Detta är en artikel i en serie om CIS Controls version 7 och denna gång handlar det om kontohantering för användare, tjänster och applikationer. Hur du på “bästa” sätt kan skydda dessa med hjälp av ex. flerfaktors-autentisering, processer för behörigheter osv.
Nyckelinsikter
- Börja med kontohanteringen för de externt tillgängliga IT-systemen, som t.ex. VPN-tjänster och RDP.
- Upprätta en policy för central autentisering som ett steg mot att integrera befintliga och framtida system.
- En nyckelinsikt vore inte en sådan utan att nämna flerfaktors-autentisering.
Inledning
Detta är den sista åtgärden i det utökade åtgärdsområdet. Jag skulle dock vilja säga att delmängder av dessa åtgärder, exempelvis flerfaktors-autentisering, borde prioriteras framför mycket annat… men det är också en mognadsfråga och det går att komma långt utan.
CIS-åtgärderna är som vanligt tunna på förklaringar eller motiv till varför en given kontroll är inkluderad. Men, det hindrar mig inte att försöka gräva fram de “bästa” åtgärderna.
Mycket nöje.
Om CIS-förmågan
Denna förmåga omfattar totalt 13 åtgärder:
- Vidmakthåll ett inventarie över samtliga autentiseringssystem, on-prem eller hos tredjepart.
- Konfigurera och använd centraliserad autentisering.
- Använd flerfaktors-autentisering.
- Kryptera, eller hasha, inloggningsuppgifter.
- Kryptera överföring av inloggningsuppgifter.
- Vidmakthåll ett inventarie över samtliga kontouppgifter som används i organisationen.
- Etablera process för att återkalla behörigheter.
- Stäng av oanvända konton.
- Deaktivera inaktiva konton.
- Säkerställ att alla konton har en giltighetstid.
- Lås datorer vid inaktivitet.
- Övervaka försök att använda deaktiverade, eller inaktiva, konton.
- Larma för onormal kontoanvändning.
Vissa av dessa åtgärder är komplicerade att införa överallt, exempelvis flerfaktors-autentisering. Jag upplever att CIS-åtgärderna många gånger gapar efter mycket utan att göra en prioritering om vilka åtgärder som är relativt enkla att införa och relativt billiga.
Förmågans målsättning
Hotaktörer som ligger bakom cyberangrepp utnyttjar gärna sårbarheten: svaga lösenord. Aktörer har exempelvis observerats använda lösenordsgissning mot Wordpress-sajter1.
Syftet med åtgärden är att stärka organisationens hantering av inloggningsuppgifter med målsättningen att reducera antalet sårbarheter kopplade till organisationens kontohantering.
Införandet
Det finns som vanligt flera sätt att angripa det här problemet med hur ni ska stärka organisationens kontohantering. Först en enklare mognadskontroll för att se huruvida detta åtgärdsområde är lämpligt att adressera.
Steg 1 - Avgör mognad
| Mognadsnivå | Kriteria |
|---|---|
| Ingen förmåga | Sommar2018, behöver vi säga mer? Central hantering vadå? |
| Grundläggande förmåga | Vi har en katalogtjänst (eg. AD), men endast inloggningen i Windows-datorerna är kopplad dit. Många system använder fortfarande sina egna autentiseringssystem. Vi har påbörjat arbetet med SSO. , |
| God förmåga | De flesta av våra applikationer använder SSO. Flerfaktors-autentisering används där vi kan. Försöker kravställa autentiseringen vid nyutveckling. Vi borde arbeta på behörighetsprocessen för onboarding och offboarding… snart så. |
| Gudomlig | Zero-trust baby!! Flerfaktors-autentisering, dynamisk och riskorienterad inloggning, fullständigt integrerad SSO i samtliga applikationer och tjänster, on-prem som moln. SOC övervakar beteende och användning. Vi ser problemen innan de uppstår. |
Steg 2 - Påbörja införande
Ska du börja någonstans är det med er perimeter och de system ni exponerar mot Internet.
- Inventera hur många system ni exponerar mot Internet.
- Vilken typ av autentisering?
- Vilka regler finns för konton?
- Hur provisionerar ni konton till dessa system?
- Börja med VPN-lösningar och RDP (och även interna RDP-system), de används gärna av angripare2 3.
- För dessa inventerade system fokusera på åtgärder 2, 8, 9 och 10. enligt CIS.
- Därefter skulle jag rekommendera upprättandet av en policy för central autentisering. Säkerställ att utvecklingsteam, upphandlingar eller inköp av nya applikationer kan ansluta till er centrala autentisering.
När ni säkrat den yttre perimetern och det inte längre går att gissa sig till lösenord från nätet kan ni börja arbeta med alla de andra “små” åtgärderna som att införa flerfaktors-autentisering t.ex.
Steg 3 - Mäta skyddseffekter
Detta är en av få åtgärder där det faktiskt finns rimliga chanser att mäta att saker blir bättre efter att åtgärderna är införda.
- Har ni några standardkonton aktiva, och isåfall hur många?
- Om några av dessa finns i applikationer och tjänster kopplade till Internet har ni precis reducerat sannolikheten för intrång genom dessa med 100%.
- Hur många konton är aktiva men saknar en ägare (alltså länkad till en anställd, applikation, tjänst)?
- För varje konto ni stänger av reducerar ni, en liten bit, den icke-kvantifierbara sannolikheten för ett framgångsrikt cyberangrepp.
Nej, jag ångrar mig… det är svårt att mäta även detta. Jag skulle säga att om ni inför flerfaktors-autentisering har ni gjort väääldigt mycket för att reducera sannolikheten för ett framgångsrikt cyberangrepp. Under antagandet att ni lyckas införa det på bred front och inte behöver ha kvar användarnamn och lösenordskombinationer för exempelvis konsulter, kunder eller annan grupp av användare.
Sammanfattning
Kontohantering är onekligen en viktig åtgärd att ha koll på givet att angripare gärna utnyttjar svaga lösenord för att få åtkomst till er organisation. Samtidigt är det också kombinationen användarnamn och lösenord som angripare phishar efter. Med flerfaktors-autentisering slipper ni den problematiken (men undkommer fortfarande inte utmaningen med stulna kerberosbiljetter…)
Hur som helst, lycka till och tveka inte att höra av dig om du har några frågor kring artikeln och dess innehåll.