Wij gebruiken cookies. Akkoord
WannaCry

Standaard goede beveiliging

20 mei 2019 door Richard Kraal

Onze hosted omgeving is gebaseerd op Microsoft Active Directory. Deze omgeving is multitenant ingericht en voorzien van allerlei beveiligingsmaatregelen zodat klanten veilig van elkaar gescheiden worden. Het is natuurlijk vanzelfsprekend dat dit uitgebreid geaudit en gemonitord wordt. Toch zijn er risico’s en die willen we tot een minimum beperken, daar zoomen we in dit blog kort op in.

Werkplekken

Werkplekken blijven altijd een zwak punt in een netwerk, ze worden immers bediend door gebruikers en deze maken wel eens menselijke fouten. Denk hierbij aan een aantrekkelijk mailtje met daarin een zogenaamde ‘factuur’. Nu blijkt deze factuur geen document, maar het blijkt een programma welke in probeert te breken in een computer netwerk. Nu zijn de door Proxsys beheerde werkplekken standaard beveiligd met SRP/Applocker, zijn de gebruikers geen lokale beheerder en mogen onbekende programma’s niet uitgevoerd worden. Maar stel dat het lukt om het programma te starten…

Het gevaar

Vaak hebben dit soort programma’s als doel om credentials (gebruikersnaam en wachtwoord) te stelen van de gebruiker in kwestie, maar meestal zijn ze geïnteresseerd in zogenaamde beheer accounts of beter nog “Domain Admin” accounts. Windows heeft als eigenschap credential informatie op te slaan in het geheugen van de computer. Zelfs als een beheerder een tijd niet op de werkplek heeft aangemeld kan het zijn dat de beheerder zijn credentials nog op de pc aanwezig zijn. Proxsys gebruikt voor dagelijks beheer geen Domain Admin accounts, omdat we weten dat bij het lekken de gevolgen niet te overzien zijn.

Standaard goede beveiliging

We gebruiken voor toegang tot onze klanten een zogenaamd “Privileged Access Management” systeem. Hiermee krijgen beheerders voor een bepaalde tijd toegang tot een geselecteerde klant, uiteraard met een speciaal uniek account per medewerker. Als de werkzaamheden afgerond zijn worden de rechten teruggetrokken en werken de beheerder zijn credentials niet meer bruikbaar op de systemen.

Mocht er onverhoopt toch iets mis gaan willen we daar natuurlijk signalen van ontvangen. Daarom zijn er in ons netwerk systemen actief die bepaald gedrag kunnen detecteren, ik zal er een aantal opsommen:

  • Pass-the-Hash, de credentials zijn gestolen uit een systeem en worden later ergens anders gebruikt.
  • Golden ticket, hiermee is het mogelijk dat een aanvaller zijn eigen sleutelbos maakt
  • Bepaalde klassieke kwetsbaarheden
  • Brute force technieken om wachtwoorden te achterhalen
  • Afwijkende of het gebruik van oude protocollen

Het zijn veel gebruikte technieken om toegang te krijgen tot beveiligde resources.

Wanneer de systemen dit soort gedrag detecteren kunnen wij daar op schakelen en actie ondernemen om zo misbruik of data diefstal te voorkomen.

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

De beste ICT leveren, dat doen we niet alleen