Bestrijden van Onopvallende Beveiligingsdreigingen van het Thuiswerken

In de lente van 2020 werden de meeste overheden en bedrijven over de hele wereld gedwongen om veel werknemers snel over te zetten naar thuiswerk. Hierdoor werden de ontwerpkwesties van een nieuw informatieveiligheidssysteem uitgesteld. In plaats daarvan namen organisaties de meest relevante beschermingsmaatregelen die op dat moment beschikbaar waren, bijvoorbeeld firewalls, VPNs en multi-factor authenticatie.

Vanwege de haast bij het opzetten van het thuiswerken en beperkte budgetten, werden veel dringende beveiligingsdreigingen genegeerd. Na verloop van tijd is het systeem voor informatiebescherming en de documentaire basis verfijnd om rekening te houden met het grotere aantal daadwerkelijke bedreigingen. Echter, aanvallers blijven mazen vinden en gebruiken om schade toe te brengen.

Bedreigingen voor gebruikersaccounts

· Onderscheppen van ingevoerde inloggegevens

Een van de maatregelen om informatie te beschermen bij het organiseren van thuiswerk wanneer werknemers persoonlijke apparaten gebruiken, is de virtualisatie van werkplekken en het verplaatsen van applicaties naar een terminalserver, gevolgd door volledige isolatie van de omgeving.

Inderdaad, als er malware wordt geïnstalleerd op de computer van een werknemer, zal dit de werkomgeving of bedrijfsapplicaties niet beïnvloeden.

Echter, zelfs als alternatieve authenticatie wordt gebruikt voor de externe verbinding, als u verbinding maakt met een gevirtualiseerde werkplek (VDI) en een terminalapplicatie (bijvoorbeeld via RemoteApp), is er een grote kans dat de applicatie autorisatie zal vereisen met behulp van een gebruikersnaam en wachtwoord. In dit geval kan de malware toetsaanslagen onderscheppen, de juiste login-wachtwoordcombinatie identificeren en uiteindelijk zal een aanvaller toegang kunnen krijgen tot vertrouwelijke gegevens.

Om deze dreiging te verminderen, wordt aanbevolen om Single Sign-On (SSO) oplossingen te gebruiken in combinatie met oplossingen voor alternatieve authenticatie. De SSO-oplossing moet geïnstalleerd worden op kantoorwerkstations waarmee de werknemer via VDI of op een terminalserver verbindt. Verder, om authenticatie in bedrijfsapplicaties te bevestigen, zal het systeem een alternatieve authenticatiefactor vereisen, waarna SSO zelfstandig de benodigde inloggegevens zal verstrekken. Zo kunnen, zelfs als er een keylogger op een werkstation van een werknemer staat, ingevoerde logins en wachtwoorden niet onderschept worden.

· Het klonen van de eenmalige wachtwoordgenerator

Het spreekt voor zich dat sterke (multi-factor) authenticatiemethoden de weerstand tegen bedreigingen aanzienlijk verhogen bij het op afstand werken. Echter, alle authenticatietechnologieën hebben aanzienlijke verschillen wat betreft zowel toepasbaarheid als beveiliging.

De populaire multi-factor authenticatiemethoden van vandaag, die gebruikmaken van eenmalige codes gegenereerd op het apparaat of verzonden in messengers, hebben aanzienlijke kwetsbaarheden. Als een aanvaller continu toegang krijgt tot een smartphone, kan hij proberen verhoogde privileges op een smartphone te verkrijgen (jailbreaking voor iOS-apparaten, root voor Android.) En als een aanvaller slaagt, zal hij in staat zijn de sleutels van de eenmalige wachtwoordgenerator te klonen en het zo te configureren dat codes naar zijn eigen apparaat worden verzonden.

Om dit risico te beperken, wordt aanbevolen om eenmalige wachtwoorden te verlaten en push-authenticatie te gebruiken, die expliciet aan het apparaat is gekoppeld en niet zal werken op het apparaat van de aanvaller.

Bedreigingen voor de beschikbaarheid van bedrijfsmiddelen

· Op afstand vergrendelen van gebruikersaccounts

Vaak zijn webservices beschikbaar via het internet. Bijvoorbeeld, webmail kan gebruikt worden om toegang te krijgen tot bedrijfsmiddelen.

Soms is de naam van de mailbox hetzelfde als de naam van het domeinaccount. Hackers kunnen proberen het wachtwoord te raden door een brute-force aanval uit te voeren. Om deze dreiging te neutraliseren, zou accountvergrendeling ingeschakeld moeten worden na meerdere onsuccesvolle wachtwoordpogingen.

Een aanvaller kan echter wachtwoorden kraken om doelbewust een domeinaccount te blokkeren. Zo’n aanval kan sommige bedrijfsprocessen verlammen.

Om deze dreiging gedeeltelijk te neutraliseren, kunt u een gespecialiseerde oplossing voor tweefactorauthenticatie (2FA) gebruiken, bijvoorbeeld eenmalige wachtwoorden. In dit geval zal, zelfs als er een brute-force poging wordt ondernomen, de tweede authenticator, en niet het account, worden geblokkeerd. Zo behoudt de medewerker de mogelijkheid om toegang te krijgen tot bedrijfsmiddelen, zij het alleen via een alternatieve verbinding of bij lokaal werken.

· Verlies of defect van een medium dat beveiligingssleutels opslaat

Bij het uitvoeren van werkzaamheden kunnen thuiswerkers digitale certificaten gebruiken om documenten te ondertekenen, verbinding te maken met webdiensten van derden, of voor andere taken. Tegelijkertijd, in het geval van verlies of defect van het apparaat (bijvoorbeeld de USB-stick waarop de sleutels zijn opgeslagen), ontstaat het probleem van snelle vervanging. Vaak kan dit niet binnen een redelijke termijn worden uitgevoerd, vooral als de werknemer ver van het kantoor gevestigd is.

Om de dreiging te neutraliseren, kunt u gespecialiseerde oplossingen gebruiken die een virtuele slimme kaart implementeren die geen sleutelinformatie op een verwijderbaar apparaat bewaart.

In dit geval zal de opslag van de sleutel op de volgende manieren worden uitgevoerd:

1) Aan de serverzijde worden alle bewerkingen met sleutels op de server uitgevoerd.

2) Een gespecialiseerd onderdeel in het apparaat – Trusted Platform Module.

Dergelijke oplossingen worden als minder veilig beschouwd dan verwijderbare beveiligde media, maar deze oplossingen zijn het meest flexibel en geschikt voor de beschreven noodsituatie.

Nadat de sleutel is vervangen, kan de virtuele smartcard worden uitgeschakeld. Zo zal er, zelfs als de sleuteldrager verloren of kapot gaat, geen onderbreking zijn in de bedrijfsprocessen van het bedrijf.

Bedreigingen van niet-toewijzing van de acties die tot het incident hebben geleid

· Geschillen in het geval van een kritieke bronstoring

Wanneer bevoorrechte gebruikers met IT-bronnen werken, is er altijd een risico op menselijke fouten. Hun acties zelf kunnen leiden tot het falen van een kritieke bron.

Zelfs wanneer men direct op locatie van een organisatie werkt, kan het lastig zijn om uit te vogelen wat er gebeurd is en wie verantwoordelijk is voor de mislukking. In het geval van externe toegang wordt deze situatie nog gecompliceerder. Het onderzoeken van dergelijke incidenten heeft niet alleen een negatieve invloed op de werkomgeving wanneer er pogingen zijn om de onschuldige partij de schuld te geven, maar verspilt ook veel tijd aan onproductieve acties.

Het gebruik van SIEM-oplossingen zal je waarschijnlijk in staat stellen om te achterhalen wie er verbinding heeft gemaakt met de bron, maar het is onwaarschijnlijk dat nauwkeurig kan worden bepaald wie verantwoordelijk is in het geval van meerdere gelijktijdige verbindingen. En de reeks acties die tot de storing heeft geleid, is ook moeilijk vast te stellen.

Echter, bij het gebruik van Privileged Access Management (PAM) oplossingen, kunnen alle verbindingen van bevoorrechte gebruikers in verschillende formaten worden opgenomen (video, tekst, schermafbeeldingen, toetsaanslagen, overgedragen bestanden, enz.) Later, met behulp van deze logs, kun je snel bepalen welke reeks acties heeft geleid tot de storing en de persoon identificeren die verantwoordelijk is voor het incident.

· Een poging om verantwoordelijkheid te ontlopen

Er zijn situaties waarin een kwaadwillende insider werkzaam is in een bedrijf. Hij kan doelbewust bepaalde acties uitvoeren die kunnen leiden tot een storing of onderbreking van een kritieke bron. Op zichzelf is de taak om de verantwoordelijke partij te identificeren niet eenvoudig; echter, door gebruik te maken van PAM-oplossingen, kun je snel de schuldige vinden.

Wanneer betrapt kan een werknemer zeggen dat zijn wachtwoord gestolen is. Het is geen geheim dat wachtwoordauthenticatie zeer kwetsbaar is voor verschillende bedreigingen, en het feit van onthulling wordt vaak pas na het incident onthuld.

Uiteraard kunnen beveiligingsmedewerkers in zo’n situatie denken dat de werknemer onschuldig is en dat wat er gebeurd is slechts een ongelukkig toeval is.

Om deze dreiging te neutraliseren, wordt aanbevolen om 2FA te gebruiken in combinatie met de PAM-oplossing. Als de medewerker inderdaad een kwaadwillende insider is, zal het voor hem moeilijk zijn om de verantwoordelijkheid te ontlopen. Mocht een medewerker desondanks beweren dat niet alleen zijn wachtwoord, maar ook zijn telefoon gestolen is, waarop een generator voor eenmalige wachtwoorden is geïnstalleerd, dan zal hem een logische vraag gesteld worden: “Waarom heb je de beveiligingsdienst hier niet onmiddellijk over geïnformeerd?”

Conclusie

Gezien de extra bedreigingen die ontstaan bij het op afstand werken, is het noodzakelijk om in gedachten te houden dat bedreigingen op het gebied van informatiebeveiliging zich ontwikkelen met de vooruitgang van IT-technologieën. Aanvallers passen zich aan en zijn altijd op zoek naar nieuwe manieren om meer geld te verdienen. Totdat de verdedigingssystemen volledig zijn herbouwd voor nieuwe realiteiten, kunnen cybercriminelen gebruikmaken van uw oude en nieuwe zwakheden voor hun eigen doeleinden.

Vandaag de dag is de vorm van thuiswerken stevig in ons leven geïntegreerd en wordt het zelfs op staatsniveau gereguleerd in sommige landen. Daarom moeten informatiebeveiligingsspecialisten zorgvuldig en zonder haast overwegen in hoeverre de bestaande beveiligingssystemen klaar zijn om moderne cyberuitdagingen te weerstaan. We hebben zelfs moeten beginnen met het bekijken van dingen waarvan we nooit dachten dat we ze zouden moeten overwegen, zoals de beveiligingsrisico’s van uit eten gaan.