Ethisch hacken is hip. Ook in Nederland richten her en der bedrijven zich op die zich toeleggen op het vinden van beveiligingslekken in systemen en de netwerkinfrastructuur van organisaties. Waar komen deze beveiligingslekken vandaan en is het niet beter om deze lekken proactief tegen te gaan?

Hacken bestaat er in veel vormen. Vaak is het doel van hacken om schade aan te richten, maar voor het zogenaamde ethisch hacken geldt dat niet. Het doel van ethisch hacken is om de kans op schade te beperken en het heeft dus een IT security karakter.

Instroom tot uitstroom

Uit de diverse praktijkvoorbeelden die ik tegenkom, blijkt dat de meeste beveiligingsfouten ontstaan in het user life cycle proces van een medewerker. De user lifecycle omvat alle stappen die een user account van een medewerker in de organisatie doorloopt, bijvoorbeeld instroom, doorstroom en uitstroom. Iedere stap heeft consequenties voor de autorisaties die een medewerker heeft. Maar de grootste consequenties en grootste kans op fouten ontstaan bij transfers, ofwel wanneer medewerkers wijzigen van functie of locatie.

Opstapeling van rechten

Wanneer een medewerker in dienst treedt, wordt een netwerkaccount voor de medewerker gemaakt en autorisaties toegewezen aan het account. Vaak worden dezelfde rechten gegeven als een medewerker in een soortgelijke functie, de zogenaamde voorbeeldgebruiker. Bij het kopiëren van de rechten van een voorbeeldgebruiker kan zijn dat de nieuwe medewerker te veel rechten krijgt.

Dit geeft echter geen problemen omdat de nieuwe medewerker vaak niet weet dat hij die 'extra' onnodige rechten bezit. Waar het mis gaat, is als een medewerker naar een andere afdeling of locatie verhuist of een andere functie krijgen. Nieuwe benodigde rechten worden dan toegevoegd, maar oude rechten worden niet ontnomen. Daardoor ontstaat een opstapeling van rechten.

Identity Management

Die opstapeling van rechten is vaak onzichtbaar voor de organisatie. Niemand heeft volledige inzage over welke autorisaties een medewerker heeft voor en ook na een transfer. Voor de organisatie is het ook niet van belang, zij willen enkel dat een medewerker productief is.

De IT-afdeling weet uit ervaring wel ongeveer wie welke rechten (nodig) heeft, maar door drukte voegen zij enkel rechten toe en nemen zij geen rechten af. De organisatie zou een andere houding aan moeten nemen en veel beter in controle moeten zijn over welke autorisaties medewerkers hebben en wat ze zouden moeten hebben om hun werk te kunnen doen. Daardoor is de kans op beveiligingsfouten kleiner. Een Identity Management oplossing kan hierin faciliteren.

RBAC

Een manier om de kans op beveiligingsfouten te beperken is door de inzet van Role Based Access Control (RBAC), een onderdeel van Identity Management. Bij RBAC krijgen medewerkers autorisaties toegewezen op basis van de functie en rol die een medewerker vervult in de organisaties. Door de inzet van RBAC wordt voorkomen dat iemand iets te veel of te lang mag in het netwerk. Een medewerker kan alleen schade aanrichten binnen de rol die hij vervult en niet daarbuiten.
Schade beperken

Als er, ondanks alle maatregelen, toch schade aangericht wordt, kan een Identity Manager ook helpen de schade zo veel mogelijk te beperken. Middels een self-service portal kunnen managers de mogelijkheid krijgen om per direct autorisaties van medewerkers te ontnemen, bijvoorbeeld wanneer een medewerker op staande voet wordt ontslagen.

Met ethisch hacken kunnen beveiligingsgaten worden opgespoord. Een Identity Manager kan helpen proactief beveiligingsfouten te voorkomen en eventueel de schade zo veel mogelijk te beperken.