Sinds de AVG zijn meer Nederlandse werknemers geconfronteerd met een belangrijk wapen in de strijd tegen datadiefstal: multifactor-authenticatie (MFA). Denk aan je Office 365-account, waar je nu wellicht elke twee weken na inloggen met je wachtwoord ook een code moet invoeren die je op je telefoon ontvangt. Dat levert veel gemor op bij gebruikers, want het is in veel van deze implementaties nou niet echt een gebruiksvriendelijke oplossing. Het kost meer tijd dan voorheen en roept veel verwarring op en levert meer tickets voor de helpdesk.
Wat is Zero Trust?
MFA is een kernonderdeel van Zero Trust. Google begon met het ontwikkelen van Zero Trust na zijn eigen hack in 2009, toen het bedrijf slachtoffer werd van Chinese hackoperatie Aurora. Google begreep dat identiteiten op een radicaal andere manier beschermd moesten worden in een tijdperk waar credentialroof schering en inslag is. In 2014 startte het toonaangevende BeyondCorp-project. Cybersecurity-evangelist Marc Rogers van Okta haalt de BeyondCorp-documentatie aan voor het zetten van een nieuwe toon met ideeën omtrent detectie van risico's bij het inloggen.
Het oude concept van vertrouwde systemen (interne netwerken) en onvertrouwde systemen (openbare netwerken) is al heel lang achterhaald. Als we een euro kregen voor elke keer dat we iemand hoorden zeggen dat perimeter-security achterhaald is, konden we met de hele redactie naar de Efteling. Zero Trust bouwt verder op het idee dat credentials gekaapt kunnen zijn, dat vertrouwde computers en gebruikers niet zijn wie ze zeggen dat ze zijn. Of zoals we op identiteitsbeveiligingscongres Oktane vaak hoorden: "Never trust, always verify." Dat is een redelijke samenvatting van het model.
De zin van 2FA
Tweefactor-authenticatie (2FA) is volgens de meeste deskundigen dé manier om veel risico's waar bedrijven zich aan blootstellen op te lossen. Een paar weken geleden hoorden we van SANS op beveiligingscongres RSAc nog dat we op een punt zijn aanbeland dat als je als organisatie 2FA niet aanbiedt, je beveiligingshouding zeer onder de maat is. Desondanks gebruikt slechts zo'n zes procent van de Amerikaanse bedrijven een dergelijke oplossing om authenticatie te verbeteren. Met AVG zal dat cijfer in Nederland zijn toegenomen, maar we hebben helaas geen actuele data om die aanname te onderbouwen.
MFA ís ook hard nodig. Op Oktane in San Francisco vertelt CISO Sarah Urbanowicz van AECOM dat vrijwel elke aanval te maken heeft met een gestolen identiteit of met veroverde admincredentials. Dat zal niemand die IT-nieuws een beetje volgt verbazen. Al ten tijde van de Sony-hack hamerden beveiligers op het feit dat dit geen 'geavanceerde cyberaanval' betrof, maar een met phishing overgenomen account waardoor aanvallers lateraal door het netwerk konden bewegen. Succesvolle spearphishing is hét begin van meer dan twee derde van alle datadiefstallen en met een aanvullende challenge tijdens authenticatie kun je een hoop ellende voorkomen als een wachtwoord is gestolen. "Het Zero Trust-model is goed, maar ik word zo moe van de term", verzucht de CISO.
De verwachtingen van bedrijven wat betreft hun security strookt niet met de realiteit, merkt Okta op in het Digital Enterprise Report dat begin april werd gepubliceerd. De overgrote meerderheid van de respondenten denkt een inbraak onmiddellijk of binnen 24 uur op te merken, maar in werkelijkheid praten we over maanden. Bij Sony - sorry dat we over de Sony-hack blijven doorpraten, maar het is zo'n prachtig voorbeeld van hoe het niet moet en hoe iedereen het toch doet - waren aanvallers maanden in het netwerk aanwezig. In een rapport van vorig jaar merken IBM en het Ponemon Institute op dat de gemiddelde tijd tot een inbraak wordt opgemerkt dramatisch is:
Bron: IBM's 2018 Cost of a Data Breach Study
De onzin van 2FA
Een gemiddelde van 197 dagen, voornamelijk te wijten aan credentialroof gecombineerd met een gebrek aan 2FA, dat is een straf cijfer. Deloitte, Sony, LinkedIn, Yahoo - stuk voor stuk voorbeelden van bedrijven die niet gehackt zouden zijn geweest (of in ieder geval niet zo eenvoudig) als 2FA vereist was geweest. De extra beveiligingslaag is dus duidelijk nodig - al was het maar om kosten te besparen, het beste argument als je met C-level spreekt - maar frictieloos is anders. Voor veel doorsnee gebruikers zijn de oplossingen onhandig. App-codes die de 2FA-oplossing ondersteunen, werken bijvoorbeeld niet voor elke app die koppelt aan de dienst die je met 2FA hebt beveiligd. Het gevolg is dat gebruikers dagelijks of wekelijks opnieuw hun wachtwoord moeten invoeren, daarna een ontvangen token uit een app of via sms invoeren en dan pas bij hun e-mail kunnen.
Zelf heb ik bijvoorbeeld een zorgverlener los moeten laten, omdat de zorgportal die de praktijk gebruikte met 2FA behoorlijk buggy was. Voor simpele facturen, die ik pre-AVG per e-mail ontving, kwam ik vaak niet bij de gewenste communicatie. Ik snap dat het nodig is dat we meer aandacht besteden aan de waarde van data en niet zomaar klakkeloos alles e-mailen, maar ik snap ook de frustratie van eindgebruikers over zulke oplossingen. Ik kan nog veel meer voorbeelden oplepelen van twijfelachtige implementaties die ervoor zorgen dat niet alleen aanvallers beter worden buitengesloten, maar de eindgebruiker zelf evengoed.
Het gevolg van een krakkemikkige beveiligingsmaatregel is dat gebruikers manieren zoeken om die te omzeilen, zodat de verhoogde beveiliging volledig ongedaan wordt gemaakt. Denk aan de artsen die een autorisatiekaart afknippen in de kaartlezer, zodat ze altijd 'eenvoudig' kunnen inloggen. Denk aan de systeembeheerder die een webcam richtte op een sleutel genererend stukje hardware in de serverruimte. Denk aan de gebruiker die een een complex wachtwoord op een post-itje aan de monitor plakt.
Wat is Risk Based Auhentication?
Hoe zie je Zero Trust in de praktijk evolueren? We zien de laatste paar jaar dat bijvoorbeeld Risk Based Authentication niet alleen meer kijkt naar statische details als IP-adres, tijdstip van inloggen en locatie, maar ook naar gedragsanalyse. Wat doet de eindgebruiker vandaag dat afwijkt van wat hij of zij normaal gesproken doet? Als ik meestal Slack en Outlook start, maar opeens Google Apps gebruik, is dat een reden om wat dieper te kijken om te bepalen of ik wel Henk-Jan Buist ben en niet Acid Burn die doet alsof ze Buist is. We hebben het afgelopen jaar diverse leveranciers gesproken die Beyond Corp-achtige ideeën hebben geïmplementeerd, zoals McAfee, Xerox, Baracuda Networks, Okta en vele anderen.
Risk Based Authentication, een cruciaal element in een Zero Trust-model, evolueert de komende jaren nog verder, zegt Rogers. "Je ziet bijvoorbeeld de komst van het tempo dat je op het toetsenbord tikt als aanvullende authenticatiefactor", vertelt hij. Steeds meer authenticatie wordt op de achtergrond uitgevoerd, zodat je als gebruiker niks merkt. Rogers noemt als voorbeeld FaceID van Apple. "Elke keer dat je je pincode invoert, neemt FaceID een foto omdat het aanneemt dat de reden dat je een pin gebruikt is omdat FaceID mislukte. Met die gegevens verbeteren ze de detectie." Passieve verificatie, zoals foto's van je webcam, je typpatroon, en meer, verhuizen authenticatie steeds meer naar de back-end.
Het tijdperk waarbij gebruikers overal 2FA-codes moeten intikken moet zo langzaam meer naar de achtergrond verdwijnen. Er wordt een risicoprofiel aangemaakt bij het inloggen om een inschatting te maken van hoe risicovol deze is. Bij een laag risico - Henk-Jan logt in vanaf de redactie, op zijn gebruikelijke systeem - is wellicht een wachtwoord voldoende. Doet hij iets ongebruikelijks - hij spreekt opeens SharePoint aan in plaats van Google Documenten - dan is misschien een extra verificatie nodig en volgt er een 2FA-push. Maar ook dat moet naadlozer. Okta-CTO Hector Aguilar noemt een voorbeeld waarin je inlogt vanaf een vreemde locatie en een extra bevestigingsvraag krijgt op je smartwatch.
Gemak versus beveiliging
"Ik denk dat het haalbaar is om gebruiksgemak én beveiliging te hebben", zegt Aguilar. "En de reden dat dat niet eerder kon, was omdat de systemen die we gebruikten hier niet voor ontworpen waren." Denk weer aan die tokensgenererende hardware in de serverruimte. Dat is een oplossing die werd toegevoegd, omdat de beveiliging met een wachtwoord niet toereikend was. Dat geldt eigenlijk voor de meeste MFA: het is een lapmiddel omdat onze authenticatiesystemen niet daadwerkelijk onze identiteit bevestigen. Nu we authenticatieplatforms van de grond af opbouwen met een Zero Trust-model, kunnen we deze methodes allemaal heroverwegen.
Meer gebruikersgemak zonder in te leveren op beveiliging klinkt als een utopie. Wat is het addertje? "Nou, het addertje is wellicht dat gebruikers lui worden van al die push-meldingen", merkt Aguilar op. "Als je gewend bent steeds 'oké' te tikken op je smartwatch en je krijgt een push-melding op het moment dat je al bent ingelogd, denk je misschien 'dat weer, ik dacht dat ik dat al had gedaan' en klik je erop." Maar het idee is dat met een holistische Zero Trust-aanpak je dat weer opmerkt: als Henk-Jan in San Francisco op oké klikt, terwijl de inlog uit Shenzen komt, is dat een goed moment om een extra verificatie op hem af te vuren.
Perfecte beveiliging bestaat niet (maar dat hoeft niet erg te zijn) en met genoeg informatie over de eindgebruiker, kun je zulke systemen ook voor de gek houden. Zo'n gerichte aanval is erg lastig, maar er zijn vast oplossingen te bedenken. Neem een aanvaller in Shenzen die een VPN gebruikt in San Francisco, met het specifieke protocol dat ik ook altijd gebruik, en de apps en data aanspreekt die ik normaal ook aanspreek en inlogt op een moment dat ik ook zou inloggen. Maar het punt van beveiliging is altijd het verhogen van drempels. De meeste aanvallen gebeuren omdat er geen basale maatregelen zijn genomen en als je de basale dingen doet, sluit je al een hoop onverlaten buiten.
Okta's cybersecurity-evangelist Rogers vergelijkt het met het gebruiken van een slot op de voordeur. "We gebruiken deursloten nog steeds, ook al kunnen inbrekers die met lockpicks openen. Maar niet iedereen komt zomaar je huis binnen. Dat beveiliging niet perfect is, betekent niet dat het niet nuttig is."
Reageer
Preview