ICS-CERT: Gedeelde accounts probleem voor vitale infrastructuur
Gedeelde en groepsaccounts zijn een groeiend probleem voor de vitale infrastructuur, zo waarschuwt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid. Het ICS-CERT analyseert elk jaar wat de meestvoorkomende problemen in de vitale infrastructuur zijn. Al vier jaar op rij gaat het om "Boundary Protection", waarbij ongeautoriseerde activiteiten in vitale systemen niet worden gedetecteerd.
Ook zwakkere grenzen tussen bedrijfsnetwerken en industriële systemen vallen hieronder. Het tweede probleem dat het ICS-CERT geregeld tegenkomt betreft identificatie en authenticatie van gebruikers. Zo is er een gebrek aan verantwoording en traceerbaarheid van de acties van een gebruiker wanneer zijn account is gecompromitteerd. "Een groeiend probleem dat bij veel assessments wordt gevonden is het gebruik van gedeelde en groepsaccounts", stelt het ICS-CERT verder (pdf).
Dergelijke accounts maken het lastiger om de gebruiker in kwestie te identificeren en zorgen ervoor dat kwaadwillenden het account met anonimiteit kunnen gebruiken. Ook laat het ICS-CERT weten dat accounts die door een groep gebruikers worden gedeeld over het algemeen zwakkere wachtwoorden hebben die aanvallers eenvoudig kunnen raden en niet geregeld worden veranderd als een lid van de groep vertrekt. Een ander probleem waar de overheidsinstantie voor waarschuwt is een tekort aan personeel om vitale systemen te beveiligen.
> "een gebrek aan verantwoording en traceerbaarheid"
......
Het IAM beheer en HR zijn daarop niet berekend zij kennen enkel natuurlijke personen.
Omdat een en ander toch moet werken en de leverancier het best wel zal weten komen er almachtige groepsaccounts omdat het dan het doet. Pak dat probleem bij de bron aan en je krijgt een ander verhaal. Dan moeten de OS nerds wel willen meewerken.
Het IAM beheer en HR zijn daarop niet berekend zij kennen enkel natuurlijke personen.
Omdat een en ander toch moet werken en de leverancier het best wel zal weten komen er almachtige groepsaccounts omdat het dan het doet. Pak dat probleem bij de bron aan en je krijgt een ander verhaal. Dan moeten de OS nerds wel willen meewerken.
IAM beheer kent bijna overal Personal accounts en Non Personal accounts, en zelfs die in verschillende varianten. Ik weet niet waar je werkt, maar blijkbaar niet bij een grotere organisatie. In grote organisaties wordt zelfs ge-eist dat NPA's uit een kluis zoals cyberark komen, maar dat zie je vooral bij financials waar geld in dit opzicht een wat minder grote/ andere rol speelt.
Ook in de SCADA wereld (food) wordt echt wel gebruikt gemaakt van scheiding, ze zijn niet dom.
Je beseft je dat het hier bovenal gaat om commerciele bedrijven, die verantwoordelijk zijn voor vitale infrastructuur, en hun werknemers ? Het gaat hier om commentaar, vanuit de overheidsinstantie ICS-CERT, over de wijze waarop men binnen deze bedrijven met de IT veiligheid om gaat.
IAM beheer kent bijna overal Personal accounts en Non Personal accounts, en zelfs die in verschillende varianten. Ik weet niet waar je werkt, maar blijkbaar niet bij een grotere organisatie. In grote organisaties wordt zelfs ge-eist dat NPA's uit een kluis zoals cyberark komen, maar dat zie je vooral bij financials waar geld in dit opzicht een wat minder grote/ andere rol speelt.
....
Ook in de SCADA wereld (food) wordt echt wel gebruikt gemaakt van scheiding, ze zijn niet dom.
Het probleem is dat dat niet in het klassieke cobol mainframe straatje past voor de vinkenlijst. Als je aangeeft dat de NPA's uit een kluis moeten komen, ja dat herken ik. Kijk even bij het draadje "cyber security bubble", de overheid geeft zelf aan dat het nog niet gebeurt, ze gaan er nu in de lijn wat mee doen.
Heb je Npa's nodig dan blijkt dan in de omgeving waar het om gaat niet werkbaar te zijn of er worden gewoon shared accounts met hard coded settings op advies van leveranciers gebruikt. Bedenk dat bij een data architectuur als EWH de security GDPR gewoonlijk ontbreekt. Dan zie je dat het wel voor Database DBA wat gebeurt maar niet voor de toepassingen. Er is een groot verschil tussen de bewering en de werkelijkheid. Waar loop jij rond? Bij het IM en op verdere afstand kent men de werkelijkheid niet.
IAM beheer kent bijna overal Personal accounts en Non Personal accounts, en zelfs die in verschillende varianten. Ik weet niet waar je werkt, maar blijkbaar niet bij een grotere organisatie. In grote organisaties wordt zelfs ge-eist dat NPA's uit een kluis zoals cyberark komen, maar dat zie je vooral bij financials waar geld in dit opzicht een wat minder grote/ andere rol speelt.
....
Ook in de SCADA wereld (food) wordt echt wel gebruikt gemaakt van scheiding, ze zijn niet dom.
En dan weet je niet waar je over praat Ik werk onder andere bij de financials, en *allemaal* hebben ze het.
Het probleem is dat dat niet in het klassieke cobol mainframe straatje past voor de vinkenlijst.
Domme, nietszeggende opmerking. Denk je nu echt dat de DWH;s nog op Cobol draaien? Denk je nu echt dat de DWH's nog op mainframes draaien? Wanneer is de laatste keer dat je daar hebt gekeken? 20 jaar geleden? 30 jaar geleden?
Als je aangeeft dat de NPA's uit een kluis moeten komen, ja dat herken ik. Kijk even bij het draadje "cyber security bubble", de overheid geeft zelf aan dat het nog niet gebeurt, ze gaan er nu in de lijn wat mee doen.
Heb je Npa's nodig dan blijkt dan in de omgeving waar het om gaat niet werkbaar te zijn of er worden gewoon shared accounts met hard coded settings op advies van leveranciers gebruikt.
Je geeft nogmaals aan de financiële wereld niet te kennen. Zeker bij SOx gerelateerde bedrijven is dat echt wel op orde.
Bedenk dat bij een data architectuur als EWH de security GDPR gewoonlijk ontbreekt. Dan zie je dat het wel voor Database DBA wat gebeurt maar niet voor de toepassingen. Er is een groot verschil tussen de bewering en de werkelijkheid. Waar loop jij rond? Bij het IM en op verdere afstand kent men de werkelijkheid niet.
Je hebt werkelijk waar geen idee waar je het over hebt. RBAC of rule based access control voor de gebruikers en applicaties *moet* aanwezig zijn, en is dat dan ook. DNB en ECB zien daar bij de financials op toe. Net als SOx gecontroleerde financials, die moeten helemaal hun zaakjes op orde hebben anders krijgen ze de goedkeuring simpelweg niet. Comply or explain, en geloof me, de explain moet echt heel erg goed zijn om er mee weg te komen.
Als jij alleen bij Microsoft georiënteerde bedrijven komt (en dat zijn echt alleen de kleintjes) dan zou kunnen wat je roept, maar dat zijn niet de financials.
In de SCADA wereld is een en ander inderdaad lastiger, maar in Nederland is het over het algemeen wel goed geregeld. De bedrijven die ik zijdelings zie (en dat zijn er ook best veel) hebben het allemaal gewoon geregeld. Ze moeten wel willen ze ongestoord kunnen produceren...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
