Categorie: Assurance

Home / Assurance
jul52024

Wordt het wachtwoord van de lokale administrator in jouw omgeving hergebruikt?

Wordt het wachtwoord van de lokale administrator in jouw omgeving hergebruikt?

Het Windows-besturingssysteem bevat standaard een beheeraccount voor beheerdoeleinden waarvan het wachtwoord bij veel omgevingen op meerdere systemen hetzelfde is.

Waarom hergebruik van het wachtwoord vaak voorkomt

Het wachtwoord van het lokale administrator account wordt regelmatig hergebruikt en is dus hetzelfde op meerdere systemen binnen de organisatie. Dit kan bijvoorbeeld komen omdat er één image gebruikt wordt voor alle servers en één image voor alle werkplekken. In deze image is het lokale administrator account ingesteld en het wachtwoord wordt vervolgens nooit gewijzigd. Of men gebruikt een script om een standaard wachtwoord op elk systeem in te stellen.

Als een aanvaller administrator rechten heeft tot één van deze machines en het wachtwoord of versleutelde versie hiervan weet te achterhalen kan hij deze hergebruiken om toegang te krijgen tot meerdere of soms alle systemen binnen het domein. Met deze toegang kan het mogelijk zijn om volldige controle te krijgen binnen het domein.

Overzicht testomgeving

In ons test domein playground.local is hetzelfde lokale administrator wachtwoord gebruikt voor alle systemen in het domein. De gehashte versie van het wachtwoord is opgeslagen in de lokale SAM-database. Het is mogelijk om dit wachtwoord te verkrijgen door de inhoud hiervan uit te lezen.
Een hash is het resultaat van een hash-algoritme, wat een stuk tekst omzet naar een opsomming van letters en cijfers. Op deze manier kan men controleren of iemand het juiste wachtwoord ingevoerd heeft zonder dat dat wachtwoord opgeslagen is op een manier die terug te rekenen is naar het oorspronkelijke wachtwoord.

Een aanvaller met toegang tot deze hash kan een pass the hash aanval uitvoeren, waarbij de hash wordt gebruikt om te authenticeren . Om dit te demonstreren hebben wij een labomgeving opgezet bestaande uit één Windows cliënt en twee Windows-servers waaronder een webserver en een domeincontroller. Het lab ziet er als volgt uit:

Uitvoeren van de aanval

In ons lab demonstreren we deze aanval door gebruik te maken van een account die lokale administrator rechten heeft op een werkstation. Een aanvaller met lokale administrator rechten kan met behulp van Invoke-Mimikatz de hashes uitlezen van de (lokale) gebruikers, waaronder de hash van het lokale administrator account. Om dit te doen gebruiken wij het volgende commando: Invoke-Mimikatz -Command ‘”privilege::debug” “token::elevate” “lsadump::sam”‘

De hash (48e723f6efb3eff9ae669e239c42fff3) van het lokale administrator account kan gebruikt worden door de aanvaller om een pass the hash aanval uit te voeren waarbij hij zich probeert te authenticeren als de lokale administrator op elke machine binnen het domein. Dit kan een aanvaller bijvoorbeeld doen met het hulpprogramma NetExec.

De oranje letters in de afbeelding hierboven tonen aan dat wij op twee systemen lokale administrator toegang hebben. Dit betekent dat wij op dit moment toegang hebben tot alle systemen behalve de domeincontroller. Het is namelijk standaard niet mogelijk om met het lokale administrator account in te loggen op de domeincontroller, tenzij deze in de AD restore modus staat. 

Local Administrator Password Solution

Local Administrator Password Solution (LAPS) is een management programma van Microsoft dat gebruikt kan worden voor het beheren van lokale administrator wachtwoorden. LAPS genereert automatisch voor elk systeem een ander wachtwoord, dit doet het standaard om de 30 dagen . Vervolgens wordt het wachtwoord opgeslagen in het attribuut Ms-Mcs-AdmPwd.

Toegang tot het wachtwoord wordt verleend via het recht Control access op het attribuut. Control access is een Extended Right in Active Directory, wat betekent dat een gebruiker met de machtiging All Extended rights heeft op dat attribuut of een object daarboven, hij het wachtwoord in kan zien. Hieronder staat een voorbeeld:

Het opslaan van dit niet gehashte wachtwoord is dus geen probleem omdat het veld niet voor iedereen leesbaar is. Als een aanvaller over een account beschikt die toegang heeft tot de domeincontroller om dit uit te lezen of een gebruikersaccount met rechten, beschikt hij over veel meer rechten dan lokale administrator accounts.

Het opvragen van LAPS wachtwoorden

De wachtwoorden worden, indien opgevraagd over het netwerk, door de LAPS GUI en PowerShell versleuteld verstuurd. De LAPS GUI ziet er als volgt uit indien een geautoriseerde gebruiker het wachtwoord opvraagt:

Het is ook mogelijk om het wachtwoord op te vragen doormiddel vaan PowerShell met het volgende commando:

Get-AdmPwdPassword -Computername ‘computernaam’

mei282024

Securance & Kiwa: Cybersecurity oplossingen

Securance en Kiwa bundelen hun krachten op het gebied van oplossingen voor Cybersecurity en Risk Management

Securance, toonaangevend op het gebied van geïntegreerd Risk Management en Cybersecurity in Europa, kondigt met trots een nieuwe samenwerking aan met Kiwa, een gerespecteerde aanbieder van certificering en compliance diensten. Deze samenwerking zal zich richten op ISO-certificeringen en Assurance-diensten, waarbij we ons aanbod versterken terwijl we onze respectievelijke expertise behouden.

Bij Securance combineren we uitgebreide assurance- en adviesdiensten met geavanceerde cybersecuritymaatregelen om bedrijven te beschermen en te versterken. Door onze krachten te bundelen met Kiwa streven we ernaar onze gezamenlijke capaciteiten te benutten om robuustere, toonaangevende oplossingen te bieden die zijn afgestemd op de specifieke behoeften van onze klanten. Deze samenwerking stelt ons in staat onze serviceverlening te verbeteren, vooral op gebieden die compliance en operationele excellence vereisen.

Samen zetten Securance en Kiwa nieuwe standaarden op het gebied van Cybersecurity, Compliance en Risk Management. Onze samenwerking zal schaalbare oplossingen leveren die bedrijfscontinuïteit en veerkracht garanderen, en groei en innovatie bevorderen in een voortdurend veranderende digitale wereld.

Koen van der Aa, COO van Securance, zei: ”Wij zijn zeer verheugd onze samenwerking met Kiwa aan te kondigen. Deze samenwerking markeert een belangrijke stap vooruit voor beide bedrijven terwijl we onze krachten bundelen om onze diensten op het gebied van Risk Management en Cybersecurity te verbeteren. Samen zijn we toegewijd om aanzienlijke waarde te leveren aan onze klanten, door onze gecombineerde expertise te benutten om te voldoen aan de evoluerende behoeften van de markt. Ik kijk uit naar de kansen en successen die voor Kiwa en Securance in het verschiet liggen.”

Ook Marjolein Veenstra, teamleider cybersecurity bij Kiwa, is enthousiast over de strategische samenwerking met Securance. ‘Met deze stap kunnen we onze klanten met complexe certificerings- en assurancevraagstukken nog beter bedienen. Hierbij ontzorgen we onze klanten in het proces en kan er meer focus worden gelegd op de inhoudelijke beoordeling. Wij kijken dan ook graag naar de mogelijkheden om de klant en elkaar te versterken in de markt.’

mei142024

Operationele Risk Management: Vermijd de valkuilen

Operationele Risk Management: De veelvoorkomende valkuilen en het opbouwen van resilience

Operationeel risico omvat de talloze onzekerheden en inefficiënties die inherent zijn aan de dagelijkse activiteiten van een bedrijf. Deze risico’s kunnen voortkomen uit verschillende bronnen, waaronder systeemfouten, procesinefficiënties, menselijke fouten en externe gebeurtenissen. Het aanpakken van deze risico’s is cruciaal, niet alleen voor naleving of het beschermen van activa, maar als een essentiële strategie voor organisatorische veerkracht en concurrentievoordeel.

De veelvoorkomende valkuilen

Het pad van operationeel risicobeheer is vaak bezaaid met potentiële misstappen die de doelstellingen van een organisatie ernstig kunnen ondermijnen. Hier zijn enkele veelvoorkomende problemen die vaak over het hoofd worden gezien in traditionele risicobeheerbenaderingen:

Gecompartimenteerde risico functies: Wanneer Risk Management beperkt is tot specifieke afdelingen in plaats van geïntegreerd te zijn in de gehele organisatie, kunnen cruciale inzichten worden gemist.

Afhankelijkheid van verouderde systemen: Voortdurend vertrouwen op systemen die verouderd zijn zonder digitale vooruitgang te omarmen kan de reactietijden vertragen en de risicodetectie hinderen.

Statische Risk modellen: Veel organisaties houden vast aan risicomodellen die de dynamische aard van het bedrijfsleven niet in rekening brengen, waardoor ze evoluerende bedreigingen over het hoofd zien.

Een dieper begrip van deze uitdagingen is de eerste stap naar het ontwikkelen van een effectievere strategie voor risicobeheer.

Best practices van onze Advisory experts

Het transformeren van de benadering van een organisatie van operationeel risicobeheer vereist strategische aanpassingen en niet alleen tactische oplossingen. Hier zijn enkele geavanceerde praktijken die uw risicobeheerkader kunnen versterken:

Bevorder een Risk Management cultuur: Stimuleer een omgeving waarin het bespreken van risico’s op alle niveaus wordt aangemoedigd, waardoor transparantie en collectief begrip voor risicobeheer wordt verbeterd.

Werk Risk frameworks regelmatig bij: Het is van groot belang dat uw risicobeheerkaders de ontwikkelingen binnen en buiten de organisatie bijhouden. Dit houdt in dat uw risicobeleid en -procedures regelmatig worden herzien en bijgewerkt om nieuwe ontwikkelingen in uw branche, veranderingen in de regelgeving of verschuivingen in uw operationele omgeving te weerspiegelen.

Rapportages stroomlijnen: Het implementeren van gestroomlijnde en efficiënte rapporteringsmechanismen is cruciaal. Deze moeten ontworpen zijn om duidelijke, beknopte en tijdige informatie te verstrekken aan besluitvormers. Effectieve rapportagesystemen helpen bij het vroegtijdig identificeren van potentiële risico’s en bieden bruikbare inzichten om ze te beperken voordat ze escaleren.

Image that tries to show operational risk management. Text: fortify your risk management framework. In the right corner you see the Securance logo

Het vereist een vooruitdenkende aanpak die niet alleen huidige risico's aanpakt, maar ook anticipeert op toekomstige uitdagingen.

Operationeel Risk Management bevorderen door middel van tooling

In de wereld van operationeel risicobeheer is technologie niet slechts een hulpmiddel, maar een strategische bondgenoot. Onze partnerschappen met toonaangevende technologieaanbieders voorzien ons van geavanceerde tools die onze capaciteit voor risicobeheer aanzienlijk verbeteren:

Proactieve risicodetectie: Geavanceerde voorspellende analyses gebruiken om potentiële verstoringen te voorzien en te mitigeren voordat ze de organisatie beïnvloeden. Deze proactieve aanpak helpt de continuïteit en integriteit van de processen te behouden en zorgt ervoor dat risico’s efficiënt worden beheerd.

Geïntegreerde risico-oplossingen: Onze partners op het gebied van Risk Management tooling bieden uitgebreide platforms die een holistische kijk bieden op risico’s binnen de hele organisatie. Deze integratie maakt beter geïnformeerde besluitvorming mogelijk, omdat risicogegevens van verschillende afdelingen worden gecentraliseerd, zodat alle potentiële risico’s zichtbaar zijn en effectief worden beheerd.

Geavanceerde cyberbeveiligingsprotocollen: Implementatie van state-of-the-art cybersecuritymaatregelen om te beschermen tegen de meest recente digitale dreigingen. Deze protocollen worden voortdurend bijgewerkt, zodat we kunnen reageren op nieuwe cyberrisico’s en onze gevoelige gegevens en systemen kunnen beschermen tegen inbreuken.

Conclusie: Voortdurend evolueren en aanpassen

Effectief Risk Management draait om voortdurende evolutie en aanpassing. Het vereist een vooruitdenkende aanpak die niet alleen huidige risico’s aanpakt, maar ook anticipeert op toekomstige uitdagingen. Organisaties die zich inzetten om hun Risk Management praktijken voortdurend te verfijnen, zijn beter gepositioneerd om te gedijen in een onvoorspelbaar bedrijfsklimaat.

Door de veelvoorkomende valkuilen te begrijpen en geavanceerde technologie te integreren met behulp van bijvoorbeeld Risk Management tooling, kunnen bedrijven een robuust operationeel kader garanderen dat duurzaam succes stimuleert.

Foto van onderen gemaakt van wolkenkrabbers
mei62024

Belang van ISAE 3402 in vastgoed

Het belang van ISAE 3402 in de vastgoedsector

In de complexe wereld van het vastgoed, waar precisie in transactie-integriteit en de zekerheid van operationele controles essentieel zijn, onderscheidt ISAE 3402 zich als een cruciale standaard. Dit kader is niet alleen gericht op het voldoen aan compliance-eisen, maar is een beslissend instrument voor vastgoedbedrijven die hun toewijding aan robuuste governance en transparante financiële praktijken willen tonen. Door ISAE 3402 te integreren, voldoen firma’s niet alleen aan internationale normen, maar positioneren ze zich ook strategisch om het vertrouwen van investeerders en belanghebbenden te versterken in een steeds kritischer marktomgeving.

Wat is ISAE 3402?

ISAE 3402, de Internationale Standaard voor Assurance-opdrachten, is een cruciaal instrument voor dienstverlenende organisaties om sterke interne controles over hun operaties aan te tonen, vooral die welke betrekking hebben op financiële rapportering. Voor vastgoedbedrijven, die van nature complex zijn door hun aanzienlijke transactiewaarden en regelgevende controle, biedt ISAE 3402 een gestructureerde aanpak om de controlemechanismen te documenteren en valideren, waardoor de betrouwbaarheid van de informatie die aan investeerders en stakeholders wordt verstrekt, wordt verhoogd.

De rol van ISAE 3402 in Risk Management practices

Effectief risicobeheer is cruciaal in het vastgoed, waar de inzet inherent hoog is. De adoptie van ISAE 3402 helpt bedrijven een duidelijke en verantwoordelijke methode te ontwikkelen voor het beheer van operationele risico’s, waardoor investeerders en klanten gerustgesteld worden over de integriteit van de bedrijfsprocessen. Vastgoedbedrijven zoals Spring Real Estate hebben ISAE 3402 met succes benut om hun interne procedures te professionaliseren, waardoor de taxaties van eigendommen aan de hoogste normen voldoen.

Operationele voordelen van het implementeren van ISAE 3402

Het implementeren van ISAE 3402 biedt aanzienlijke operationele voordelen die verder gaan dan alleen naleving van regels, en die fundamenteel de efficiëntie en betrouwbaarheid van de interne systemen van vastgoedbedrijven verbeteren. Deze norm dwingt organisaties om hun controleprocessen kritisch te beoordelen en te documenteren, wat kan leiden tot aanzienlijke verbeteringen in de dagelijkse werking van deze systemen.

Allereerst moedigt de gestructureerde aanpak die ISAE 3402 vereist, organisaties aan om goed gedefinieerde procedures op te stellen voor het beheren van zowel routinematige als uitzonderlijke transacties. Deze duidelijkheid en standaardisatie van processen vermindert de kans op fouten en inefficiënties, stroomlijnt de bedrijfsvoering en kan de operationele kosten potentieel verlagen. Door regelmatige beoordelingen en audits van deze controles te verplichten, zorgt ISAE 3402 er ook voor dat deze processen effectief blijven en voortdurend verbeterd worden, in lijn met de beste praktijken en evoluerende industrienormen.

Ten tweede faciliteert ISAE 3402 grotere transparantie binnen de organisatie. Het vereist dat de details van de controleactiviteiten duidelijk worden gedocumenteerd en direct beschikbaar zijn voor audits. Deze transparantie is cruciaal, niet alleen voor interne beoordelingen, maar versterkt ook de geloofwaardigheid van de organisatie bij externe belanghebbenden, waaronder regelgevers, investeerders en partners Door een toewijding aan strenge governance te demonstreren via naleving van ISAE 3402, kunnen bedrijven vertrouwen opbouwen en hun reputatie op de markt versterken.

Bovendien kan het belang van het risicobeheeraspect van ISAE 3402 niet worden overschat. Door potentiële risico’s in operaties en financiële rapportages te identificeren en aan te pakken, kunnen bedrijven belangrijke valkuilen vermijden die anders hun financiële gezondheid en operationele stabiliteit zouden kunnen beïnvloeden. Deze proactieve risicobeoordeling helpt het bedrijf te beschermen tegen mogelijke financiële discrepanties en operationele verstoringen, wat op zijn beurt duurzame bedrijfsgroei ondersteunt.

Bovendien leidt de implementatie van ISAE 3402 vaak tot een cultuurverschuiving binnen de organisatie naar een groter bewustzijn van controle onder medewerkers. Wanneer medewerkers zich bewust zijn van het feit dat processen regelmatig worden beoordeeld en geaudit, bevordert dit een cultuur van verantwoordelijkheid en nauwkeurigheid. Deze culturele verschuiving is niet alleen gunstig voor nalevingsdoeleinden, maar verbetert ook de algehele operationele discipline van de organisatie, wat leidt tot betere besluitvorming en verhoogde organisatorische wendbaarheid.

ISAE 3402 als katalysator voor marktdifferentiatie en groei

ISAE 3402 biedt vastgoedbedrijven een krachtig kader om hun naleving van strikte governance en operationele uitmuntendheid te benadrukken, wat cruciaal is voor differentiatie in een concurrerende markt. Deze naleving stelt investeerders en klanten gerust over de toewijding van het bedrijf aan het handhaven van hoge normen in procesbeheer en risicocontrole. Door te voldoen aan de ISAE 3402-normen verbeteren bedrijven niet alleen hun geloofwaardigheid maar optimaliseren ze ook hun operationele workflows, wat kan leiden tot verhoogde efficiëntie en lagere overheadkosten. Bovendien bevordert de vereiste voor regelmatige audits onder ISAE 3402 een cultuur van continue verbetering binnen bedrijven, wat ervoor zorgt dat hun processen in lijn blijven met de beste praktijken en zich aanpassen aan nieuwe regelgevende eisen. Deze proactieve houding ten aanzien van transparantie en verantwoordingsplicht maakt een vastgoedbedrijf aantrekkelijker voor potentiële partners en investeerders, waardoor zijn reputatie als betrouwbare en vooruitstrevende marktleider wordt versterkt.

ISAE 3402 is een cruciale standaard binnen de vastgoedsector, die van cruciaal belang is voor het waarborgen van de integriteit van transacties en het opzetten van robuuste operationele controles.

De toekomst van ISAE 3402

Naarmate technologie het landschap van het vastgoed blijft hervormen, staat ISAE 3402 klaar voor noodzakelijke aanpassingen om de uitdagingen van digitale transformatie aan te gaan. Verwacht wordt dat de standaard steeds meer zal focussen op IT-risico’s, cybersecurity-maatregelen en gegevensbescherming om ervoor te zorgen dat vastgoedbedrijven gevoelige informatie effectief kunnen beheren en beschermen in een wereld waar digitaal op de eerste plaats komt. Deze verschuiving is cruciaal nu de afhankelijkheid van digitale platforms en data-analyse toeneemt, wat robuuste beveiligings- en privacycontroles vereist om het vertrouwen van belanghebbenden te behouden en te voldoen aan strenge datavoorschriften.

Bovendien, naarmate milieu-, sociale en bestuursfactoren (ESG) een integraler onderdeel worden van bedrijfsvoering en investeringsbeslissingen, kan ISAE 3402 worden uitgebreid om deze aspecten op te nemen. Het afstemmen van de standaard met ESG-overwegingen zal niet alleen voldoen aan de groeiende vraag naar duurzaamheid en ethisch bestuur, maar zal ook de transparantie en verantwoordingsplicht in deze kritieke gebieden verbeteren. Dergelijke ontwikkelingen zullen voortdurende updates van interne praktijken en processen onder vastgoedbedrijven noodzakelijk maken, om te waarborgen dat zij compliant blijven en blijven leiden in governance en risicobeheer te midden van evoluerende marktverwachtingen.

Conclusie: de continue relevantie van ISAE 3402 in de vastgoedsector

ISAE 3402 geldt als een cruciale standaard binnen de vastgoedsector, essentieel voor het waarborgen van transactionele integriteit en het vestigen van robuuste operationele controles. Dit raamwerk gaat verder dan louter regelgevende naleving en fungeert als een onmisbaar instrument voor vastgoedbedrijven die hun toewijding aan degelijk bestuur en transparante financiële praktijken willen tonen. Door ISAE 3402 te implementeren, sluiten bedrijven niet alleen aan bij internationale normen, maar versterken ze ook strategisch hun positie om het vertrouwen van investeerders te vergroten in een kritisch bekeken markt.

De betekenis van ISAE 3402 doordringt elk niveau van een vastgoedorganisatie, van het stroomlijnen van operaties tot het versterken van risicobeheerkaders. Het versterkt een discipline van continue verbetering en verantwoording, wat leidt tot operationele verbeteringen die inefficiënties verminderen en de financiële gezondheid van het bedrijf beschermen. Bovendien wijst de evoluerende aard van de standaard—vooral de potentiële uitbreiding om IT-risico’s en ESG-factoren te dekken—op een groeiende afstemming met hedendaagse bedrijfspraktijken en verwachtingen van belanghebbenden. Terwijl vastgoedbedrijven de complexiteiten van een digitaal en milieubewust marktlandschap navigeren, biedt ISAE 3402 een duidelijk pad om competitief voordeel te behouden en een reputatie van uitmuntendheid en betrouwbaarheid te ondersteunen in een voortdurend evoluerende industrie.

Meer informatie over onze ISAE 3402 diensten