}

Hoe Identity Management ethisch hacken overbodig maakt

Ethisch hacken is hip. Ook in Nederland richten her en der bedrijven zich op die zich toeleggen op het vinden van beveiligingslekken in systemen en de netwerkinfrastructuur van organisaties. Waar komen deze beveiligingslekken vandaan en is het niet beter om deze lekken proactief tegen te gaan?

Hacken bestaat er in veel vormen. Vaak is het doel van hacken om schade aan te richten, maar voor het zogenaamde ethisch hacken geldt dat niet. Het doel van ethisch hacken is om de kans op schade te beperken en het heeft dus een IT security karakter.

Instroom tot uitstroom

Uit de diverse praktijkvoorbeelden die ik tegenkom, blijkt dat de meeste beveiligingsfouten ontstaan in het user life cycle proces van een medewerker. De user lifecycle omvat alle stappen die een user account van een medewerker in de organisatie doorloopt, bijvoorbeeld instroom, doorstroom en uitstroom. Iedere stap heeft consequenties voor de autorisaties die een medewerker heeft. Maar de grootste consequenties en grootste kans op fouten ontstaan bij transfers, ofwel wanneer medewerkers wijzigen van functie of locatie.

Opstapeling van rechten

Wanneer een medewerker in dienst treedt, wordt een netwerkaccount voor de medewerker gemaakt en autorisaties toegewezen aan het account. Vaak worden dezelfde rechten gegeven als een medewerker in een soortgelijke functie, de zogenaamde voorbeeldgebruiker. Bij het kopiëren van de rechten van een voorbeeldgebruiker kan zijn dat de nieuwe medewerker te veel rechten krijgt.

Dit geeft echter geen problemen omdat de nieuwe medewerker vaak niet weet dat hij die 'extra' onnodige rechten bezit. Waar het mis gaat, is als een medewerker naar een andere afdeling of locatie verhuist of een andere functie krijgen. Nieuwe benodigde rechten worden dan toegevoegd, maar oude rechten worden niet ontnomen. Daardoor ontstaat een opstapeling van rechten.

Identity Management

Die opstapeling van rechten is vaak onzichtbaar voor de organisatie. Niemand heeft volledige inzage over welke autorisaties een medewerker heeft voor en ook na een transfer. Voor de organisatie is het ook niet van belang, zij willen enkel dat een medewerker productief is.

De IT-afdeling weet uit ervaring wel ongeveer wie welke rechten (nodig) heeft, maar door drukte voegen zij enkel rechten toe en nemen zij geen rechten af. De organisatie zou een andere houding aan moeten nemen en veel beter in controle moeten zijn over welke autorisaties medewerkers hebben en wat ze zouden moeten hebben om hun werk te kunnen doen. Daardoor is de kans op beveiligingsfouten kleiner. Een Identity Management oplossing kan hierin faciliteren.

RBAC

Een manier om de kans op beveiligingsfouten te beperken is door de inzet van Role Based Access Control (RBAC), een onderdeel van Identity Management. Bij RBAC krijgen medewerkers autorisaties toegewezen op basis van de functie en rol die een medewerker vervult in de organisaties. Door de inzet van RBAC wordt voorkomen dat iemand iets te veel of te lang mag in het netwerk. Een medewerker kan alleen schade aanrichten binnen de rol die hij vervult en niet daarbuiten.
Schade beperken

Als er, ondanks alle maatregelen, toch schade aangericht wordt, kan een Identity Manager ook helpen de schade zo veel mogelijk te beperken. Middels een self-service portal kunnen managers de mogelijkheid krijgen om per direct autorisaties van medewerkers te ontnemen, bijvoorbeeld wanneer een medewerker op staande voet wordt ontslagen.

Met ethisch hacken kunnen beveiligingsgaten worden opgespoord. Een Identity Manager kan helpen proactief beveiligingsfouten te voorkomen en eventueel de schade zo veel mogelijk te beperken.

SAP koppeling met Active Directory

Bij 1 van grootste ziekenhuizen van Nederland heb ik recentelijk een SAP koppeling naar Active Directory opgeleverd met behulp van UMRA van Tools4ever. Het scenario is dat SAP elke x minuten een feed aanleverde in CSV formaat met alle wijzigingen, die vervolgens in Active Directory verwerkt moeten worden. Met behulp van specifieke codes voor bepaalde mutaties (instroom, doorstroom, uitstroom) weet de UMRA engine welke business logica uitgevoerd moet worden.

Lees meer

User- en toegangsbeheer in cloud applicaties: een uitdaging

Cloud applicaties als Google Apps, Salesforce.com, GoToMeeting, Office 365, itslearning, AFAS Online en RAET Online worden steeds meer ingezet in het bedrijfsleven. Bij cloud applicaties is het lastiger om exact te weten wie toegang heeft tot welke applicaties en data. Leveranciers van cloud oplossingen geven helaas weinig prioriteit aan het ontwikkelen van beter beheer van user accounts en toegangsrechten in hun applicaties.

Lees meer

De vooroordelen van Single Sign On

Veel IT managers en Security Officers zijn terughoudend als het gaat om het implementeren van een Single Sign On (SSO) oplossing, hoewel de voordelen van SSO duidelijk zijn. Namelijk onder andere gebruikersgemak voor de eindgebruiker en minder wachtwoord reset calls naar de helpdesk. De terughoudendheid ten aanzien van SSO wordt in de hand gewerkt door een aantal vooroordelen over SSO.

Lees meer

RBAC: sleutelrol, beheer en evolutie

Veel organisaties zijn bezig met RBAC in meer of mindere vorm; verkenning, project, implementatie, vulling of beheer. We zien dat dit gestuurd wordt door normen als NEN7510, waarin voornamelijk staat beschreven dat je moet kunnen aantonen waarom iemand een autorisatie nodig heeft en hoe deze tot stand is gekomen. Inmiddels weten we dat RBAC niet een heilige graal is, maar dat veel implementaties stuk lopen door de te grote scope en complexiteit.

Lees meer

Single Sign On met terminal emulatie (VAX64, AS/400, Linux, SSH)

We zien dat veel organisaties steeds bewuster bezig zijn met security, waarschijnlijk mede ingegeven door regelgeving zoals NEN7510 en ICT-audit trajecten. Naast het autorisatiebeheer binnen applicaties, waar we al verschillende oplossingen voor bieden zijn we ook actief op het authenticatie-vlak, namelijk met een Single Sign On (SSO) oplossing.

Lees meer