BLOG - Het bastion, een essentiële stap in uw veiligheidsaanpak

3 augustus 2020

Wat is het nut van een bastionoplossing?

Het favoriete doelwit van cybercriminelen? Dat blijven de logingegevens en wachtwoorden. Maar waarom is dit zo een interessant doelwit? Met die gestolen identificatiegegevens kunnen ze bijvoorbeeld iemands privileges aanpassen om toegang te krijgen tot een server of om op een nog grotere schaal schade te veroorzaken. Het is daarom noodzakelijk om deze bevoorrechte accounts beter te beschermen.

En dan kom je snel uit bij het begrip PAM, Privileged Access Management. PAM biedt een antwoord op de vraag: hoe kan men op een transparante en veilige manier privilege-accounts beheren? PAM ligt in het verlengde van het ruimere begrip IAM (Identity Access Management) en is de aanleiding voor de technische oplossingen die vandaag de dag bekend zijn, zoals bijvoorbeeld de bastions die door Wallix of CyberArk worden uitgegeven.

Deze oplossingen maken het mogelijk om het beveiligde beheer van accounts rond 3 hoofdthema's te automatiseren:

• Traceerbaarheid
• Wachtwoordbeheer (opslag en rotatie)
• Detectie van abnormaal gedrag

Deze oplossingen hebben zich de afgelopen jaren razendsnel ontwikkeld en zijn nu een relevante oplossing voor elke kmo.

Wat doet zo een bastion?

Een bastionoplossing heeft dus drie hoofddoelstellingen.

1. Zorgen voor de traceerbaarheid van geprivilegieerde accounts: om abnormale activiteit op te sporen is het essentieel om te weten wie wat doet en wanneer. Het bastion maakt het mogelijk om alle acties van de beschermde account te volgen, en zelfs voor een aantal om het scherm en de sessie op te nemen. In het geval van een aanval of een hack is het dan snel mogelijk om precies te weten wat de omvang van de schade is.
2. De opslag en regelmatige aanpassing van wachtwoorden beheren: bastionoplossingen werken met een kluisfunctie. Dit maakt het mogelijk om wachtwoorden op dezelfde manier te beschermen als klassieke wachtwoordmanagers zoals Keepass. De gebruiker hoeft alleen maar in te loggen op een account om al zijn informatie te kunnen opvragen. Deze oplossingen weten ook hoe ze wellicht het meest essentiële onderdeel van een goede wachtwoord-hygiëne moeten beheren: rotatie of regelmatig de wachtwoorden aanpassen. Het bastion is in staat om met bepaalde tussenpozen nieuwe wachtwoorden te genereren. Het beruchte ‘admin’-wachtwoord kan dan alleen bekend zijn bij het bastion en geniet van een vrij complexe bescherming.
3. Abnormaal gedrag op geprivilegieerde accounts detecteren: aangezien bastions de acties van gebruikers kunnen volgen, is het gemakkelijk om hun gedrag te vergelijken met datgene wat als normaal wordt gedefinieerd. Verbindingen van buitenlandse IP-adressen of op verdachte werkuren worden snel gedetecteerd, waardoor men sneller ene aanwijzing heeft dat er iemand probeert binnen te dringen.

Hoe succesvol zo’n bastion integreren?

Om zo’n bastion op de juiste manier te implementeren hou je best rekening met deze vier richtlijnen.

1. Kies de oplossing die aan je behoeften voldoet met respect voor de filosofie ervan: elke oplossing heeft zijn specifieke kenmerken en moet in overeenstemming zijn met jouw huidige keuzes en beperkingen én met het stappenplan. Dit geldt uiteraard voor elke technische oplossing, maar is nog essentiëler voor een dergelijk project. Indirect geef je immers de sleutels van je informaticasysteem aan dit onderdeel, waardoor het in feite zeer kritiek wordt. Als jouw businessactiviteit bijvoorbeeld kritiek is, kan je best kiezen voor een product met het CSPN-label van ANSSI.
2. Identificeer de belangrijkste spelers tijdens het project en communiceer over de voordelen en effecten van een bastion: om de goedkeuring van een dergelijke oplossing te vergemakkelijken is het noodzakelijk om te anticiperen op de mogelijke obstakels die je onderweg kan tegenkomen. De doelstellingen en uitdagingen van een dergelijk project moeten daarom duidelijk worden uitgelegd aan de key stakeholders. Onze ervaring is dat een bastionproject zowel technisch als organisatorisch is. Je gaat immers van wachtwoorden die voordien zelfs per e-mail werden verzonden naar een oplossing die beheerders in staat stelt om de strengste beveiligingsregels te respecteren. De ingeburgerde gewoontes zullen moeten veranderen! Besteed daarom voldoende aandacht aan ondersteuning en bewustwording, waarbij je goed uitlegt waarom je dit project uitvoert, hoe het verloopt en wat het oplevert.
3. Maak een degelijk stappenplan: bastionprojecten zijn vaak grote projecten. Je moet dus beginnen met een redelijke perimeter en de tijd nemen om op te bouwen. Het doel van een batchaanpak is om elke groep gebruikers in staat te stellen de oplossing te leren kennen in hun specifieke gebruiken en administratie. Als je door middel van veranderingen in opeenvolgende niveaus te werk gaat, kan je de ervaring die je opdeed in vorige fases gebruiken om de overgang naar de volgende fase te vergemakkelijken.
4. Kies een flexibele en ervaren integrator: je behoeftes definiëren, de juiste oplossing kiezen en deze goed voorbereid uitrollen ... er zijn zoveel belangrijke elementen die versneld en vereenvoudigd kunnen worden door de juiste ondersteuning. Het gaat immers niet alleen over ‘draadjes connecteren’. Je moet vooral begrijpen hoe en door wie de oplossing zal worden gebruikt om de beste keuze te maken en om een echte kennisoverdracht te bereiken.

Tot slot kunnen we zeggen dat een bastionproject symbool is voor ambitie op zowel technisch als organisatorisch vlak. Het stelt je in staat jezelf te beschermen en als onderneming meer volwassen te worden. Kortom, een echte verandering.

 

Dit artikel werd geschreven in partnerschap met Advens. Klik hier voor de Franstalige versie.