Toegangsbeveiliging - deel 1

Dennis-Baaten

De basis voor een interessant gesprek is gelegd op het moment dat een manager tegen me zegt: “ik wil dat iedereen overal bij kan.” Vaak is dit een uiting van frustratie die wordt veroorzaakt door het feit dat de rechten van specifieke personen beperkingen kennen waardoor er extra handelingen nodig zijn om iets voor elkaar te krijgen. Ik begrijp best dat je met elkaar moet zoeken naar een goede balans tussen rechten en beperkingen, maar iedereen toegang geven tot alles is zelden een goed idee.

Niet alleen om fraude of misbruik te voorkomen, maar tegenwoordig ook voor een goede bescherming tegen malware en virussen. We hebben inmiddels allemaal gehoord van de in populariteit toenemende ransomware of cryptoware. Cybercriminelen versleutelen met deze vorm van malware bestanden op je systeem, en vragen vervolgens losgeld in ruil voor toegang tot je bestanden. Veel ransomware heeft de eigenschap dat er niet alleen bestanden op het eigen systeem worden versleuteld, maar dat er ook in het bedrijfsnetwerk wordt gezocht naar bestanden die versleuteld kunnen worden. De impact van een besmetting met ransomware is dus vele malen hoger op het moment dat iedereen overal bij kan.

Hoofdstuk 9 van de ISO 27002:2013 gaat over toegangsbeveiliging. Over logische toegangsbeveiliging om precies te zijn, want fysieke toegangsbeveiliging (wat ook belangrijk is) komt binnen de norm pas aan bod in hoofdstuk 11. Binnen de logische toegangsbeveiliging gaat het feitelijk steeds om drie volgordelijke stappen: identificatie, authenticatie, autorisatie. Deze komen allemaal aan bod in de verschillende paragrafen van hoofdstuk 9.

Identificatie gaat over het kenbaar maken van je identiteit. Denk bijvoorbeeld aan het opgeven van een gebruikersnaam, of het gebruik van een vingerafdruk. Authenticatie gaat over het vaststellen van de juistheid van de opgegeven identiteit. Je moet dus bewijzen dat je bent wie je stelt te zijn. Bijvoorbeeld door het invoeren van een wachtwoord. In bepaalde gevallen kunnen identificatie en authenticatie worden samengevoegd wanneer de identificerende kenmerken uniek van karakter en moeilijk te kopiëren zijn waardoor deze als authenticatie kunnen dienen. Dit is bijvoorbeeld het geval bij smartphones die je kunt ontgrendelen met je vingerafdruk. De laatste stap in het toegangscontroleproces is het autoriseren. Op basis van je bewezen identiteit krijg je bepaalde rechten toegekend waarmee je binnen een systeem handelingen kunt verrichten.

Beleid voor toegangsbeveiliging

De norm schrijft voor dat er een beleid moet zijn waarin wordt beschreven hoe de organisatie omgaat met toegangsbeveiliging. Er worden een heleboel zaken genoemd waar bij de formulering van het beleid rekening mee dient te worden gehouden, maar de belangrijkste vind ik het benoemen/hebben van een eigenaar van een systeem of applicaties. Zoals eerder besproken heeft de eigenaar bepaalde verantwoordelijkheden waaronder de toegangsbeveiliging en de autorisaties die worden verleend op basis van gedane verzoeken.

Zorg er daarnaast voor dat het beleid eist dat er voor elk systeem en/of applicatie een autorisatiematrix is opgesteld, en dat toegangsrechten uitsluitend worden verleend indien deze nodig zijn voor het uitvoeren van iemands taken (het least privilege principe dat in de norm need-to-use wordt genoemd).

Toegang tot netwerken en netwerkdiensten

Bij toegang wordt er vaak gedacht aan het inloggen op een systeem of (web)applicatie. Wat voor de gemiddelde gebruiker vaak wat minder zichtbaar is, is dat dit ook vereist dat de toegang op netwerk technisch niveau is geregeld. Ik ben van mening dat de netwerk technische rechten een afgeleide dienen te zijn van de systemen / applicaties waar iemand toegang tot dient te hebben. Als je niks te zoeken hebt op een bepaald systeem, dan is het ook niet nodig om dit systeem netwerk technisch te kunnen benaderen. Een effectieve maatregel om het aanvalsoppervlak vanuit een gecompromitteerde werkplek te minimaliseren. In de praktijk kan een dergelijke situatie beheersbaar worden gehouden door het toepassen van netwerkzonering.

Er kan overigens ook gebruik worden gemaakt van Network Access Control waarbij systemen pas na een aantal vooraf gedefinieerde controles toegang krijgen tot het netwerk. Denk aan de aanwezigheid van een certificaat, een up-to-date virusscanner, en de achterstand ten aanzien van te installeren updates. Doorgaans zijn dergelijke systemen alleen interessant binnen grote enterprise omgevingen, en steunen kleinere organisaties hier (uit kostenoverwegingen) vaak op de fysieke toegangsbeveiliging. De aanname is dan dat iemand die (een bepaald gedeelte van) het gebouw in mag, wordt verondersteld gebruik te mogen maken van de (netwerk)faciliteiten.

Volgende keer ga ik verder met andere onderwerpen die in de context van toegangsbeveiliging worden genoemd in hoofdstuk 9 van de norm.

Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging