Met de nieuwe en verbeterde richtlijn voor netwerk- en informatiebeveiliging, NIS2, sluit de Europese Unie zich aan bij een groeiende lijst van regeringen wereldwijd die strengere cybersecurity-eisen stellen om kritieke infrastructuur te beschermen. NIS2 is in november formeel goedgekeurd door de EU-lidstaten en het Europees Parlement. Alle 27 landen moeten de richtlijn nu omzetten in regelgeving, met eigen nuances per land. Hierbij zal identity security een belangrijkere rol dan ooit spelen.
Security vandaag de dag is gebaseerd op het voortdurend kunnen verifiëren, beheren en beveiligen van identiteiten om inbreuken te voorkomen. De NIS2-leidraad gaat daarom uit van Zero Trust-principes, waarbij alle identiteiten – mens en machine – impliciet niet worden vertrouwd en moeten worden geverifieerd en geautoriseerd, ongeacht het netwerk of de locatie. In tegenstelling tot een traditioneel, op de perimeter gebaseerd beveiligingsmodel, beschermt een Zero Trust-architectuur zowel cloudgebaseerde IT- en OT-systemen als IT- en OT-systemen op locatie; biedt het bescherming tegen zowel interne als externe bedreigingen en beveiliging voor externe werknemers en mobiele gebruikers.
Als belangrijke pijler van Zero Trust biedt Identity Security een consistent punt van beveiligingscontrole buiten de perimeter. Het beperkt de toegang tot de menselijke of machine-identiteiten die deze nodig hebben en verleent alleen de minimaal vereiste rechten. Dit betreft continue verificatie om de gehele sessie van een gebruiker te valideren – niet slechts een enkel multifactor-verificatieverzoek – en monitoring van gebruikersgedrag om vast te stellen wanneer een identiteit is gecompromitteerd.
Voorbereiden op NIS2
Identiteitsbeveiliging om de NIS2-paraatheid te verbeteren
Organisaties die binnen het bereik van de verruimde parameters van NIS2 vallen, kunnen de boot niet langer afhouden, en moeten zich gaan voorbereiden. Acht identity security stappen die dit proces vergemakkelijken:
- Beoordeel de security. Hoewel security-professionals zeggen dat diefstal van accountgegevens het grootste risicogebied is, worden veel identiteiten nog steeds handmatig toegewezen en beheerd, waardoor het moeilijk is inzicht te krijgen in hun werkelijke beveiligingsstatus. Een security-assessment kan helpen bij het identificeren van zwakke plekken, zoals onbeheerde wachtwoorden, verkeerd geconfigureerde of slapende accounts of machines die zeer gevoelig zijn voor aanvallen op diefstal van credentials.
- Neem maatregelen om privileged access te beveiligen. Aanvallers maken gebruik van sterke privileged accounts om aanvallen uit te voeren, kritieke infrastructuur plat te leggen en essentiële diensten te verstoren. Daarom wordt in de NIS2-richtlijn gepleit voor het beperken van toegang tot accounts op beheerdersniveau en het regelmatig wijzigen van wachtwoorden, naast andere fundamentele aanbevelingen op het gebied van cybersecurity. Om aan de vereisten te voldoen, zullen bevoegde entiteiten waarschijnlijk beheersmaatregelen voor privileged access moeten invoeren of versterken, zoals het veiligstellen en rouleren van account-logingegevens, het isoleren van privileged sessies en het auditen van privileged activiteiten. Het automatiseren van toegang, bijvoorbeeld door just-in-time geprivilegieerde toegang mogelijk te maken, kan helpen deze nalevingsvereisten te stroomlijnen en tegelijkertijd de risico’s meetbaar te verminderen.
- Proactief beschermen tegen ransomware. Uit een rapport van 2022 van het Europees Agentschap voor cyberveiligheid (ENISA) blijkt dat ransomware goed is voor meer dan 10 terabytes aan gestolen gegevens per maand. Aangezien ransomware-aanvallen in frequentie en ernst blijven toenemen, worden de lidstaten aangespoord om ransomwarebeleid te ontwikkelen als onderdeel van hun nationale cybersecurity-strategieën. Ter voorbereiding op strengere beveiligingsregels zou het verstandig zijn als organisaties zich richten op het vergrendelen van kritieke endpoints (servers, VM’s, enz.) door lokale beheerdersrechten te verwijderen en beleid in te voeren dat laterale bewegingen en escalatie van privileges helpt voorkomen als onderdeel van een defense-in-depth aanpak.
- Neem een ‘assume breach’-houding aan en analyseer. Succesvolle aanvallen zullen plaatsvinden. Bedreigingen detecteren en snel reageren is de sleutel tot het minimaliseren van de “schade-radius” als dat gebeurt. Overweeg hoe AI en machine learning kunnen helpen bij het opstellen van risicomodellen en het opschalen van detectiemogelijkheden, bijvoorbeeld om onmiddellijk te signaleren wanneer een bevoorrechte gebruiker plotseling toegang probeert te krijgen tot referenties op een ongebruikelijk tijdstip of vanaf een ongebruikelijke locatie.
- Neem de supply chain onder de loep. Bekijk de huidige processen voor de beoordeling, het starten van de samenwerking en het lopende risicobeheer van externe leveranciers. Is er een duidelijk beeld van hoe elke leverancier zijn eigen systemen beveiligt en hoe zij toegang krijgen tot de omgeving en gevoelige bronnen? Met name managed services providers (MSP’s) zijn belangrijke aanvalsdoelen geworden vanwege hun nauwe integratie met bedrijfsactiviteiten en rechtvaardigen een verhoogde controle. Overweeg de DevSecOps-praktijken van externe leveranciers net zo goed als die van het bedrijf zelf: Welke stappen nemen zij om toepassingen, automatiseringstools en software van derden te beschermen? Het is belangrijk op te merken dat, hoewel NIS2 niet rechtstreeks van invloed is op kleine bedrijven, zij gebonden zijn aan de zorgvuldigheid en de vereisten van de betrokken entiteiten binnen hun toeleveringsketen-ecosysteem.
- Formaliseer en test incident response plannen. NIS2 vraagt om snellere rapportage van incidenten – waarbij de eerste van meerdere rapporten binnen de eerste 24 uur na een incident bij de autoriteiten moet worden ingediend. Incident response plannen moeten geformaliseerd zijn en regelmatig worden getest. Net als regelgevende instanties evalueren cyberverzekeraars de back-up praktijken en incident response plannen om te begrijpen hoe snel organisaties hun activiteiten kunnen herstellen in de nasleep van een aanval.
- Bereid medewerkers voor. Het aanhoudende spervuur van imitatie en spear-phishing aanvallen gericht op waardevolle identiteitsgegevens maakt een cultuuromslag noodzakelijk. Teams en afdelingen moeten regelmatig worden voorgelicht over best practices op het gebied van cybersecurity. Als er nog geen trainingsprogramma voor cybersecurity is uitgerold, is dit het moment om dat te doen.
- Stimuleer het vrijwillig delen van informatie. Gelukkig leidt niet elke bedreiging tot diefstal of schade. Toch is het delen van informatie een belangrijk onderdeel van de bescherming van kritieke infrastructuur. De informatie van research communities over bedreigingen is waardevol en eigen bijdrage daaraan met informatie over indicators of compromise (IOC’s) en kwetsbaarheden wordt gewaardeerd. Hoewel dit waarschijnlijk geen verplichting wordt, is meer samenwerking essentieel om cybersecurity vooruit te helpen.
David Higgins, EMEA Technical Director van CyberArk.