Cyber-Ark wil ook zwakste schakel steviger maken

Je kunt alles nog wel zo goed dichttimmeren, beheerders hebben overal toegang toe. Ze moeten immers rechten regelen, reparaties uitvoeren wanneer dat nodig is, en dergelijke. Daarmee vormen ze een zwakke schakel in de beveiliging van gegevens. Kahuna heeft daar samen met Cyber-Ark (en natuurlijk SIEM) een oplossing voor bedacht en legt ook de beheerder onder de loep.

Kahuna heeft in zijn security management framework (Security Information and Event Management, SIEM) Cyber-Ark opgenomen. Want het beheer van identiteiten in een geautomatiseerde oplossing is de hoeksteen van een goede beveiliging van gegevens. Op grond van naam, wachtwoord, eventueel aangevuld met vingerafdruk of tokens, krijgt iemand toegang tot bepaalde applicaties en gegevens. Dit is niet alleen belangrijk om de informatievoorziening binnen een organisatie langs afgesproken paden te laten verlopen, maar ook om achteraf te kunnen vaststellen wie waartoe toegang heeft gehad (en genomen).
Maar wat doe je met de beheerders? De databasebeheerder, de applicatiebeheerder, de netwerkbeheerder. Voor elk aspect in een geautomatiseerde infrastructuur is er wel iemand die ervoor moet zorgen dat alles gladjes verloopt. Dat kan alleen als de beheerder toegang heeft tot het systeem. Tot alle accounts! Hij moet immers in staat zijn als een gebruiker belt met een incident om het probleem dat via de servicedesk op zijn bordje komt op te lossen. Dit probleem ligt in de trant van ‘wie controleert de controleur?’. De beheerder beschikt over een zogenoemd ‘priviliged identity’.

Digitale kluis
Het van oorsprong Israëlische bedrijf Cyber-Ark (sinds 2006 is het hoofdkantoor in de VS gevestigd) heeft hiervoor een oplossing bedacht; een soort digitale kluis. Die safe zit vol met wachtwoorden en bijbehorend identiteitsbeheer; het zorgt voor ‘priviliged identity management’ (PIM).
Een beheerder krijgt alleen toegang tot het systeem via de ‘kluis’. Dat geeft hem een wachtwoord dat hem toegang geeft tot het onderdeel waar hij moet zijn. Volgens Erik de Bueger, directeur Operations bij Kahuna, is het mogelijk het product geheel naar eigen wens in te richten. “Je kunt bijvoorbeeld zorgen dat de ticket voor de beheerder klaar ligt in de ‘kluis’. Hij mag dan alleen doen wat de ticket voorschrijft.”
Maar er is meer: Cyber-Ark maakt van elk scherm dat de beheerder voor zijn neus tovert een snapshot. Alles bij elkaar ontstaat een film van de volledige sessie waarin de beheerder zijn werk heeft uitgevoerd. Heeft de beheerder alleen het beginscherm gezien, of heeft hij gescrold en de inhoud bekeken? Waarom zou hij dat gedaan hebben? Alle handeling worden gelogd, zodat achteraf precies is na te gaan wat de man of vrouw heeft gedaan. Vooral ook handig bij audits en om te bewijzen dat hij iets niet heeft gedaan”, zegt De Bueger.
Patrik Horemans, Account Executive bij Cyber-Ark Software, voegt eraan toe dat recente cyberaanvallen en gegevensverlies vrijwel altijd het gevolg zijn van misbruik van privileged accounts.

Hoge druk
Binnen het SIEM-platform van Kahuna speelt Cyber-Ark een rol. De rapportages worden naadloos verwerkt, zodat inzichtelijk is of de beheerder zich naar behoren gedraagt. Ook andere informatie komt dit platform binnen. Alle gegevens worden aan elkaar gekoppeld, met elkaar vergeleken, zodat uiteindelijk een goed inzicht bestaat in het verkeer op een (extended) bedrijfsnetwerk.
“Als je het niet monitort, dan kan een beheerder bijvoorbeeld een achterdeur-account aanmaken; zeg: ‘demo-account’, en later met dat account van alles gaan uitvoeren, want het speelt zich onder de waterspiegel af, zogezegd. Met onze aanpak wordt meteen duidelijk wie ‘demo-account’ is; er zijn geen goocheltrucs mogelijk”, legt De Bueger uit.
Waarom Kahuna voor Cyber-Ark heeft gekozen? “Er zijn meer leveranciers van dergelijke systemen, maar wij hebben gekozen voor het product met een goede naam en bewezen technologie. Bovendien past het goed binnen onze SIEM. Het product moet betrouwbaar zijn, en altijd beschikbaar. Stel dat je op een bank werkt en er komt een probleem in het netwerk. Dan loopt de druk bij die bank al heel snel op. Er is vaak veel geld mee gemoeid. Dan moet de beheerder snel aan de slag kunnen. Wat als de PIM niet goed werkt, en de troubleshooter niet aan de slag kan, omdat hij geen toegang krijgt tot het systeem? Je kunt dan wel nagaan dat ze bij die bank niet blij zijn. Ook onder hoge druk moet de PIM paraat zijn. Die reputatie heeft Cyber-Ark en in de praktijk maakt het product zich ook waar.”


Elke dag
Beveiliging is een kwestie die elk moment van de dag speelt. En voor alle medewerkers moet gelden, dus ook voor de beheerders. “Het voordeel van de SIEM is dat dit systeem ervoor zorgt dat alle regels die je bijvoorbeeld in Cyber-Ark hebt ingevoerd ook worden nageleefd. De beheerder mag niet rechtstreeks het systeem in. En al zijn gangen worden gecontroleerd. Dat levert veel gegevens op. Vervolgens moet je zorgen voor mensen die dergelijke rapportages weten te duiden. Dit grijpt diep in in de systemen. Dus moet je elke dag wel controleren hoe het ervoor staat.”
De Bueger vergelijkt Cyber-Ark met een ‘dubbel slot op de deur’. En dat is wel nodig; zeker als je nagaat dat bij veel organisaties het beheer in handen is van contractors. Die komen binnen om een bepaalde klus te klaren en soms is het nodig bepaalde accounts te creëren om een probleem op te lossen. Als ze weggaan, zij ze vaak vergeten die accounts met bijbehorend wachtwoord te vernietigen. Regelmatig bestaan dergelijke accounts tot in de digitale eeuwigheid en verandert het wachtwoord nooit. “Als iemand een gerichte aanval uitvoert en zo’n account weet te bemachtigen, dan staan in beginsel alle deuren voor hem open”, zegt De Bueger. “Een slordigheidje van de externe beheerder levert zo een levensgroot risico op. En misschien is het geen slordigheidje……….. Met Cyber-Ark worden wij niet meer verrast.”

Snel handelen
“Bedrijven hebben vaak het beheer van de infrastructuur geoutsourct, maar beheren zelf hun applicaties. Daarvoor hebben ze administratieve privileges nodig. Daarmee berust het beheer in ‘twee handen’. Mocht het mis gaan, dan kun je met Cyber-Ark aantonen wie wat heeft gedaan”, licht Horemans toe.
Als zich onverhoopt een incident voordoet, wil je bovendien zo snel mogelijk kunnen achterhalen wat de oorzaak is geweest. “Deze oplossing geeft meteen inzicht, zodat je ook snel kunt handelen”, besluit De Bueger.

Teus Molenaar