Brian, voor de niet-ingewijden, wat zijn precies 'admin rights' en privilege management?

Voor de meeste doeleinden kunnen beheerdersrechten losjes worden gedefinieerd als de reeks rechten die is verleend aan een rootgebruiker (Linux, Unix, Mac OS X) of een beheerdersaccount (Windows), in tegenstelling tot standaardgebruikersrechten.

Een van de grootste beveiligingsproblemen in organisaties is dat beheerdersrechten te vaak en om een ​​paar veelvoorkomende redenen worden gegeven: ten eerste willen veel gebruikers controle hebben over hun eigen desktops (die wil wachten tot de IT-afdeling kan instappen dat essentiële stuk applicatiesoftware dat je nodig hebt?). Ten tweede is de perceptie dat het verlagen van de IT-ondersteuningskosten (bijvoorbeeld minder telefoontjes naar de IT-helpdesk) de bewijslast voor de gebruiker vermindert, maar de waarheid is eigenlijk precies het tegenovergestelde.

Privilege access of privilege identity management is de naam die wordt gegeven aan het proces van het beheer van die rechten: met andere woorden, wie heeft toegang tot wat. Het doet er toe omdat beheerdersrechten gapende gaten in de beveiliging openen, hoe voorzichtig een bedrijf ook denkt dat het is. Het is één ding om een ​​gelaagde investering in beveiligingssoftware te doen, maar als het Miss Jones in accounts is toegestaan ​​om een ​​stuk software te downloaden dat malware blijkt te bevatten die overal in de organisatie schade aanricht, dan zijn die grote investeringen tevergeefs.

Heeft u enig inzicht in de omvang van het probleem??

Meer dan 70% van de bekende kwetsbaarheden in Windows 7 vereisen dat beheerdersrechten worden misbruikt. In een onderzoek door BeyondTrust eind 2013 werd ontdekt dat 44% van de respondenten wist dat er gebruikers in hun bedrijf waren met buitensporig accountprivilege, dat 65% zo soort controle had geïmplementeerd voor dit privilege en 54% wist dat hun gebruikers konden omzeilen die controles.

Forrester meldde een paar jaar geleden dat ongeveer 43% van de gegevensinbreuken afkomstig zijn van interne bronnen. In een rapport van Verizon staat dat in 2011 98% van de gegevensinbreuken afkomstig waren van externe agenten, maar gaat verder met de suggestie dat die aanvallen succesvol waren omdat ze gedeeltelijk werden ingeschakeld door menselijke fouten of onwetendheid. In 2012 was dit slechts 6% tot 92% gedaald. Kortom, zolang er gebruikers zijn met buitensporig privilege, laten bedrijven de deur wagenwijd open om dit elke dag te laten gebeuren.

Natuurlijk zullen die cijfers variëren, maar ik zou beweren dat we niet veel verbetering hebben gezien. Er zijn enkele vrij spraakmakende voorbeelden geweest van waar beheerdersrechten of buitensporig privileges gegevens hebben laten lekken of beveiliging is geschonden, waarbij Target een van de meest recente voorbeelden is.

Kun je enkele voorbeelden geven van wat er eigenlijk mis gaat?

Een hacker die toegang krijgt tot een bedrijfsnetwerk moet heel gelukkig zijn om zichzelf te zien met toegang tot een systeem met gevoelige of waardevolle gegevens als hun eerste toegangspunt. De meeste exploits vinden plaats op een systeem met een lagere beveiliging, meestal omdat het geen gevoelige gegevens bevat. Eenmaal op dat systeem moet de hacker een geprivilegieerd account vinden om hen in staat te stellen laterale bewegingen door het systeem te maken totdat ze een aantal nuttige gegevens vinden.

Zodra ze dat geprivilegieerde account hebben, hacken ze niet meer: ​​ze beginnen zich als een interne medewerker te gedragen. Dus ze zijn binnen de organisatie en gedragen zich als - en worden behandeld als - iemand anders met dat niveau van beheerdersrechten. Het lijkt een beetje op het toestaan ​​van een gast in de foyer van het bedrijf, geen last van een beveiligingspas en terwijl je daarmee bezig bent, ze een set sleutels geven voor alle deuren, bureaus en archiefkasten in het gebouw. Dit alles kan voortkomen uit een simpele onschadelijke actie, zoals het downloaden van een ongeautoriseerde applicatie die malware binnenhaalt en de aanvaller een weg naar de organisatie biedt.

En natuurlijk mogen we niet vergeten dat de 'insider-dreiging' niet alleen is bedoeld om externe aanvallers toe te staan ​​interne gebruikers te imiteren: in sommige gevallen hebben werknemers misbruik gemaakt van hun privilege om gevoelige en vertrouwelijke informatie te openen of te verspreiden..