Draagplicht van toegangspassen

april 7, 2010 at 9:14 am (Achtergrond, Oplossingen, Problemen, Techniek) (, , , )

Regelmatig duikt de discussie op over de draagplicht van toegangspassen in een bedrijf of organisatie. Uitgangspunt hierbij is wel dat een organisatie deze passen al heeft en dat ze zijn voorzien van een pasfoto. Het voordeel van dergelijke passen is dat ze – mits regelmatig onderhouden – een goed intern identificatiemiddel vormen en vaak van meerdere functies zijn voorzien. De betaalfunctie (chipknip) is daar een voorbeeld van. Nadelen zijn er ook. Deze passen zijn verhoudingsgewijs duur en hebben een infrastructuur nodig om goed te kunnen werken. Daarbij moet er eveneens beheer worden uitgevoerd wat het nodige kost.

Een bedrijf dat besluit de draagplicht in te voeren voor toegangspassen wordt direct geconfronteerd met allerlei weerstanden. Veel mensen vinden of voelen dat zij in hun persoonlijke levenssfeer worden geraakt. Dat is een verzwarende factor bij de controle op naleving van het beleid.

De kans dat een dergelijke maatregel gaat werken is nog het grootst in een strak geleide hiërarchische organisatie waar men overwegend in bedrijfskleding loopt en werkt. Zelfs dan is zichtbaar commitment van het management nodig om van deze maatregel een succes te maken. De herkenbaarheid van bezoekers zal alleen goed werken als de draagplicht strikt gehandhaafd wordt. Natuurlijk moet bij het invoeren van deze maatregel nadrukkelijk gekeken worden naar de beoogde veiligheidsopbrengst. Het management en de afdeling informatiebeveiliging dienen goed in beeld te hebben wat er met deze zware maatregel beschermd moet worden.

Mocht een volledige draagplicht niet haalbaar zijn, dan zijn er enkele compenserende maatregelen mogelijk waardoor het vereiste beveiligingsniveau alsnog benaderd kan worden. Hierbij kun je denken aan het steeds begeleiden van bezoekers en het afschermen van ruimtes met (bijvoorbeeld) vertrouwelijke informatie. Deze ruimtes zijn dan niet te betreden met een bezoekerspas. Verder moet in alle ruimtes met vertrouwelijke informatie een cleandesk policy van kracht zijn, waardoor informatielekkage wordt bemoeilijkt. Om meelifters (piggy-backing) bij het betreden van een vertrouwelijke zone tegen te gaan kun je denken aan de invoering van mantraps of eenpersoons sluizen.

Voorkomen van misbruik van passen die toegang geven tot de vertrouwelijke zones is een ander fenomeen. Je kunt dit beheersen door aanvullende eisen te stellen aan de bezoeker. Bijvoorbeeld het vragen van een pincode of gebruikmaken van biometrische identificatie. Alweer, de kosten van de beveiliging moeten in balans zijn met de waarde van hetgeen beschermd wordt.

De sterkste maatregel die een organisatie in kan zetten wordt gevormd door het eigen personeel. Als iedereen het belang begrijpt van cleandesk, het begeleiden van bezoekers en onbekenden durft aan te spreken, dan is de kans op ongewenst bezoek het kleinst.

Daar kan geen draagplicht tegenop.

Advertenties

Permalink Geef een reactie

Vreemde hardware

maart 31, 2010 at 9:11 pm (Oplossingen, Techniek) (, , )

Een onderschatte dreiging voor de integriteit en beschikbaarheid van ICT omgevingen wordt gevormd door ongeautoriseerde (of onbekende) apparatuur. Hier kun je je van alles bij voorstellen. Van privé van huis meegenomen servers (dan kan ik zelf even wat uitproberen), hubs, switches en routers (dat is toch veel praktischer dan alle wall outlets te patchen en het werkt ook nog eens sneller dan wachten op die IT’ers), WiFi hotspots direct op het netwerk, laptops met allerlei “vreemde” besturingssystemen, privé pc’s zonder enige vorm van endpoint security met alle gevolgen van dien, pc’s met allerhande services actief die hun best doen het netwerk over te nemen (DHCP servers, DNS servers, etc.) en pc’s met gereedschappen om daadwerkelijk toegang tot de dataservers te forceren.

Je kunt als informatiebeveiliger beleid formuleren tot je een ons weegt en communiceren tot je erbij neervalt, maar hier helpen alleen technische maatregelen. Het werkt trouwens wel goed als je daar een beleid voor hebt dat helder is gecommuniceerd. Doelgroep van de communicatie wordt gevormd door de usual suspects: externe medewerkers (consultants), ontwikkelaars en technische ondersteuning (bv. printer onderhoudsmonteurs).

Voor de technische kun je denken aan NAC. Network Access Control komt in veel smaken, ik ga in het op het security model, zonder mij druk te maken over merken. Bij NAC wordt een pc aangemeld bij de Active Directory (AD) (of repository die deze beheerdienst uitvoerd). Hierna wordt eenmalig een certificaat aangemaakt op basis van de geregistreerde pc naam en het MAC adres. Bij de volgende maal aanmelden checkt het controlestation de geldigheid van het certificaat. Afhankelijk van het resultaat worden toegangsrechten uitgedeeld of de netwerktoegang geblokkeerd. Bij detectie van een pc zonder certificaat gaat er uit compliance overwegingen een melding naar de afdeling security. Zo blijf je op de hoogte van de beveiligingsopbrengst van je maatregel en kun je eventuele trends vroegtijdig detecteren.

Voordeel van preregistratie is dat iedere machine bekend is bij beheer en is opgenomen in de Configuration Management Database (CMDB). Gebruikers (of vreemden) die geen beheerrechten hebben op de AD kunnen geen pc’s registreren. Zo verklein je de kans op ongeautoriseerde apparatuur in je netwerk.

Op dit thema zijn variaties mogelijk. Want je wilt misschien wel de externe medewerkers toegang tot  Internet bieden. Een niet-geregistreerde computer (zonder certificaat) krijgt dan geen rechten op het datacenter, maar kan automatisch gerouteerd worden naar de internetzone. Verder kun je een pc die zich aanmeld bij de autorisatieserver op de aanwezigheid en status van de endpoint security software. Mocht de pc niet voldoen aan je eisen, stuur hem dan naar een sandboxomgeving en installeer (push) de updates. Daarna kan de pc zich opnieuw aanmelden en zal hij, na geslaagde authenticatie en autorisatie, toegang krijgen tot de gewenste netwerkbronnen.

Stroomschema NAC

Zoals je ziet kun je op relatief eenvoudige wijze snel een grote beveiligingswinst boeken en een aantal risico’s voor je omgeving verkleinen of neutraliseren. Je moet het alleen even doen.

Permalink Geef een reactie

Alternatieven voor wachtwoorden?

maart 23, 2010 at 10:28 pm (Oplossingen, Techniek) (, , , )

Wachtwoorden. Al 20 jaar (of misschien wel langer) de enige veel gebruikte methode voor gebruikersidentificatie en authenticatie op informatiesystemen. En al 20 jaar zijn ze een probleem. Mensen schijnen niet goed te zijn in het onthouden van hun verzameling wachtwoorden. Het maakt niet uit of het in beveiliging geschoolde medewerkers zijn of niet, vrijwel iedereen maakt een of meer van de onderkende beveiligingsfouten. Dat zijn fouten zoals het gebruik van eenvoudige (zwakke) wachtwoorden, hergebruik, herhalen van wachtwoorden met een kleine aanpassing, opschrijven of digitaal vastleggen in niet-beveiligde documenten. Uiteindelijk blijkt 96% van de gebruikers verschillende van de in het beveiligingsbeleid vastgelegde regels met betrekking tot wachtwoorden te overtreden.

Dat is nogal wat. Kennelijk zijn we als informatiebeveiligers en IT’ers niet in staat geweest een goed alternatief voor deze eenvoudige (maar, indien goed uitgevoerd, effectieve) maatregel te ontwikkelen. Biometrie en two-factor authentication zijn inmiddels wel geaccepteerde mogelijkheden, maar door de kostenfactor worden zij nog niet breed ingezet. Daarnaast heeft biometrie nog de schijn tegen, te vaak verschijnen er films op youtube die het omzeilen van biometrische beveiliging demonstreren.

Mensen zijn visueel ingesteld en kunnen het onderscheid in afbeeldingen snel maken. Het zou mooi zijn als daar produktiebestendige tools voor worden ontwikkeld. Je vult je gebruikersnaam in, klikt op vijf afbeeldingen in de goede volgorde en je bent binnen. Door de afbeeldingen willekeurig in een matrix te plaatsen heb je per keer dat je inlogt een ander wachtwoord. Dat lijkt mij een sterk systeem.

De uitdaging die gepaard gaat met het uitreiken van het eerste wachtwoord of bij een wachtwoordreset is eenvoudig te pareren. Het eerste wachtwoord, dat aan de sterkte eisen moet voldoen, kan op schrift worden uitgereikt. Als een gebruiker voor de eerste maal inlogt moet hij een grafisch wachtwoord aanmaken. Na een reset ontvangt hij zijn tijdelijke wachtwoord per email of sms op zijn – tevoren geregistreerde – privé emailadres of mobiele telefoon. Ook voor hem geldt dat hij bij het inloggen een nieuw grafisch wachtwoord moet aanmaken.

Zo simpel. Zou het al bestaan?

Permalink Geef een reactie

Wachtwoorden resetten op afstand

maart 13, 2010 at 4:10 pm (Oplossingen, Techniek) (, , , , )

Vroeg of laat lopen organisaties tegen het probleem aan van het resetten van wachtwoorden. Vaak worden er voordat het probleem zicht baar is allerlei constructies bedacht om de “vergeetfactor” te verkleinen. Het lijstje bij de secretaresse of ophangen aan de binnenkant van het koffiekastje zijn daar voorbeelden van.

In het formele proces moet er nog met de helpdesk gebeld worden, moet iemand zich legitimeren of moet iemand anders de melding doen. De gebruikersorganisatie heeft het liefst een snelle en gemakkelijke oplossing, terwijl de IT organisatie er weinig werk aan wil hebben en een goede ondersteuning van de informatiebeveiliging noodzakelijk is. Dit alles om te voorkomen dat een indringer zich toegang verschaft tot het netwerk.

Afhankelijk van de aard van de organisatie, de locatie van de medewerkers en het niveau van het beveiligingsbewustzijn, zijn er twee manieren voor het op afstand resetten van een wachtwoord. In een organisatie met een stabiele groep gebruikers kan gebruik worden gemaakt van het systeem met geheime vragen. Voorwaarde is wel dat men zich goed bewust is van de noodzaak van informatiebeveiliging. Bij deze werkwijze registreert de organisatie de antwoorden op vragen die alleen de originele persoon kan weten. Bij een wachtwoord reset aanvraag doen de goede antwoorden dienst als identificatiemiddel op afstand. Deze methode werkt alleen goed als de medewerkers zich realiseren dat de antwoorden op de geheime vragen inderdaad persoonlijk zijn en niet met elkaar gedeeld worden. Dit systeem van wachtwoord resetten komt veel voor bij organisatie met een relatief hoog niveau van beveiligingsbewustzijn of van de waarde van informatie. Denk aan banken, het verzekeringswezen of defensie. Daarnaast speelt de aard van het personeel een rol Als het verloop in een organisatie hoog is of als de klanten van de IT afdeling verspreid zitten of zelfs onbekend zijn, dan zijn er betere systemen te bedenken.

Op universiteiten kom je de ‘adidas methode’ nog wel tegen: melden bij de helpdesk en je legitimeren om een wachtwoord reset te krijgen.

Voor organisaties die om tal van redenen niet voor geheime vragen kiezen (bijvoorbeeld vanwege het onderhoud, of hoe om te gaan met vergeten antwoorden) is er een ander systeem. Hiermee wordt op geautomatiseerde wijze een sterk en eenmalig wachtwoord verzonden naar een tevoren geregistreerd e-mailadres of mobiel telefoonnummer. De gebruiker kan dan inloggen en zijn wachtwoord meteen wijzigen. Deze methode komt veel voor bij organisaties met een geografisch verspreide groep gebruikers. Webhosting bedrijven werken vaak op deze wijze.

Permalink Geef een reactie

Digitale certificaten

maart 11, 2010 at 11:43 am (Privacy, Techniek) (, , , , )

Certificaten, vertrouwelijke mail, digitale handtekening. Veel organisaties willen hun emailverkeer beveiligen. Hier zijn genoeg producten voor in de markt. Veel van deze oplossingen gaan voorbij aan sleutelbeheer en beheer van de opgeslagen informatie. Dat zijn belangrijke punten voor een bedrijf. Men wil zeker weten dat een vreemde niet uit naam van het bedrijf boodschappen kan versturen. En het is ongewenst als oude berichten niet meer geopend kunnen worden omdat de sleutel ongeldig is. Voor deze problemen is er wel een oplossing.

Met behulp van de Public Key Infrastructure (PKI) techniek kan een bedrijf een hoofdsleutel (root certificaat) aanmaken. Alle andere sleutels stammen af van deze hoofdsleutel. Een medewerker heeft zijn sleutel bij zich op zijn computer, in zijn profiel op het netwerk of vastgelegd op zijn toegangspas. Zodra hij een vertrouwelijk emailbericht wil versturen, dat onderweg niet mag worden gelezen, moet hij het bericht versleutelen met zijn geheime sleutel en de publieke sleutel van de beoogde ontvanger. Als de ontvangende partij geen publieke sleutel heeft kan het bericht niet eenvoudig worden versleuteld. Een digitale handtekening met de waarborg dat het bericht niet werd gemanipuleerd is wel mogelijk. Dan heeft de afzender alleen zijn eigen sleutel nodig.

Bij sleutelbeheer hoort ook het intrekken van sleutels. Sleutels kunnen worden ingetrokken omdat ze zijn gecompromitteerd (in handen gekomen van derden) of omdat de medewerker is vertrokken. Door de sleutel of het certificaat ongeldig te verklaren krijgt de ontvanger van een bericht, dat met een ingetrokken sleutel is verzonden, een melding dat de sleutel niet correct is. Aan de inhoud hoeft dan nog niets veranderd te zijn.

Een nachtmerrie voor bedrijven (en een reden dat encryptie nog niet populair is) ontstaat als blijkt dat belangrijke bestanden zijn versleuteld en de code om alles te decoderen niet bekend is. Door met organisatiecertificaten te werken is dit probleem te omzeilen. Binnen certificaten kunnen hiërarchische overervingsstructuren worden gemaakt. Dat wil zeggen dat een bestand, versleuteld met een certificaat van de laagste orde, door het certificaat van één tree hoger kan worden ontsleuteld. Op deze wijze is de toegang tot historische data gewaarborgd, zelfs na het intrekken van (vervallen) sleutels en certificaten.

Permalink Geef een reactie

Wordle – braindump van Informatiesec

maart 9, 2010 at 10:39 pm (Achtergrond, Techniek) ()

Wordle: Informatiesec.wordpress.com

Permalink Geef een reactie

Fysieke beveiliging – de gelaagde kokosnoot

maart 3, 2010 at 10:10 am (Achtergrond, Oplossingen, Techniek) (, , )

Ondanks het jerichomodel dat uitgaat van de bescherming van de data en de muren wil slechten, kunnen muren nuttig zijn. Een goed voorbeeld is het toepassen van muren (en deuren) om de toegang tot je datacenter te beveiligen. Probeer maar eens een gemiddeld hosting center binnen te komen. Je komst moet al van tevoren zijn aangekondigd, je wordt begeleid, krijgt een bezoekersbadge en je bewegingen worden vastgelegd op film.

Met je pas kom je niet verder dan het ontvangstgedeelte en (als je geluk hebt) de koffiekamer. Dan blijkt de gelaagde beveiliging te werken. Klanten die zelf hun servers of rackspace beheren hebben toegang tot een deel van de serverzaal en hun rack. Alleen de beheerders in dienst van het datacenter komen in de beheerruimte met toegang tot de gehoste servers.

Dergelijke organisaties hebben hun logische en fysieke beveiliging gebaseerd op het kleurenmodel of stoplichtmodel.  Dat bestaat uit een viertal ringen met verschillende kleuren. De buitenste ring is wit en staat voor de openbare of publieke ruimte. Dan komt de groene ring, het algemene bezoekersdeel uit het voorbeeld. Het deel van het gebouw dat toegang biedt tot de controlroom en de serverruimtes is de oranje zone. De controlroom en de serverruimtes zelf zijn de rode zones.

In de semantiek van het stoplichtmodel mag een element in een ring slechts aan een ring van één niveau hoger en één niveau lager grenzen. Groen aan rood mag dus niet. Ook rode zones moeten onderling gescheiden zijn door minimaal een oranje zone.

Dit model is natuurlijk ook te projecteren op een digitale representatie. Zo is de Demilitarized Zone (DMZ) van een netwerk infrastructuur te vergelijken met de groene zone (wit is het internet, de publieke ruimte). Na de binnenste firewall kom je in de oranje zone met de werkstations. De data- en applicatieservers staan in de rode zone. Iedere laag is met een of meer firewalls afgeschermd van de andere, wat een zeker niveau van beveiliging oproept en waardoor het schema er uitziet als een gelaagde kokosnoot.

In de werkelijke wereld gebruik je daarom goed hang- en sluitwerk, paslezers en eventueel mantraps of sluizen voor de toegang tot de rode zones. Digitaal werp je drempels op met firewalls, rechtenstructuren, wachtwoorden en biometrie.

In de beveiliging geldt de stelregel: “Als je beter beveiligt dan de buren, dan gaan ze naar de buren – en niet naar jou”.

Permalink Geef een reactie

Alu-hoedje voor iPad

maart 2, 2010 at 9:50 pm (Columns, Techniek) (, )

Net wat ik altijd al niet wilde hebben, een tablet pc die niet in mijn zak past, op een iPhone lijkt en waar je niet mee kan bellen. Om hem veilig te maken tegen browser exploits en phishing activiteiten kun je hem voorzien van een echt iPad aluminium hoedje.

Kost een paar euro, maar dan heb je ook niks.

Permalink Geef een reactie

Wachtwoorden – nuttig?

februari 16, 2010 at 12:03 pm (Achtergrond, Oplossingen, Techniek) (, , , , , )

Amex, een van de amerikaanse creditcardmaatschappijen, verplicht zijn klanten om zwakke wachtwoorden te gebruiken. Ze mogen alleen letters (hoofd- en kleine letters) en cijfers toepassen. Dit verhoogt niet alleen de kans op het goed raden van wachtwoorden of de kans dat een woordenboekaanval slaagt, maar zo worden de kosten voor de creditcard gebruikers ook hoger. Jaarlijks betalen mensen met een creditcard een bedrag voor het gebruik. Daarbij inbegrepen is een soort verzekeringspremie tegen het misbruik. Winkeliers en bedrijven die creditcards accepteren betalen  een bedrag per transactie, maar ook om de kaart te mogen accepteren. Door nu wachtwoorden zwakker te maken zal de kans op misbruik stijgen. Dit betekent een stijging van verlieskosten voor de creditcard maatschappij. Zij moeten fraudeonderzoeken starten en de kosten verhalen. Hierdoor zullen de kosten voor de gebruikers, winkels en bedrijven stijgen.

In Japan worden two-factor authentication systemen afgedaan als te zwak, terwijl in Europa hooguit sms authenticatie gebruikt wordt – terwijl het gsm protocol al gekraakt is. In het land van de rijzende zon gebruiken ze bloedvatfingerprints als biometrische eigenschap. Deze techniek is beter en betrouwbaarder dan de gummibeertjes vingerafdruk, de onsmakelijke oorscan of de enge irisican die met een foto is te misleiden.

Hier gebruiken we sterke wachtwoorden bij banken, met hoofd- en kleine letters, cijfers en leestekens. Alleen dat onthouden, daar  heb je een truukje voor nodig: tel ze bij elkaar op. Maak bijvoorbeeld gebruik van een vast getal (datum, geluksgetal, of iets dergelijks) en een steeds wisselend woord. Combineer dit met een vast patroon en voeg hier een leesteken aan toe.
Voorbeeld:
BakSteen + 05121954 = 05Bak12Steen1954?
Nog een voorbeeld:
WaterFles + 05121954 = 05Water12Fles1954?

Zo krijg je een wachtwoord dat zowel sterk is als goed te onthouden voor een mens.
In de top 10 van ergerlijke beveiligingsmaatregelen wordt het “onzinnige wisselen van wachtwoorden” genoemd. Ik vraag mij dan af wat daar onzinnig aan is. Het argument “als een wachtwoord niet geraden is hoef je het niet te wijzigen” vind ik zwak. Als wachtwoorden geraden kunnen worden zijn ze zwak en moeten ze regelmatig worden gewisseld om de periode waarin misbruik mogelijk is te beperken. Voor sterke wachtwoorden geldt hetzelfde, omdat ze waardevolle informatie beschermen.

Daarnaast wil het niet zeggen dat een wachtwoord niet is geraden als er geen misbruik van bekend is. Dat wil alleen maar zeggen dat het misbruik niet bekend is.

Permalink Geef een reactie

Security in cloud computing

februari 13, 2010 at 6:00 pm (Achtergrond, Problemen, Techniek) (, , , , )

Cloud computing is “in”. Alleen een afspraak of contract met je directe leverancier, misschien nog een contactpersoon in je organisatie en alle techniek de deur uit. De ideale oplossing voor al je beheerproblemen – als alles werkt. In de praktijk zijn er veel haken en ogen te vinden bij cloud computing of outsourcing van je applicaties. Want bij intern beheer weet je bijvoorbeeld wie er aan je spullen zit. Je weet zeker dat je grootste concurrent niet zijn databases in hetzelfde datacenter heeft draaien als jij. Of als je applicatie het niet doet, dan weet je de verantwoordelijke manager snel te vinden. Verder weet je zeker dat je gegevens niet in andere landen terecht komen, waar andere regels gelden voor geheimhouding of schending van privacy.

Bij cloud computing is dat een ander verhaal. De beheerpartij kan de apparatuur weer ergens anders hebben onder gebracht en ook de datalijnen kunnen elders zijn uitbesteedt. Zelf kan de technische partij die de apparatuur huisvest een parallel datacentrum hebben in een land hier ver vandaan – buiten de EU en de daaraan verbonden wetgeving. Ongewild en ongeweten kun je zo risico’s lopen met de vertrouwelijkheid van je gegevens. De Amerikaanse wetgeving gaat heel anders om met privacybescherming en datastromen dan de EU wetgeving.

Voordat je je bedrijfskritische applicaties onderbrengt in ‘the cloud’ moet je je er van bewust zijn dat ook deze dienstenleveranciers fouten maken en dat je daar last van kunt ondervinden. Denk aan de storing in 2009 bij Google, waardoor Google-docs enkele uren niet beschikbaar was. Bij eigen beheer of intern beheer heeft een organisatie de mogelijkheid prioriteiten te stellen die van invloed (kunnen) zijn op de oplossingssnelheid van incidenten. Bij cloud applicaties (SAAS) ben je een van de vele klanten in de rij en kun je alleen afwachten en hopen dat de dienst weer snel beschikbaar wordt.

Ook al loop je met je hoofd in de cloud, let ook op de aardse zaken.

Permalink Geef een reactie

Next page »