Identity security explained in the Belgian NIS2 law

Belgien war das erste europäische Land, das NIS2 im April in nationales Recht umsetzte, und zwar durch „NIS2-Gesetz“Dadurch unterscheiden sie sich im positiven Sinne von ihren französischen, niederländischen und deutschen Nachbarn, die sich aufgrund politischer Instabilität allesamt in einer Verzögerung des Umsetzungsprozesses befinden.

Parallel dazu hat das CCB (Center for Cybersecurity Belgium), die lokale Agentur, die für die Durchsetzung der NIS2-Konformität zuständig ist, den Sicher im Web @work Initiative. Darin wird ein detaillierter und praktischer Rahmen für alle gesetzlich vorgeschriebenen Maßnahmen festgelegt, basierend auf der Größe und dem Tätigkeitsbereich einer Organisation.

Nach der Durchsicht der Empfehlungen des CCB analysiert dieser Blogbeitrag die wichtigsten Anforderungen in Bezug auf Identity-Security-Lücken, die alle belgischen „essentiellen“ und „wichtigen“ Unternehmen umsetzen müssen. Wir werden auch hervorheben, wie Silverfort kann diesen Organisationen dabei helfen, die Einhaltung dieser Maßnahmen zu erreichen.

Der Ansatz des CCB stützt sich hauptsächlich auf die NIST CSF-Framework, das 5 Kernfunktionen zur Sicherung von Informationssystemen identifiziert: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Das belgische NIS2-Gesetz verlangt eine Investition in jede Funktion, die der Größe und Bedeutung jeder Einheit proportional ist. Wir finden im Safeonweb@work-Framework auch zahlreiche Verweise auf die Normen ISO27001 und ISO27002, die wirksame Maßnahmen zur Gestaltung und Stärkung der Sicherheit von Informationssystemen festlegen. Diese Normen haben weltweite Anerkennung gefunden und bilden eine solide Grundlage, auf der jede Organisation ein Cybersicherheitsprogramm aufbauen kann.

Schutz Anforderungen von NIS2

Jede der 5 Funktionen im NIST-Framework hat eine Identitätskomponente. In den Empfehlungen des CCB sind jedoch die Kapitel zu Schutz und Erkennung eindeutig die relevantesten. Ersteres enthält sogar einen ganzen Abschnitt (PR.AC), der dem Identitätsmanagement gewidmet ist. AD-Authentifizierungund Zugriffskontrollen. Identitätsexperten finden darin die wichtigsten Maßnahmen zur Sicherung von Verzeichnissen und Benutzern.

Es ist hervorzuheben, dass auf der „grundlegenden“ Vertrauensstufe in Anhang A des Dokuments Safeonweb@work, die für alle NIS2-pflichtigen Einheiten unabhängig von ihrer Größe oder Wichtigkeit gilt, mehr als die Hälfte der „wichtigsten“ Maßnahmen genau aus dem Abschnitt PR.AC stammen. Es ist daher schwierig hervorzuheben, in welchem ​​Ausmaß die Identität im Rahmen des CCB zur Sicherung von Informationssystemen eine Rolle spielt.

Aus diesem Grund sind für alle NIS2-pflichtigen Unternehmen folgende Schlüsselmaßnahmen erforderlich:

• Eine angemessene Verwaltung von Benutzern und Anmeldeinformationen, einschließlich der Erteilung und Aufhebung von Zugriffsrechten, regelmäßiger Audits, AD-Authentifizierung auf kritischen Systemen und Erkennung verdächtigen Verhaltens (PR.AC-1).
• Absicherung von Remote-Zugriffen und SaaS-Anwendungen mit MFA (PR.AC-3).
• Umsetzung Least-Privilege-Prinzip bei den Zugriffsrechten, insbesondere gegenüber sensiblen oder kritischen Systemen, und bei der Trennung persönlicher und administrativer Konten (PR.AC-4).
• Netzwerksicherheit und Segmentierung kritischer Systeme (PR.AC-5).

Für Einheiten mit der Vertrauensstufe „Wichtig“ oder „Wesentlich“ (in den Anhängen B und C) sind außerdem zusätzliche Maßnahmen vorgeschrieben, darunter Anforderungen an Identifizierung und Governance für Remote-Zugriffe (PR.AC-3), eine strengere Überwachung von Verbindungen und Kommunikationen an den wichtigsten externen und internen Grenzen (PR-AC-5), eine dokumentierte Risikobewertung und die Implementierung von Zugriffskontrollen, die dem Risiko jeder Transaktion angemessen sind (PR.AC-7, nur auf der Vertrauensstufe „Wesentlich“).

Was bedeuten diese Maßnahmen konkret? Die Antwort hängt von der Größe und Bedeutung der einzelnen Unternehmen ab. Insgesamt ist der Ansatz des CCB jedoch pragmatisch und erfordert nur Tools, die in der Geschäftswelt bereits gängige Praxis sind (IAM Plattformen, Firewalls, MFA). Für wichtige Unternehmen, die Legacy-Systeme betreiben, werden wahrscheinlich zusätzliche Investitionen erforderlich sein, da diese nicht nativ mit modernen Sicherheitsprodukten kompatibel sind. Abgesehen davon werden nur Unternehmen, die aus Sicht der Cybersicherheit hinterherhinken, wirklich neue Technologien anschaffen müssen.

Über den Abschnitt PR.AC hinaus erscheinen Zugriffskontrollen auch in Maßnahmen zum Schutz ruhender Daten (PR.DS-1), zur Verhinderung von Verlust, Missbrauch, Beschädigung oder Diebstahl von Organisationsvermögen (PR.DS-3) und von Datenlecks (PR.DS-5). Regelmäßige Audits werden ebenfalls empfohlen – mit Active Directory ausdrücklich erwähnt (PR.DS-5) – um Fehlkonfigurationen von Berechtigungen zu erkennen, die einen Angriffspfad öffnen könnten.

Schließlich beinhalten Anforderungen zur Aufrechterhaltung der Integrität kritischer Systeme (PR.DS-6) und zur Minderung der Risiken im Zusammenhang mit der Fernwartung (PR.MA-2) wahrscheinlich eine Sitzungsaufzeichnung für privilegierte Zugriffe.

Detection Anforderungen von NIS2

Auch die Funktion „Erkennen“ der Initiative Safeonweb@work enthält mehrere Artikel zum Thema Identität. Wenig überraschend spiegeln diese die Empfehlungen der Funktion „Schützen“ recht gut wider.

Die Aggregation von Ereignisdaten (DE.AE-1 und 3) erscheint in erster Linie als „Schlüsselmaßnahme“, wobei kritische Systeme besonders berücksichtigt werden müssen. Diese Daten sollten aus mehreren Quellen stammen, einschließlich physischer Zugriffe und Benutzer-/Administratorberichte.

Organisationen sind besonders gefordert, kritische Systeme auf unbefugte lokale, Netzwerk- oder Remote-Verbindungen (DE.CM-1) zu überwachen, sowohl von internem Personal als auch von externen Dienstanbietern (DE.CM-3, DE.CM-6 und DE.CM-7). Diese Bemühungen erfordern Überwachungstools auf Netzwerk- und Endpunktebene. Einige schlagen sogar vor, einen Schritt weiter zu gehen und umfassende Schutzplattformen zu entwickeln, die Zugriffspunkte und Domänencontroller umfassen, und so EDR mit ITDR.

Insgesamt spiegeln diese Maßnahmen die Anforderungen der Funktion „Schutz“ vor böswilligen Aktivitäten (PR.DM und PR.MA) wider, die darauf abzielen, Datenlecks oder Schäden zu verhindern.

Unsere Rubrik Silverfort Hilfe bei der NIS2-Konformität?

Silverfort kann dabei helfen, viele dieser Anforderungen zu erfüllen. In nur einem Monat und ohne größere Änderungen an Ihrer Infrastruktur kann unsere Plattform:

• PR.AC-1:
  • Identifizieren Sie alle privilegierten Konten innerhalb Ihrer verschiedenen Verzeichnisse
  • Überprüfen Sie alle Ihre Service Accounts und Hybridkonten
  • Identifikation Schattenadministratoren
  • Identifizieren gemeinsam genutzter Konten
  • Identifizieren veralteter Konten
  • Identifizieren Sie Konten mit alten Passwörtern
  • Schützen Sie den Zugriff auf kritische Systeme, einschließlich Legacy- oder On-Premise-Systeme, mit MFA (kompatibel mit Microsoft Authenticator, Okta, Ping, für die Schönheit, Yubico und mehr) oder mit dynamischen risikobasierten Richtlinien

• PR.AC-3:
  • Warnen Sie vor verdächtigen Fernzugriffsversuchen oder blockieren Sie diese
  • Schützen Sie Remotezugriffe (RDP, SSH), Befehlszeilenschnittstellen (Powershell, PsExec, WMI) und SaaS- oder On-Premise-Anwendungen mit MFA

• PR.AC-4:
  • Identifizieren und überwachen Sie alle allgemeinen und gemeinsam genutzten Konten
  • Identifizieren und überwachen Sie alle Authentifizierungen für Dateifreigaben, Server, Anwendungen, Datenbanken usw., auch vor Ort
  • Identifizieren und überwachen Sie alle privilegierten Konten, einschließlich Schattenadministratoren und Domänenadministratoren
  • Erkennen und/oder Blockieren aller Authentifizierungen, die gegen Tiering-Prinzipien verstoßen (z. B. persönliche Konten oder Geräte für Verwaltungsaufgaben oder umgekehrt)
  • Erkennen und/oder Blockieren aller Authentifizierungen, die gegen Least-Privilege-Prinzip
  • Platzieren Sie adaptive Conditional Access-Richtlinien für Administratorkonten und Tools, die geografische, zeitliche oder verhaltensbezogene Faktoren berücksichtigen.
    
    
• PR.DS-5:
  • Legen Sie detaillierte Zugriffsrichtlinien für alle kritischen Systeme und Anwendungen fest, auch vor Ort.
  • Überwachen und blockieren Sie alle böswilligen Zugriffe auf kritische Systeme, einschließlich On-Premise
  • Audit Active Directory um Privilegienausweitung und Fehlkonfigurationen zu erkennen

• PR.DS-7:
  • Blockieren Sie Authentifizierungen, die die Integrität der Produktions- oder Testumgebungen verletzen.
  • Beschränken Sie die Berechtigungen von Administratorkonten auf bestimmte Umgebungen oder Anwendungen

• PR.MA-2:
  • Überwachen und beschränken Sie die Zugriffsrechte externer Anbieter auf bestimmte Umgebungen oder Anwendungen
  • Schützen Sie Remote-Zugriffe von externen Anbietern oder Partnern mit MFA
  • Blockieren Sie alle Versuche, externe Anbieter- oder Partnerkonten zu kapern, oder jegliches ungewöhnliche Verhalten

• DE.AE-1 :
  • Alle protokollieren Active Directory Authentifizierungen, einschließlich ihrer Quellen, Ziele, Protokolle und Zeitstempel
  • Berechnen Sie einen dynamischen Risiko-Score für alle Active Directory Konten und Authentifizierungen

• DE.CM-1:
  • Erkennen und Blockieren unbefugter Authentifizierung in Active Directory oder in einem anderen kompatiblen Verzeichnis (PAM, RADIUS, Entra ID, Okta, Ping…).
  • Erkennen und Alarmieren, wenn Menschen oder Service Accounts ungewöhnliches Verhalten zeigen
    
    
• DE.CM-7:
  • Erkennen und blockieren Sie unbefugten Personalzugriff auf kritische Systeme
  • Erkennen und blockieren Sie unbefugten Softwarezugriff auf kritische Systeme

Lohnt es sich, die Erwartungen zu übertreffen?

Die Initiative Safeonweb@work schlägt häufig zusätzliche Maßnahmen vor, die zur Sicherung von Informationssystemen beitragen würden (durch die regelmäßige Verwendung des Wortes „Erwägen“), ohne diese unbedingt verpflichtend zu machen. Sie lässt auch einige einfache und gängige Hygienemaßnahmen aus, die andere Agenturen, wie z. B. die ANSSI in Frankreich, mit Nachdruck darauf bestanden haben.

In dieser Kategorie können wir die Einstufung kritischer Systeme oder Benutzer erwähnen. Das CCB erfordert die Verwendung separater Konten für persönliche und administrative Aufgaben (PR.AC-4) sowie eine Netzwerksegmentierung (PR.AC-5). Es schreibt jedoch keine dedizierten Arbeitsstationen (PAW) oder Betriebssysteme für administrative Aktionen vor, was dazu beitragen würde, bestimmte Arten von Angriffen wie Pass-the-Hash zu vermeiden.

Ein weiteres Beispiel: Das CCB empfiehlt die Verwendung von Dienstkonten für automatisierte Prozesse (PR.AC-1). Es verbietet Administratoren jedoch nicht, automatisierte Aufgaben mit eigenen Konten auszuführen, und es untersagt auch nicht, Dienstkonten für Aktionen zu verwenden, die von ihrem beabsichtigten Zweck abweichen.

Dies könnten verpasste Gelegenheiten für belgische Organisationen sein, insbesondere für „essentielle“ Einheiten im Rahmen von NIS2, die zukünftige Angreifer erfolgreich ausnutzen könnten. Das CCB hat offensichtlich versucht, die Sicherheitsvorteile abzuwägen, und die Revolution oder die Betriebskosten, die mit jeder getroffenen Entscheidung verbunden sind. Das Ergebnis ist dennoch robust und legt die Messlatte für viele lokale Organisationen, die ihre Sicherheitslage bisher vernachlässigt hatten, deutlich höher. Es wird das Land jedoch nicht gegen die ausgefeilteren Cyberangriffe immunisieren, die in den letzten Jahren zugenommen haben.

Möchten Sie mehr darüber erfahren, wie Silverfort kann Ihnen helfen, die Identitätssicherheitsaspekte von NIS2 zu berücksichtigen?  Vereinbare einen Termin mit einem unserer Experten oder füllen Sie dieses Formular aus Preisangebot.