Steeds meer organisaties vinden hun weg naar de cloud. Medewerkers werken op afstand en nemen hun eigen apparaten mee, gegevens worden buiten het bedrijfsnetwerk gebruikt en gedeeld met klanten en leveranciers en workloads verschuiven naar cloud- en hybrideomgevingen. Dit brengt risico’s met zich mee en vraagt om een andere kijk op security. De moderne werkplek vraagt om een Zero Trust security aanpak die je helpt bij het herinrichten van je beveiliging. In deze blog richten we ons op de belangrijkste pilaar van Zero Trust: Identiteit-beveiliging. We delen 5 tips om je identiteiten beter te beveiligen tegen cyberaanvallen, zoals brute force en phishing.

1. Implementeer Multi-Factor Authenticatie (MFA)

MFA heeft door de jaren heen een vaste plek gewonnen in de meeste top 5 lijstjes omtrent cybersecurity. Maar dat is ook met een reden. MFA is bij uitstek de manier om je accounts beter te beveiligen. MFA kan credential-aanvallen, zoals password spray en dictionary attacks, stoppen. Zonder toegang tot de tweede factor kan de aanvaller namelijk geen toegang krijgen tot het account. Een juiste configuratie van MFA ziet er als volgt uit:

  • Alle accounts en resources die MFA compatibel zijn moeten voorzien zijn van MFA. Gebruik hierbij een ‘alles dicht tenzij’ mindset: Zet MFA aan voor alle accounts en sluit alleen de benodigde accounts, zoals service accounts en noodtoegang accounts, hierop uit.
  • Reduceer het aantal MFA notificaties tot het minimaal acceptabele. Gebruik andere signalen, zoals inloglocatie, inlogrisico en apparaatgezondheid om te bepalen of een MFA notificatie nodig is.
  • Train al je personeel dat ze geen MFA notificatie moeten accepteren als ze geen inlogpoging doen. Aanvallers proberen namelijk met behulp van MFA spam personeel over te halen toch een notificatie te accepteren, waardoor ze geauthentiseerd worden en toegang krijgen tot het netwerk.
  • Voer regelmatig phishingcampagnes uit. Hackers proberen MFA tokens te stelen door gebruik te maken van phishing mails die de gebruiker doorverwijzen naar een malafide website waarop ingelogd kan worden met behulp van MFA. Indien de gebruiker dit doet, beschikt de hacker over zowel het wachtwoord als een ‘session cookie’, waarna de hacker toegang heeft tot het netwerk.

MFA kan op meerdere manieren worden geïmplementeerd. Gebruik je de gratis versie van Azure Active Directory, zet dan Security Defaults aan. Gebruik je Azure AD P1 of P2, gebruik dan Conditional Access policies om MFA te implementeren en meer granulariteit op te bouwen.

 

2. Stop met wachtwoorden

Wachtwoorden zijn niet meer van deze tijd en zijn ontzettend onveilig. Mensen hergebruiken dezelfde wachtwoorden, slaan deze onveilig op en indien ze hun wachtwoord periodiek moeten veranderen zullen ze een zo simpel mogelijk trucje bedenken om het wachtwoord te onthouden, wat de veiligheid van het wachtwoord niet ten goede komt.

Het beste is dus om wachtwoorden compleet te elimineren en te gaan voor passwordless. Passwordless betekent dat je gebruik maakt van veiligere en gebruiksvriendelijkere methoden om in te loggen. Denk hierbij aan Multi-Factor Authenticatie (MFA) en biometrische beveiliging, zoals Windows Hello. Het voordeel hiervan is driezijdig:

  1. Je medewerkers hoeven geen lange, complexe wachtwoorden te bedenken en onthouden
  2. De IT-support afdeling hoeft zich niet meer te focussen op het resetten van wachtwoorden
  3. Je beveiliging wordt veel beter omdat hackers niet meer voldoende hebben aan alleen een gestolen wachtwoord (single factor). Ze moeten ook een tweede manier van authenticatie kraken.

Stop daarnaast met het periodiek laten verlopen van wachtwoorden. Dit is onveiliger dan ze niet laten verlopen en ook nog eens minder gebruiksvriendelijk. Als je niet direct van je wachtwoorden afkomt, implementeer dan op zijn minst Self-Service Password Reset (SSPR) voor al je medewerkers, Hierdoor kunnen ze zelfstandig, zonder tussenkomst van IT, op een veilige manier hun wachtwoord wijzigen.

3. Blokkeer legacy authenticatie

De derde tip is zo snel mogelijk over stappen naar moderne authenticatieprotocollen, zoals Oauth 2.0 & SAML. Daarnaast is het belangrijk om legacy authenticatie te blokkeren. Legacy authenticatie is namelijk niet in staat om moderne authenticatie methoden, zoals MFA toe te passen. Ook als je wachtwoorden geëlimineerd en MFA ingesteld hebt, kan een hacker via legacy authenticatie toch binnendringen. Bescherm dus niet alleen de voordeur, maar zet de achterdeur ook dicht. Gelukkig ziet Microsoft dit zelf ook, dus besluiten ze om legacy authenticatie voor Exchange Online per 31 oktober 2022 dicht te zetten. Zorg dus dat je hierop voorbereid bent.

4. Implementeer risco-gebaseerde toegangscontroles

Met behulp van Azure AD Identity Protection (onderdeel van Azure AD P2) monitor je alle inlogpogingen in je netwerk in real-time en indien er een afwijking plaatsvindt wordt er automatisch actie ondernomen op basis van het gekozen beleid. Zo kun je inlogpogingen met een verhoogd risico, zoals inlogpogingen met malafide IP-adressen of inlogpogingen vanuit een afwijkende locatie, blokkeren of toestaan met MFA en/of een password reset.Op deze manier kun je zeker van zijn dat het om een legitieme inlogpoging gaat. Met behulp van risico-gebaseerde toegangscontrole zorg je er dus voor dat alle inlogpogingen worden geverifieerd voordat er toegang wordt verschaft.

security toegangscontroles

5. Bescherm je beheerderaccounts

Beheerdersaccounts zijn accounts met hoge privileges en daarom vaak doelwit van een cyberaanval. De meeste organisaties hebben (veel) te veel beheerdersaccounts in hun netwerk. Vaak voortkomend uit wildgroei, of omdat global admin rechten toch wel heel makkelijk zijn om je werk te kunnen doen. Dit is natuurlijk niet slim. We geven je een aantal tips om je beheerdersaccounts beter te beschermen, naast de tips die al eerder zijn genoemd.

  1. Scheid je lokale beheerdersaccounts van je cloud accounts. Indien je gebruikt maakt van een hybrid identity-oplossing, zoals Azure AD Connect, zorg er dan voor dat lokale accounts ook echt lokaal blijven en niet worden gesynchroniseerd. Andersom geldt dat cloud accounts ook alleen in de cloud moeten bestaan.
  2. Implementeer Azure AD Priviliged Identity Management (PIM) om just-in-time en just-enough-access in te regelen voor je beheerdersaccounts. Zo zijn beheerdersrollen niet permanent toegewezen aan deze accounts maar activeer je deze alleen, nadat je de MFA notificatie hebt geaccepteerd, wanneer je ze echt nodig hebt. Na een tijdje verloopt de toewijzing waardoor een eventuele gecompromitteerd beheerdersaccount niet direct tot schade lijdt.
  3. Gebruik geen eigen domeinnaam maar gebruik de onmicrosoft.com UPN suffix die standaard door Microsoft beschikbaar wordt gesteld als je een Azure AD tenant aanmaakt.
  4. Gebruik je beheerdersaccounts alleen voor beheerdoeleinden. Beheerdersaccounts mogen nooit voorzien worden van licenties zodat er ook geen gebruikersactivitieit kan plaatsvinden op het account.
  5. Zorg ervoor dat je noodaccounts (emergency access accounts) hebt die je kan gebruiken in geval van, je raad het al, nood. Deze accounts zijn niet persoonsgebonden, niet voorzien van MFA en hebben een wachtwoord dat niet automatisch verloopt. Dit wachtwoord sla je op in een kluis/meerdere kluizen op kantoor zodat er in het geval van een noodsituatie gebruik van kan worden gemaakt. Monitor deze accounts goed en wijzig het wachtwoord periodiek in alle kluizen. Zorg er ook voor dat deze accounts zijn uitgesloten van eventuele andere policies die de inlogpoging kunnen belemmeren. Deze accounts configureer je het liefst met het onmicrosoft.com domein om eventuele problemen met de DNS te voorkomen.

Al met al is er een hoop om over na te denken als het op identiteiten aankomt. Met deze tips kan je een start maken om je identiteitsbeveiliging te verhogen. Geen idee waar je moet beginnen of doe je liever eerst een assessment om te kijken waar je überhaupt staat qua identiteitsbeveilging? Neem dan vrijblijvend contact met ons op of download hieronder de factsheet Van Firewall naar Zero Trust.

Direct de mogelijkheden bespreken? Neem dan contact op met Nick Nieuwenhuis

Dit blog is onderdeel van een serie. Lees ook: 5 adviezen om je devices beter te beveiligen.

HSO is een Microsoft Gold Security Partner. Dit is een erkenning van HSO’s kennis en expertise op het gebied van digitale beveiligingsoplossingen rondom Microsoft Azure Cloud en Microsoft 365.

Auteur

Nick Nieuwenhuis
Nick is Microsoft Cloud Consultant bij HSO en deelt graag zijn expertise op het gebied van Modern Workplace services, zoals Microsoft 365, Azure, Power Platform en Security & Compliancy.