World Password Day valt dit jaar op donderdag 5 mei en wordt al negen jaar ‘gevierd’ om stil te staan bij de beveiliging van gegevens. Uit onderzoek blijkt dat mensen niet het enige doelwit zijn voor aanvallers die proberen toegang te krijgen tot de kritieke gegevens of systemen van een organisatie. Medewerkers blijven een lucratief en relatief gemakkelijk doelwit; het gemiddelde personeelslid heeft immers meer dan 30 digitale identiteiten, en meer dan de helft heeft een vorm van vertrouwelijke toegang. Maar softwarebots – kleine stukjes code die repetitieve taken uitvoeren – bestaan in enorme aantallen in de gemiddelde organisatie en zijn een aantrekkelijk doelwit geworden.
Aanvallers gaan specifiek achter bots aan omdat ze weten dat hun wachtwoorden in veel gevallen niet worden gerouleerd. Bovendien hebben deze bots over het algemeen te veel rechten, meer toegang dan ze nodig hebben en niet altijd zoals menselijke identiteiten worden gecontroleerd op opvallendheden. Een gecompromitteerde bot geeft een aanvaller toegang en gelegenheid om onopgemerkt te blijven. We zien nog regelmatig bots die een back-up maken van alle servers of domein admin accounts. In sommige gevallen gebruiken deze bots nog steeds standaardwachtwoorden. Een overname hiervan geldt als een “game over” situatie voor de betreffende organisatie.
Robotic process automation bots zijn een belangrijk onderdeel van digitaal zakendoen, zeker nu de investeringen in automatisering blijven stijgen. Ze hebben informatie en toegang nodig zodat ze kunnen doen wat ze doen. Niet minder dan 68 procent van de niet-menselijke identiteiten of bots heeft toegang tot gevoelige gegevens en bedrijfssystemen, blijkt uit het CyberArk 2022 Identity Security Threat Landscape rapport. Het rapport toont ook aan dat machine-identiteiten nu veelvuldiger zijn dan menselijke identiteiten, gemiddeld zelfs 45 keer zoveel, en dat hun credentials meestal niet goed worden beschermd, wat de veiligheid nog meer in gevaar brengt. Hard-coded wachtwoorden en secrets verspreid over de omgeving behoren tot de praktijken die moeten worden uitgebannen ten gunste van gecentraliseerd, robuust wachtwoordbeheer, voor zowel mensen als machines.
Bryan Murphy, Senior Director, Consulting Services & Incident Response bij CyberArk