer kent bijna overal Personal accounts en Non Personal accounts, en zelfs die in verschillende varianten. Ik weet niet waar je werkt, maar blijkbaar niet bij een grotere organisatie. In grote organisaties wordt zelfs ge-eist dat NPA's uit een kluis zoals cyberark komen, maar dat zie je vooral bij financials waar geld in dit opzicht een wat minder grote/ andere rol speelt.
....
Ook in de SCADA wereld (food) wordt echt wel gebruikt gemaakt van scheiding, ze zijn niet dom.
Ik heb het over de grootste organisaties werkveld big-data en bi (financcials en meer).
Het probleem is dat dat niet in het klassieke cobol mainframe straatje past voor de vinkenlijst. Als je aangeeft dat de NPA's uit een kluis moeten komen, ja dat herken ik. Kijk even bij het draadje "cyber security bubble", de overheid geeft zelf aan dat het nog niet gebeurt, ze gaan er nu in de lijn wat mee doen.
Heb je Npa's nodig dan blijkt dan in de omgeving waar het om gaat niet werkbaar te zijn of er worden gewoon shared accounts met hard coded settings op advies van leveranciers gebruikt. Bedenk dat bij een data architectuur als EWH de security GDPR gewoonlijk ontbreekt. Dan zie je dat het wel voor Database DBA wat gebeurt maar niet voor de toepassingen. Er is een groot verschil tussen de bewering en de werkelijkheid. Waar loop jij rond? Bij het IM en op verdere afstand kent men de werkelijkheid niet.
16-01-2018, 20:15 door Anoniem
Door karma4:
Door Anoniem:
IAM beheer kent bijna overal Personal accounts en Non Personal accounts, en zelfs die in verschillende varianten. Ik weet niet waar je werkt, maar blijkbaar niet bij een grotere organisatie. In grote organisaties wordt zelfs ge-eist dat NPA's uit een kluis zoals cyberark komen, maar dat zie je vooral bij financials waar geld in dit opzicht een wat minder grote/ andere rol speelt.
....
Ook in de SCADA wereld (food) wordt echt wel gebruikt gemaakt van scheiding, ze zijn niet dom.
Ik heb het over de grootste organisaties werkveld big-data en bi (financcials en meer).

En dan weet je niet waar je over praat Ik werk onder andere bij de financials, en *allemaal* hebben ze het.


Het probleem is dat dat niet in het klassieke cobol mainframe straatje past voor de vinkenlijst.

Domme, nietszeggende opmerking. Denk je nu echt dat de DWH;s nog op Cobol draaien? Denk je nu echt dat de DWH's nog op mainframes draaien? Wanneer is de laatste keer dat je daar hebt gekeken? 20 jaar geleden? 30 jaar geleden?


Als je aangeeft dat de NPA's uit een kluis moeten komen, ja dat herken ik. Kijk even bij het draadje "cyber security bubble", de overheid geeft zelf aan dat het nog niet gebeurt, ze gaan er nu in de lijn wat mee doen.
Heb je Npa's nodig dan blijkt dan in de omgeving waar het om gaat niet werkbaar te zijn of er worden gewoon shared accounts met hard coded settings op advies van leveranciers gebruikt.

Je geeft nogmaals aan de financiële wereld niet te kennen. Zeker bij SOx gerelateerde bedrijven is dat echt wel op orde.


Bedenk dat bij een data architectuur als EWH de security GDPR gewoonlijk ontbreekt. Dan zie je dat het wel voor Database DBA wat gebeurt maar niet voor de toepassingen. Er is een groot verschil tussen de bewering en de werkelijkheid. Waar loop jij rond? Bij het IM en op verdere afstand kent men de werkelijkheid niet.

Je hebt werkelijk waar geen idee waar je het over hebt. RBAC of rule based access control voor de gebruikers en applicaties *moet* aanwezig zijn, en is dat dan ook. DNB en ECB zien daar bij de financials op toe. Net als SOx gecontroleerde financials, die moeten helemaal hun zaakjes op orde hebben anders krijgen ze de goedkeuring simpelweg niet. Comply or explain, en geloof me, de explain moet echt heel erg goed zijn om er mee weg te komen.

Als jij alleen bij Microsoft georiënteerde bedrijven komt (en dat zijn echt alleen de kleintjes) dan zou kunnen wat je roept, maar dat zijn niet de financials.

In de SCADA wereld is een en ander inderdaad lastiger, maar in Nederland is het over het algemeen wel goed geregeld. De bedrijven die ik zijdelings zie (en dat zijn er ook best veel) hebben het allemaal gewoon geregeld. Ze moeten wel willen ze ongestoord kunnen produceren...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.