Dat is dus niet anders dan mijn ervaring. In jouw gevallen worden admin accounts niet automatisch op slot gegooid dus.
Nee admin accounts gingen niet automatisch op slot, maar er ging wel automatische alerting uit met een response tijd van misschien minuten, 24/7. Dat is wel degelijk anders dan wat jij beschreef.
De reden van niet automatisch dicht gooien is de potentiele attack vector van alle admin accounts blokkeren.
Oftewel, er wordt niets automatisch dicht gegooid. Eenmaal ingelogd heb je vrije, ongelimiteerde toegang en kan je de volledige chat historie downloaden, zoals hier met Disney is gebeurd.
Zeker wel, het feit dat admin accounts, die extra beveiliging en monitoring genieten, niet automatisch dicht gaan, wilt niet zeggen dat de automatische blokkering van andere accounts geen zin heeft. Meestal zijn het niet de admin accounts waar het met dit soort lekken mis gaat.
Daarnaast, als je binnen enkele minuten optreed kom je niet zo ver als nu bij disney gebeurt is.
Een significant deel van de infrastructuren die ik zie voldoen hieraan. (niet dankzij mij; ik wijs al te graag op de potentiële issues en leg dit ook op digitaal papier vast, en soms wordt er ook wat mee gedaan)
Dit ontken ik niet, ik heb het vaak genoeg gezien. Gelukkig heb ik ook genoeg bedrijven gezien waar dit wel netjes op orde is.
Technisch gezien simpel, mits de software het ondersteund. In praktijk... gewoon niet. Misschien bij hippe, moderne bedrijven, maar zodra de gemiddelde werknemer grijs of kaal is, en niet met een technische achtergrond: Vergeet het echt maar.
Dit was moeilijk, maar met hoe passkeys tegenwoordig werken en te gebruiken zijn met wachtwoordbeheerders, heb ik meermaals de groep grijze gebruikers omgekregen. Simpelweg omdat het vele malen gemakkelijker is in gebruik.
Dat het veiliger is boeit deze groep niet, gemak is daarintegen alles.
Dat is dus gewoon niet waar. (o.b.v. mijn ervaringen, en volgens mij schrijf je later vergelijkbare ervaringen)
Het is niet triviaal, anders hadden jij en ik dat al geregeld. technisch gezien, als je er volledige controle over hebt, is het misschien triviaal, maar dit erdoorheen krijgen bij alle poppetjes in alle lagen? Vergeet het. Men wil het niet, zelfs als het gratis en geen tijd kost, wil men het nog niet. (maar het is niet gratis, want dure ITers moeten het allemaal gaan fixen)
Ik doelde ook op de technische implementatie. Als je daadwerkelijk de vrijheid krijgt dit af te dwingen vanuit je security groep, kan dit. Maar ik zal de eerste zijn die erkent dat wanneer het een van de directie leden ongemak oplevert deze het direct ongedaan zal proberen te krijgen.
En zelfs als je alles dichtgespijkerd hebt, vliegen de excel sheets met jaren aan klant- en bedrijfsgegevens nog steeds over onbeveiligde usb sticks, laptops en e-mail adressen.
En dit is de aard van het hele verhaal. Hoe bescherm je je infrastructuur tegen aanvallen via je personeel.
Hoe goed je het ook inricht, hier zit altijd je zwakke punt, en dat zien we actief misbruikt worden.
Alle maatregelen die ik noem zijn middelen om zo veel mogelijk kwaad te voorkomen, maar helemaal oplossen gaan we het daar niet mee.