Categorie: Advisory

Home / Advisory
jul52024

Wordt het wachtwoord van de lokale administrator in jouw omgeving hergebruikt?

Wordt het wachtwoord van de lokale administrator in jouw omgeving hergebruikt?

Het Windows-besturingssysteem bevat standaard een beheeraccount voor beheerdoeleinden waarvan het wachtwoord bij veel omgevingen op meerdere systemen hetzelfde is.

Waarom hergebruik van het wachtwoord vaak voorkomt

Het wachtwoord van het lokale administrator account wordt regelmatig hergebruikt en is dus hetzelfde op meerdere systemen binnen de organisatie. Dit kan bijvoorbeeld komen omdat er één image gebruikt wordt voor alle servers en één image voor alle werkplekken. In deze image is het lokale administrator account ingesteld en het wachtwoord wordt vervolgens nooit gewijzigd. Of men gebruikt een script om een standaard wachtwoord op elk systeem in te stellen.

Als een aanvaller administrator rechten heeft tot één van deze machines en het wachtwoord of versleutelde versie hiervan weet te achterhalen kan hij deze hergebruiken om toegang te krijgen tot meerdere of soms alle systemen binnen het domein. Met deze toegang kan het mogelijk zijn om volldige controle te krijgen binnen het domein.

Overzicht testomgeving

In ons test domein playground.local is hetzelfde lokale administrator wachtwoord gebruikt voor alle systemen in het domein. De gehashte versie van het wachtwoord is opgeslagen in de lokale SAM-database. Het is mogelijk om dit wachtwoord te verkrijgen door de inhoud hiervan uit te lezen.
Een hash is het resultaat van een hash-algoritme, wat een stuk tekst omzet naar een opsomming van letters en cijfers. Op deze manier kan men controleren of iemand het juiste wachtwoord ingevoerd heeft zonder dat dat wachtwoord opgeslagen is op een manier die terug te rekenen is naar het oorspronkelijke wachtwoord.

Een aanvaller met toegang tot deze hash kan een pass the hash aanval uitvoeren, waarbij de hash wordt gebruikt om te authenticeren . Om dit te demonstreren hebben wij een labomgeving opgezet bestaande uit één Windows cliënt en twee Windows-servers waaronder een webserver en een domeincontroller. Het lab ziet er als volgt uit:

Uitvoeren van de aanval

In ons lab demonstreren we deze aanval door gebruik te maken van een account die lokale administrator rechten heeft op een werkstation. Een aanvaller met lokale administrator rechten kan met behulp van Invoke-Mimikatz de hashes uitlezen van de (lokale) gebruikers, waaronder de hash van het lokale administrator account. Om dit te doen gebruiken wij het volgende commando: Invoke-Mimikatz -Command ‘”privilege::debug” “token::elevate” “lsadump::sam”‘

De hash (48e723f6efb3eff9ae669e239c42fff3) van het lokale administrator account kan gebruikt worden door de aanvaller om een pass the hash aanval uit te voeren waarbij hij zich probeert te authenticeren als de lokale administrator op elke machine binnen het domein. Dit kan een aanvaller bijvoorbeeld doen met het hulpprogramma NetExec.

De oranje letters in de afbeelding hierboven tonen aan dat wij op twee systemen lokale administrator toegang hebben. Dit betekent dat wij op dit moment toegang hebben tot alle systemen behalve de domeincontroller. Het is namelijk standaard niet mogelijk om met het lokale administrator account in te loggen op de domeincontroller, tenzij deze in de AD restore modus staat. 

Local Administrator Password Solution

Local Administrator Password Solution (LAPS) is een management programma van Microsoft dat gebruikt kan worden voor het beheren van lokale administrator wachtwoorden. LAPS genereert automatisch voor elk systeem een ander wachtwoord, dit doet het standaard om de 30 dagen . Vervolgens wordt het wachtwoord opgeslagen in het attribuut Ms-Mcs-AdmPwd.

Toegang tot het wachtwoord wordt verleend via het recht Control access op het attribuut. Control access is een Extended Right in Active Directory, wat betekent dat een gebruiker met de machtiging All Extended rights heeft op dat attribuut of een object daarboven, hij het wachtwoord in kan zien. Hieronder staat een voorbeeld:

Het opslaan van dit niet gehashte wachtwoord is dus geen probleem omdat het veld niet voor iedereen leesbaar is. Als een aanvaller over een account beschikt die toegang heeft tot de domeincontroller om dit uit te lezen of een gebruikersaccount met rechten, beschikt hij over veel meer rechten dan lokale administrator accounts.

Het opvragen van LAPS wachtwoorden

De wachtwoorden worden, indien opgevraagd over het netwerk, door de LAPS GUI en PowerShell versleuteld verstuurd. De LAPS GUI ziet er als volgt uit indien een geautoriseerde gebruiker het wachtwoord opvraagt:

Het is ook mogelijk om het wachtwoord op te vragen doormiddel vaan PowerShell met het volgende commando:

Get-AdmPwdPassword -Computername ‘computernaam’

mei282024

Securance & Kiwa: Cybersecurity oplossingen

Securance en Kiwa bundelen hun krachten op het gebied van oplossingen voor Cybersecurity en Risk Management

Securance, toonaangevend op het gebied van geïntegreerd Risk Management en Cybersecurity in Europa, kondigt met trots een nieuwe samenwerking aan met Kiwa, een gerespecteerde aanbieder van certificering en compliance diensten. Deze samenwerking zal zich richten op ISO-certificeringen en Assurance-diensten, waarbij we ons aanbod versterken terwijl we onze respectievelijke expertise behouden.

Bij Securance combineren we uitgebreide assurance- en adviesdiensten met geavanceerde cybersecuritymaatregelen om bedrijven te beschermen en te versterken. Door onze krachten te bundelen met Kiwa streven we ernaar onze gezamenlijke capaciteiten te benutten om robuustere, toonaangevende oplossingen te bieden die zijn afgestemd op de specifieke behoeften van onze klanten. Deze samenwerking stelt ons in staat onze serviceverlening te verbeteren, vooral op gebieden die compliance en operationele excellence vereisen.

Samen zetten Securance en Kiwa nieuwe standaarden op het gebied van Cybersecurity, Compliance en Risk Management. Onze samenwerking zal schaalbare oplossingen leveren die bedrijfscontinuïteit en veerkracht garanderen, en groei en innovatie bevorderen in een voortdurend veranderende digitale wereld.

Koen van der Aa, COO van Securance, zei: ”Wij zijn zeer verheugd onze samenwerking met Kiwa aan te kondigen. Deze samenwerking markeert een belangrijke stap vooruit voor beide bedrijven terwijl we onze krachten bundelen om onze diensten op het gebied van Risk Management en Cybersecurity te verbeteren. Samen zijn we toegewijd om aanzienlijke waarde te leveren aan onze klanten, door onze gecombineerde expertise te benutten om te voldoen aan de evoluerende behoeften van de markt. Ik kijk uit naar de kansen en successen die voor Kiwa en Securance in het verschiet liggen.”

Ook Marjolein Veenstra, teamleider cybersecurity bij Kiwa, is enthousiast over de strategische samenwerking met Securance. ‘Met deze stap kunnen we onze klanten met complexe certificerings- en assurancevraagstukken nog beter bedienen. Hierbij ontzorgen we onze klanten in het proces en kan er meer focus worden gelegd op de inhoudelijke beoordeling. Wij kijken dan ook graag naar de mogelijkheden om de klant en elkaar te versterken in de markt.’

mei282024

DORA: Het versterken van de financiële sector

DORA: Het versterken van de financiële sector

Nu financiële instellingen steeds meer afhankelijk zijn van digitale systemen, is de noodzaak voor robuuste operationele veerkracht belangrijker dan ooit. De Digital Operational Resilience Act (DORA) is een baanbrekende regelgeving die erop gericht is de financiële sector te versterken tegen digitale verstoringen. In deze blogpost verkennen we hoe DORA de veerkracht van de sector vergroot.

De rol van DORA

DORA is een kader dat door de Europese Unie is ingevoerd om ervoor te zorgen dat de financiële sector IT-gerelateerde verstoringen en dreigingen kan weerstaan, erop kan reageren en ervan kan herstellen. DORA erkent de onderlinge verbondenheid en afhankelijkheden binnen het financiële systeem en streeft naar het standaardiseren en versterken van de digitale veerkracht van de sector in de hele EU.

Het belang van DORA ligt in de uitgebreide aanpak. Het verplicht financiële instellingen om robuuste IT-risicomanagementprocessen te implementeren, regelmatige dreigingsgerichte penetratietests uit te voeren en continue monitoring en rapportage van hun IT-systemen te waarborgen. Door een uniforme regelgevende omgeving te creëren, helpt DORA de gefragmenteerde aanpak van cyberbeveiliging, die eerder in verschillende EU-lidstaten werd gezien, te verminderen.

De operationele kracht vergroten met DORA

Operationele veerkracht is het vermogen van een organisatie om kritieke operaties voort te zetten tijdens verstoringen. DORA vergroot de operationele veerkracht aanzienlijk door uitgebreide IT-risicomanagementkaders af te dwingen. Financiële instellingen moeten IT-risico’s identificeren, beoordelen en mitigeren, zodat ze hun operaties kunnen voortzetten, zelfs onder ongunstige omstandigheden. Daarnaast verplicht DORA tijdige incidentrapportage, wat snelle respons en coördinatie op zowel nationaal als EU-niveau mogelijk maakt.

Continuïteits- en rampenherstelplannen zijn essentieel voor de vereisten van DORA. Deze plannen moeten regelmatig worden getest om hun effectiviteit in praktijkomstandigheden te waarborgen. Bovendien stelt DORA strenge eisen voor het beheren van derdepartijrisico’s, waardoor afhankelijkheden van externe dienstverleners de operationele veerkracht niet in gevaar brengen. Door deze praktijken af te dwingen, zorgt DORA ervoor dat financiële instellingen zijn voorbereid op IT-gerelateerde verstoringen terwijl essentiële diensten worden gehandhaafd.

Betere gegevensverwerking onder DORA

Gegevensbeheer is een cruciaal aspect van het DORA-kader, waarbij de nadruk ligt op effectieve strategieën om gegevens veilig en efficiënt te beheren. DORA sluit aan bij bestaande gegevensbeschermingsregels zoals de AVG, waardoor financiële instellingen klantgegevens met de grootste zorg en vertrouwelijkheid behandelen. Dit omvat het implementeren van sterke versleuteling en gegevensmaskeringstechnieken om gevoelige informatie te beschermen.

Het waarborgen van de integriteit en beschikbaarheid van gegevens is van het grootste belang onder DORA. Financiële instellingen moeten robuuste oplossingen voor gegevensback-up en -herstel aannemen, met regelmatige tests om snelle en nauwkeurige gegevensherstel in geval van verstoringen te garanderen. Bovendien pleit DORA voor uitgebreide gegevensbeheer frameworks, waarin beleidslijnen, procedures en verantwoordelijkheden voor gegevensbeheer worden uiteengezet. Deze frameworks helpen bij het behouden van de gegevenskwaliteit, waarborgen naleving en ondersteunen weloverwogen besluitvorming.

Effectief gegevensbeheer onder DORA omvat ook een duidelijk incidentrespons- en rapportagemechanisme. Financiële instellingen moeten protocollen hebben om snel datalekken te identificeren, te beperken en te melden, waardoor potentiële schade wordt geminimaliseerd.

De strategische voordelen van DORA kunnen financiële instellingen positioneren voor continue succes en meer veerkracht.

DORA en andere financiële wetten

DORA is ontworpen om in harmonie te werken met andere financiële regels, waardoor een samenhangende regelgevende omgeving ontstaat. Het vult de Algemene Verordening Gegevensbescherming (AVG) aan door ervoor te zorgen dat robuuste cyberbeveiligingsmaatregelen zijn getroffen, waardoor gegevens worden beschermd tegen inbreuken en cyberaanvallen. DORA versterkt ook de herziene richtlijn betalingsdiensten (PSD2) door de beveiliging van ICT-systemen die bij betalingsdiensten zijn betrokken te versterken, wat zorgt voor ononderbroken en veilige betalingsverwerking.

Bovendien ondersteunt DORA de Richtlijn betreffende markten voor financiële instrumenten II (MiFID II) door ervoor te zorgen dat de ICT-infrastructuur die de financiële markten ondersteunt veerkrachtig en veilig blijft. Het bouwt ook voort op de Richtlijn netwerk- en informatiesystemen (NIS-richtlijn) door zich specifiek te richten op de financiële sector en te zorgen voor op maat gemaakte en strenge maatregelen voor financiële instellingen. Door af te stemmen op deze regels, zorgt DORA voor een uitgebreide aanpak van cyberbeveiliging en operationele veerkracht, die verschillende aspecten van financiële operaties en gegevensbeheer bestrijkt.

Plannen voor de toekomst met DORA

DORA gaat niet alleen over naleving/compliance; het is een strategisch instrument dat langdurige voordelen biedt. Financiële instellingen die voldoen aan de strenge eisen van DORA kunnen hun inzet voor operationele veerkracht en cyberbeveiliging aantonen, wat vertrouwen opbouwt bij klanten en belanghebbenden. Dit verbetert de reputatie van de instelling als een veilige en betrouwbare entiteit, wat meer klanten en zakenpartners aantrekt.

Het implementeren van de frameworks van DORA kan ook leiden tot verbeterde operationele efficiëntie. Gestroomlijnde processen, regelmatige tests en continue monitoring helpen bij het proactief identificeren en aanpakken van problemen, waardoor uitvaltijd en operationele kosten worden verminderd. Bovendien zorgt de nadruk van DORA op continue verbetering en aanpassing ervoor dat financiële instellingen zijn voorbereid op toekomstige uitdagingen. Door voorop te blijven lopen bij opkomende dreigingen en regelgevende veranderingen, kunnen instellingen hun veerkracht en relevantie behouden in een snel veranderend landschap.

Conclusie: DORA vertegenwoordigt een significante vooruitgang

DORA vertegenwoordigt een belangrijke stap voorwaarts in het versterken van de operationele veerkracht van de financiële sector. Door uitgebreide IT-risicobeheer, gegevensbeheer en afstemming met andere regels te integreren, biedt DORA een robuust kader voor financiële instellingen om te gedijen te midden van digitale uitdagingen. Het benutten van de strategische voordelen van DORA kan financiële instellingen positioneren voor langdurig succes en veerkracht in de toekomst.

Start met de adviesdiensten van Securance

Bent u klaar om de veerkracht van uw organisatie onder DORA te vergroten? Securance biedt uitgebreide Advisory Services om u te helpen navigeren door dit regelgevingslandschap. We kunnen een grondige gap-analyse uitvoeren om uw huidige positie met betrekking tot DORA te identificeren en u te ondersteunen bij het implementeren van de noodzakelijke maatregelen. Neem vandaag nog contact met ons op.

Neem contact met ons op
mei142024

Operationele Risk Management: Vermijd de valkuilen

Operationele Risk Management: De veelvoorkomende valkuilen en het opbouwen van resilience

Operationeel risico omvat de talloze onzekerheden en inefficiënties die inherent zijn aan de dagelijkse activiteiten van een bedrijf. Deze risico’s kunnen voortkomen uit verschillende bronnen, waaronder systeemfouten, procesinefficiënties, menselijke fouten en externe gebeurtenissen. Het aanpakken van deze risico’s is cruciaal, niet alleen voor naleving of het beschermen van activa, maar als een essentiële strategie voor organisatorische veerkracht en concurrentievoordeel.

De veelvoorkomende valkuilen

Het pad van operationeel risicobeheer is vaak bezaaid met potentiële misstappen die de doelstellingen van een organisatie ernstig kunnen ondermijnen. Hier zijn enkele veelvoorkomende problemen die vaak over het hoofd worden gezien in traditionele risicobeheerbenaderingen:

Gecompartimenteerde risico functies: Wanneer Risk Management beperkt is tot specifieke afdelingen in plaats van geïntegreerd te zijn in de gehele organisatie, kunnen cruciale inzichten worden gemist.

Afhankelijkheid van verouderde systemen: Voortdurend vertrouwen op systemen die verouderd zijn zonder digitale vooruitgang te omarmen kan de reactietijden vertragen en de risicodetectie hinderen.

Statische Risk modellen: Veel organisaties houden vast aan risicomodellen die de dynamische aard van het bedrijfsleven niet in rekening brengen, waardoor ze evoluerende bedreigingen over het hoofd zien.

Een dieper begrip van deze uitdagingen is de eerste stap naar het ontwikkelen van een effectievere strategie voor risicobeheer.

Best practices van onze Advisory experts

Het transformeren van de benadering van een organisatie van operationeel risicobeheer vereist strategische aanpassingen en niet alleen tactische oplossingen. Hier zijn enkele geavanceerde praktijken die uw risicobeheerkader kunnen versterken:

Bevorder een Risk Management cultuur: Stimuleer een omgeving waarin het bespreken van risico’s op alle niveaus wordt aangemoedigd, waardoor transparantie en collectief begrip voor risicobeheer wordt verbeterd.

Werk Risk frameworks regelmatig bij: Het is van groot belang dat uw risicobeheerkaders de ontwikkelingen binnen en buiten de organisatie bijhouden. Dit houdt in dat uw risicobeleid en -procedures regelmatig worden herzien en bijgewerkt om nieuwe ontwikkelingen in uw branche, veranderingen in de regelgeving of verschuivingen in uw operationele omgeving te weerspiegelen.

Rapportages stroomlijnen: Het implementeren van gestroomlijnde en efficiënte rapporteringsmechanismen is cruciaal. Deze moeten ontworpen zijn om duidelijke, beknopte en tijdige informatie te verstrekken aan besluitvormers. Effectieve rapportagesystemen helpen bij het vroegtijdig identificeren van potentiële risico’s en bieden bruikbare inzichten om ze te beperken voordat ze escaleren.

Image that tries to show operational risk management. Text: fortify your risk management framework. In the right corner you see the Securance logo

Het vereist een vooruitdenkende aanpak die niet alleen huidige risico's aanpakt, maar ook anticipeert op toekomstige uitdagingen.

Operationeel Risk Management bevorderen door middel van tooling

In de wereld van operationeel risicobeheer is technologie niet slechts een hulpmiddel, maar een strategische bondgenoot. Onze partnerschappen met toonaangevende technologieaanbieders voorzien ons van geavanceerde tools die onze capaciteit voor risicobeheer aanzienlijk verbeteren:

Proactieve risicodetectie: Geavanceerde voorspellende analyses gebruiken om potentiële verstoringen te voorzien en te mitigeren voordat ze de organisatie beïnvloeden. Deze proactieve aanpak helpt de continuïteit en integriteit van de processen te behouden en zorgt ervoor dat risico’s efficiënt worden beheerd.

Geïntegreerde risico-oplossingen: Onze partners op het gebied van Risk Management tooling bieden uitgebreide platforms die een holistische kijk bieden op risico’s binnen de hele organisatie. Deze integratie maakt beter geïnformeerde besluitvorming mogelijk, omdat risicogegevens van verschillende afdelingen worden gecentraliseerd, zodat alle potentiële risico’s zichtbaar zijn en effectief worden beheerd.

Geavanceerde cyberbeveiligingsprotocollen: Implementatie van state-of-the-art cybersecuritymaatregelen om te beschermen tegen de meest recente digitale dreigingen. Deze protocollen worden voortdurend bijgewerkt, zodat we kunnen reageren op nieuwe cyberrisico’s en onze gevoelige gegevens en systemen kunnen beschermen tegen inbreuken.

Conclusie: Voortdurend evolueren en aanpassen

Effectief Risk Management draait om voortdurende evolutie en aanpassing. Het vereist een vooruitdenkende aanpak die niet alleen huidige risico’s aanpakt, maar ook anticipeert op toekomstige uitdagingen. Organisaties die zich inzetten om hun Risk Management praktijken voortdurend te verfijnen, zijn beter gepositioneerd om te gedijen in een onvoorspelbaar bedrijfsklimaat.

Door de veelvoorkomende valkuilen te begrijpen en geavanceerde technologie te integreren met behulp van bijvoorbeeld Risk Management tooling, kunnen bedrijven een robuust operationeel kader garanderen dat duurzaam succes stimuleert.