Onze hosted omgeving is gebaseerd op Microsoft Active Directory. Deze omgeving is multitenant ingericht en voorzien van allerlei beveiligingsmaatregelen zodat klanten veilig van elkaar gescheiden worden. Het is natuurlijk vanzelfsprekend dat dit uitgebreid geaudit en gemonitord wordt. Toch zijn er risico’s en die willen we tot een minimum beperken, daar zoomen we in dit blog kort op in.
Werkplekken blijven altijd een zwak punt in een netwerk, ze worden immers bediend door gebruikers en deze maken wel eens menselijke fouten. Denk hierbij aan een aantrekkelijk mailtje met daarin een zogenaamde ‘factuur’. Nu blijkt deze factuur geen document, maar het blijkt een programma welke in probeert te breken in een computer netwerk. Nu zijn de door Proxsys beheerde werkplekken standaard beveiligd met SRP/Applocker, zijn de gebruikers geen lokale beheerder en mogen onbekende programma’s niet uitgevoerd worden. Maar stel dat het lukt om het programma te starten…
Vaak hebben dit soort programma’s als doel om credentials (gebruikersnaam en wachtwoord) te stelen van de gebruiker in kwestie, maar meestal zijn ze geïnteresseerd in zogenaamde beheer accounts of beter nog “Domain Admin” accounts. Windows heeft als eigenschap credential informatie op te slaan in het geheugen van de computer. Zelfs als een beheerder een tijd niet op de werkplek heeft aangemeld kan het zijn dat de beheerder zijn credentials nog op de pc aanwezig zijn. Proxsys gebruikt voor dagelijks beheer geen Domain Admin accounts, omdat we weten dat bij het lekken de gevolgen niet te overzien zijn.
We gebruiken voor toegang tot onze klanten een zogenaamd “Privileged Access Management” systeem. Hiermee krijgen beheerders voor een bepaalde tijd toegang tot een geselecteerde klant, uiteraard met een speciaal uniek account per medewerker. Als de werkzaamheden afgerond zijn worden de rechten teruggetrokken en werken de beheerder zijn credentials niet meer bruikbaar op de systemen.
Mocht er onverhoopt toch iets mis gaan willen we daar natuurlijk signalen van ontvangen. Daarom zijn er in ons netwerk systemen actief die bepaald gedrag kunnen detecteren, ik zal er een aantal opsommen:
Het zijn veel gebruikte technieken om toegang te krijgen tot beveiligde resources.
Wanneer de systemen dit soort gedrag detecteren kunnen wij daar op schakelen en actie ondernemen om zo misbruik of data diefstal te voorkomen.
"We do business, not IT" Natuurlijk worden wij gelukkig van het geluid van een zacht suizende server en van de laptop die razendsnel opstart. We beseffen ons echter dat dit voor u niet belangrijk is. U wilt gewoon uw werk kunnen doen. Wij garanderen u hiervoor de best denkbare werkplek, voor nu en in de toekomst.
