Ik ben gehackt: wat nu?

De afgelopen jaren heeft informatiebeveiliging zichzelf heruitgevonden als cyber security. De aandacht is verschoven van de interne bedreiging en het handwerk naar de externe en geautomatiseerde bedreiging, al dan niet door een staat ondersteunt. De kernbegrippen daarvan, zoals Cyber Kill Chain, Indicators of Compromise en Advanced Persistent Threat, hebben Identity en Access Management nog niet bereikt.

Dit is geheel onterecht. Mits goed ingericht speelt IAM zelfs een hoofdrol in cyber security. Zoals Verizon in het 2016 DBIR-rapport vaststelde, spelen gekaapte accounts de hoofdrol in 63% van alle succesvolle aanvallen. IAM is niet alleen cruciaal in de preventie van aanvallen zoals de boeken ons leren, maar moet ook een hoofdrol spelen in de afhandeling van hacks. Dit inzicht heeft tot een IAM Resilience project geleid bij een klant, waarvan we in dit artikel de belangrijkste ervaringen delen.

Cyber Resilience

Het vermogen goed om te gaan met hacks valt onder de brede naam ‘Cyber Resilience’. Als we IAM inrichten om daarin haar rol te spelen, wat moeten we dan meer kunnen dan nu? Het beste hulpmiddel daarvoor op dit moment is de Cyber Kill Chain. De Cyber Kill Chain toont de verschillende fases van een hack, tot en met het creëren van de Persistence, de vaak vergeten P van APT. Dit valt onder Command & Control, waar de aanvaller achterdeuren maakt om op een opportuun moment terug te keren.

Helaas houdt de Cyber Kill Chain te vroeg op. Het belangrijkste voor de business ontbreekt, namelijk het moment waarop de omgeving weer veilig is om te gebruiken. Zeg maar het ‘All Clear’ moment. De omgeving is pas veilig om te gebruiken als er geen achterdeuren meer zijn – en indachtig het DBIR-rapport, is dat vooral als er geen gekaapte accounts meer zijn. Natuurlijk zijn er andere soorten achterdeuren, zoals vervalste certificaten (zoals bij Snowden of de JSF-hack van de APT-1 groep), die ook opgeruimd moeten worden. Of een logic bomb, een stukje malware dat na enige tijd wakker wordt en de aanvaller weer binnen laat.

‘Achterstevoren’ workshop

Om inzicht ten behoeve van Cyber Resilience te creëren organiseerden we een ‘achterstevoren’ workshop, waarbij we van een aantal gangbare achterdeuren vaststelden welke capabilities de organisatie moet hebben om het All Clear moment te kunnen bepalen. Bijvoorbeeld: als je alle wachtwoorden van REST-API’s (die ‘interactive logon’ rechten hebben) veranderd hebt, dan kan hier geen achterdeur meer zijn. En zo zijn er tientallen acties, veelal binnen het IAM-domein. Voor alle scenario’s worden nu runbooks opgesteld, voor het geval dat….

Als geheel onverwachte maar zeer welkome bijwerking blijkt de exercitie een brug te slaan tussen cyber security en het IAM-team. IAM en Cyber Resilience: een echte aanrader.

Peter Rietveld van Traxion

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *