Ik vertrouw niets, totdat ik heb kunnen verifiëren dat het goed is
Het staat een beetje haaks op mijn opvoeding; waarin mij is bijgebracht om altijd uit te gaan van de goedheid van de mens. Iemand het voordeel van de twijfel geven en achteraf indien nodig pas je idee of oordeel bijstellen. In de ICT werkt dat helaas niet zo.
Met een constante dreiging van cybercriminelen moet je anders gaan denken en eigenlijk niets meer vertrouwen totdat je weet met wie of wat je te maken hebt. Lijkt een beetje op een citaat van de beroemde Nederlandse topvoetballer en voetballegende Johan Cruyff; “Ik ben overal tegen. Tot ik een besluit neem, dan ben ik ervoor. Lijkt me logisch”
In IT Security zouden we iets soortgelijks kunnen zeggen, ik vertrouw niets, totdat ik heb kunnen verifiëren dat het goed is, dat lijkt me logisch.
Het is alleen niet zo eenvoudig om te kunnen vaststellen hoe je iets kunt vertrouwen. Het is alleen niet zo eenvoudig om te kunnen vaststellen hoe je iets kunt vertrouwen.
Vertrouwde autoriteit
Want wat kun je uit een selectie servers, PCs, websites, netwerken, applicaties, e-mails en personen allemaal vertrouwen? Dat begint met het vaststellen van een vertrouwde autoriteit. In de IT is dat veelal een certificate authority, ofwel een CA. Deze CA is verantwoordelijk voor het uitgeven van digitale certificaten. We kennen certificaten van de het sleuteltje dat wordt weergegeven bij het bezoeken van een website waarvan de dan de identiteit kunnen vaststellen, bijvoorbeeld om je bankzaken te regelen. Deze certificaten dienen niet alleen ter verificatie maar worden ook gebruikt voor het beveiligen van data middels encryptie.
Voor organisaties is het van belang om een eigen CA te hebben. In de wereld van Microsoft is dat veelal een rol die samenhangt met Active Directory. Het is dan mogelijk om medewerkers een ID te geven samen met een certificaat waarmee toegang wordt verkregen tot (Cloud) services. Zo’n certificaat kan worden opgeslagen in bijvoorbeeld een Smartcard, waarmee naast het wachtwoord een 2e authenticatie middel wordt gebruikt. De identiteit van medewerkers wordt met dit Company ID of Work Account centraal geregeld en zorgt voor de veilige toegang tot niet alleen Microsoft Cloud Services als Exchange, SharePoint en Teams, maar ook kan integratie plaatsvinden met Cloud applicaties van derden.
Veilige keten van ICT-systemen
Om nog een stap verder te gaan dienen alle apparaten in de keten, zoals smartphones, laptops en wifi-accesspoints te worden voorzien van een digitaal certificaat. Adequaat beheer op deze certificaten is vervolgens van essentieel belang. De impact van een verlopen certificaat op de beschikbaarheid is enorm. Een verlopen certificaat is ongeldig, kan daardoor niet meer worden vertrouwd en daarmee vertrouw je dus de hele keten niet meer.
Binnen Universal zorgen we ervoor dat de honderden certificaten van onze relaties tijdig worden vernieuwd en opnieuw worden geïnstalleerd door onze Engineers. Dit kunnen certificaten zijn voor servers, Docker containers, websites, firewalls, smartcards en mobile device management services als InTune.
Op het moment dat je dit als organisatie integraal doorvoert kun je eindgebruikers weer naar hun oude gewoonte laten terugkeren. Ze vertrouwen hun computer en als diezelfde computer heeft kunnen vaststellen te worden gebruikt door de rechthebbende medewerker, bijvoorbeeld door een biometrische identificatie, ontstaat er een wederzijds vertrouwen. Je mag er dan als eindgebruiker vanuit gaan dat diensten die je van je organisatie gebruikt ook echt van jouw organisatie zijn, simpelweg omdat ze anders gemarkeerd zouden worden als onbetrouwbaar, bijvoorbeeld door de weergave van een gebroken sleuteltje.
Vanuit Universal helpen we bedrijven met een opzetten van een veilige keten van ICT-systemen. Dat begint met het opzetten van een infrastructuur voor het faciliteren van een Company Account, maar omvat ook de gehele keten van apparatuur tot en met Cloud services. Daarbij is het registeren van gebeurtenissen essentieel om constant te kunnen monitoren wat er gebeurt. In een latere blog zal ik dieper ingaan op het belang van een juiste detectie en response mechanisme ter beveiliging van de ICT-infrastructuur.
