We horen steeds vaker dat privileged users – gebruikers met speciale beheerdersrechten –misbruik maken van hun status. Denk aan Edward Snowden die als systems engineer en beheerder bij de Amerikaanse National Security Agency (NSA) toegang had tot veel informatie en nu bekend is vanwege het grootste informatielek ooit.  

 

Veel zakelijke beveiligingsincidenten ontstaan doordat iemand met uitgebreide rechten misbruik maakt van zijn positie. Of door een externe hacker die gebruiker-ID’s en wachtwoorden van interne gebruikers achterhaalt. Voor de externe hacker is de toegang tot het account van een CEO of systeembeheerder immers zeer interessant.

 

Cijfers onderstrepen dat er reden is tot zorg. Uit het nieuwste beveiligingsonderzoek van Verizon bleek dat 88 procent van het interne misbruik gerelateerd is aan privileged users. Het is dan ook cruciaal dat organisaties zich wapenen tegen risico’s en de bewaker bewaken.

 

Op zoek naar het echte verhaal

Bij een incident wil een organisatie uiteraard het echte verhaal weten. Dat is niet altijd eenvoudig. Je moet duizenden tekstlogs analyseren, vaak met externe hulp. Ook loggen veel verschillende beheerders in met hetzelfde privileged account en wachtwoord. Dat maakt het lastig te bepalen wie verantwoordelijk is voor een bepaald incident.

 

Deze situatie veranderen is complexer dan het lijkt. Bestaande oplossingen als logmanagement, firewalls en SIEM richten zich vooral op compliancy en het monitoren van een omgeving. Dat zorgt voor blinde vlekken die insiders de mogelijkheid bieden de beveiliging te omzeilen. Een ‘super user’ heeft vaak onbeperkte toegang tot besturingssystemen, databases of applicaties. Zo kan hij directe invloed uitoefenen op gevoelige informatie in een organisatie.

 

Einde aan de complexiteit

Om te voorkomen dat super users misbruik maken van hun positie, is het zaak hun gedrag te volgen. Informatie over gebruikersgedrag of afwijkingen in routines kan namelijk duiden op potentiële inbreuken op systemen.

 

Gebruikers laten meestal karakteristieke gedragspatronen zien: zij gebruiken dezelfde applicaties, voeren dezelfde routines uit, ontsluiten dezelfde informatie en typen zelfs op hun eigen manier. Deze persoonlijke vingerafdruk is vast te leggen en realtime te vergelijken met activiteiten van gebruikers om afwijkingen te detecteren. Een voorbeeld is een gebruiker die veelal kantoorapplicaties gebruikt, maar plotseling via de command line het netwerk op gaat. Dat kan een signaal zijn dat een account gehackt is. Een ander voorbeeld: een salesmedewerker logt altijd in op Salesforce, maar kijkt plotseling rond in een test- en ontwikkelomgeving.

Met nieuwe beveiligingsbenaderingen is het mogelijk alle gebruikersactiviteiten te analyseren, dus ook de illegale. Zo creëer je beter inzicht in wat er echt gebeurt op het netwerk. Door snelle reconstructies wordt ook de onderzoekstijd korter en zijn kosten te reduceren. Het monitoren van gebruikersgedrag is zo de sleutel naar een veiliger netwerk.

 

Zoltán Györkő, CEO van Balabit