ICS-CERT: Gedeelde accounts probleem voor vitale infrastructuur
Gedeelde en groepsaccounts zijn een groeiend probleem voor de vitale infrastructuur, zo waarschuwt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid. Het ICS-CERT analyseert elk jaar wat de meestvoorkomende problemen in de vitale infrastructuur zijn. Al vier jaar op rij gaat het om "Boundary Protection", waarbij ongeautoriseerde activiteiten in vitale systemen niet worden gedetecteerd.
Ook zwakkere grenzen tussen bedrijfsnetwerken en industriële systemen vallen hieronder. Het tweede probleem dat het ICS-CERT geregeld tegenkomt betreft identificatie en authenticatie van gebruikers. Zo is er een gebrek aan verantwoording en traceerbaarheid van de acties van een gebruiker wanneer zijn account is gecompromitteerd. "Een groeiend probleem dat bij veel assessments wordt gevonden is het gebruik van gedeelde en groepsaccounts", stelt het ICS-CERT verder (pdf).
Dergelijke accounts maken het lastiger om de gebruiker in kwestie te identificeren en zorgen ervoor dat kwaadwillenden het account met anonimiteit kunnen gebruiken. Ook laat het ICS-CERT weten dat accounts die door een groep gebruikers worden gedeeld over het algemeen zwakkere wachtwoorden hebben die aanvallers eenvoudig kunnen raden en niet geregeld worden veranderd als een lid van de groep vertrekt. Een ander probleem waar de overheidsinstantie voor waarschuwt is een tekort aan personeel om vitale systemen te beveiligen.
> "een gebrek aan verantwoording en traceerbaarheid"
......
Het IAM beheer en HR zijn daarop niet berekend zij kennen enkel natuurlijke personen.
Omdat een en ander toch moet werken en de leverancier het best wel zal weten komen er almachtige groepsaccounts omdat het dan het doet. Pak dat probleem bij de bron aan en je krijgt een ander verhaal. Dan moeten de OS nerds wel willen meewerken.
Het IAM beheer en HR zijn daarop niet berekend zij kennen enkel natuurlijke personen.
Omdat een en ander toch moet werken en de leverancier het best wel zal weten komen er almachtige groepsaccounts omdat het dan het doet. Pak dat probleem bij de bron aan en je krijgt een ander verhaal. Dan moeten de OS nerds wel willen meewerken.
IAM beheer kent bijna overal Personal accounts en Non Personal accounts, en zelfs die in verschillende varianten. Ik weet niet waar je werkt, maar blijkbaar niet bij een grotere organisatie. In grote organisaties wordt zelfs ge-eist dat NPA's uit een kluis zoals cyberark komen, maar dat zie je vooral bij financials waar geld in dit opzicht een wat minder grote/ andere rol speelt.
Ook in de SCADA wereld (food) wordt echt wel gebruikt gemaakt van scheiding, ze zijn niet dom.
Je beseft je dat het hier bovenal gaat om commerciele bedrijven, die verantwoordelijk zijn voor vitale infrastructuur, en hun werknemers ? Het gaat hier om commentaar, vanuit de overheidsinstantie ICS-CERT, over de wijze waarop men binnen deze bedrijven met de IT veiligheid om gaat.
IAM beheer kent bijna overal Personal accounts en Non Personal accounts, en zelfs die in verschillende varianten. Ik weet niet waar je werkt, maar blijkbaar niet bij een grotere organisatie. In grote organisaties wordt zelfs ge-eist dat NPA's uit een kluis zoals cyberark komen, maar dat zie je vooral bij financials waar geld in dit opzicht een wat minder grote/ andere rol speelt.
....
Ook in de SCADA wereld (food) wordt echt wel gebruikt gemaakt van scheiding, ze zijn niet dom.
Het probleem is dat dat niet in het klassieke cobol mainframe straatje past voor de vinkenlijst. Als je aangeeft dat de NPA's uit een kluis moeten komen, ja dat herken ik. Kijk even bij het draadje "cyber security bubble", de overheid geeft zelf aan dat het nog niet gebeurt, ze gaan er nu in de lijn wat mee doen.
Heb je Npa's nodig dan blijkt dan in de omgeving waar het om gaat niet werkbaar te zijn of er worden gewoon shared accounts met hard coded settings op advies van leveranciers gebruikt. Bedenk dat bij een data architectuur als EWH de security GDPR gewoonlijk ontbreekt. Dan zie je dat het wel voor Database DBA wat gebeurt maar niet voor de toepassingen. Er is een groot verschil tussen de bewering en de werkelijkheid. Waar loop jij rond? Bij het IM en op verdere afstand kent men de werkelijkheid niet.
IAM beheer kent bijna overal Personal accounts en Non Personal accounts, en zelfs die in verschillende varianten. Ik weet niet waar je werkt, maar blijkbaar niet bij een grotere organisatie. In grote organisaties wordt zelfs ge-eist dat NPA's uit een kluis zoals cyberark komen, maar dat zie je vooral bij financials waar geld in dit opzicht een wat minder grote/ andere rol speelt.
....
Ook in de SCADA wereld (food) wordt echt wel gebruikt gemaakt van scheiding, ze zijn niet dom.
En dan weet je niet waar je over praat Ik werk onder andere bij de financials, en *allemaal* hebben ze het.
Het probleem is dat dat niet in het klassieke cobol mainframe straatje past voor de vinkenlijst.
Domme, nietszeggende opmerking. Denk je nu echt dat de DWH;s nog op Cobol draaien? Denk je nu echt dat de DWH's nog op mainframes draaien? Wanneer is de laatste keer dat je daar hebt gekeken? 20 jaar geleden? 30 jaar geleden?
Als je aangeeft dat de NPA's uit een kluis moeten komen, ja dat herken ik. Kijk even bij het draadje "cyber security bubble", de overheid geeft zelf aan dat het nog niet gebeurt, ze gaan er nu in de lijn wat mee doen.
Heb je Npa's nodig dan blijkt dan in de omgeving waar het om gaat niet werkbaar te zijn of er worden gewoon shared accounts met hard coded settings op advies van leveranciers gebruikt.
Je geeft nogmaals aan de financiële wereld niet te kennen. Zeker bij SOx gerelateerde bedrijven is dat echt wel op orde.
Bedenk dat bij een data architectuur als EWH de security GDPR gewoonlijk ontbreekt. Dan zie je dat het wel voor Database DBA wat gebeurt maar niet voor de toepassingen. Er is een groot verschil tussen de bewering en de werkelijkheid. Waar loop jij rond? Bij het IM en op verdere afstand kent men de werkelijkheid niet.
Je hebt werkelijk waar geen idee waar je het over hebt. RBAC of rule based access control voor de gebruikers en applicaties *moet* aanwezig zijn, en is dat dan ook. DNB en ECB zien daar bij de financials op toe. Net als SOx gecontroleerde financials, die moeten helemaal hun zaakjes op orde hebben anders krijgen ze de goedkeuring simpelweg niet. Comply or explain, en geloof me, de explain moet echt heel erg goed zijn om er mee weg te komen.
Als jij alleen bij Microsoft georiënteerde bedrijven komt (en dat zijn echt alleen de kleintjes) dan zou kunnen wat je roept, maar dat zijn niet de financials.
In de SCADA wereld is een en ander inderdaad lastiger, maar in Nederland is het over het algemeen wel goed geregeld. De bedrijven die ik zijdelings zie (en dat zijn er ook best veel) hebben het allemaal gewoon geregeld. Ze moeten wel willen ze ongestoord kunnen produceren...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.