De digitale werkplek in de cloud is sinds de pandemie niet meer weg te denken uit ons werkleven. Hybride werken is inmiddels meer standaard dan uitzondering. Veel bedrijven hebben destijds versneld de digitale werkplek geïmplementeerd of opgeschaald. De beveiliging hiervan heeft vaak niet de hoogste prioriteit gehad, snelheid kreeg voorrang.

Wanneer je dit nog niet hebt herzien, is het nu tijd om de beveiliging van je digitale werkplek serieus te nemen. Bijna alle informatie die we in ons werk gebruiken, delen we via de digitale werkplek. Dit maakt het een aantrekkelijk doelwit voor cybercriminelen. We zien ook dat cybercriminaliteit sinds de pandemie exponentieel is toegenomen.

In deze blog zoomen we in op het beveiligen van identiteiten en devices. Alle security oplossingen die besproken worden zijn standaard beschikbaar in het Microsoft E5 licentiemodel.

Werkwijze cybercriminelen

De Cyber Kill-chain 

Cybercriminelen werken over het algemeen volgens een vaste werkwijze. Deze manier van werken wordt de Cyber Kill-chain genoemd. De stappen die men onderneemt om toegang tot je systemen te krijgen worden gevolgd in 7 stappen:

1. Reconnaissance-fase: de aanvallers zoeken zwakke plekken in de organisatie.
2. Weaponization-fase: de aanvallers ontwikkelen malware om deze zwakke plekken te misbruiken.
3. Delivery-fase: de aanvallers bezorgen de malware, bijvoorbeeld via e-mail.
4. Exploitation-fase: een medewerker activeert per ongeluk de malware, door op een link in een onbetrouwbare mail te klikken.
5. Installation-fase: de aanvallers installeren zich in het netwerk.
6. Command and control-fase: de aanvallers komen dankzij de malware van afstand binnen en installeren vervolgens nieuwe malware.
7. Actions on objectives-fase: de aanvallers bereiken hun doel en kunnen ongemerkt informatie wegsluizen.

Wat men zich echter vaak niet realiseert is het feit dat, voordat aan stap 7 begonnen wordt, de cybercrimineel soms al weken tot maanden ongemerkt toegang heeft tot systemen van uw bedrijf. Bij het beveiligen van je moderne werkplek moet je er dan ook van uit gaan dat je al gehackt bent. Met die mindset kijken wij naar het beveiligen van je identiteiten, devices, data en applicaties.

Beveiliging van identiteiten

Aanmeldgegevens beschermen
Door de nieuwe manier van werken kan iedereen zich overal en altijd aanmelden op de bedrijfsinfrastructuur. De belangrijkste factor in deze is dan ook de bescherming van de aanmeldgegevens van de medewerker.

Cybercriminelen zullen altijd proberen de identiteit van medewerkers te achterhalen om deze vervolgens te misleiden en een wachtwoord te achterhalen. Een andere methode is om via brute-force het systeem te bestoken met diverse wachtwoordbibliotheken in de hoop dat het juiste wachtwoord voorbij komt. Dit wordt ook wel een dictionary attack genoemd. Een andere variant, genaamd password spray, werkt net andersom. Hierbij zal de cybercrimineel hetzelfde veel gebruikte wachtwoord proberen te gebruiken op alle accounts in de hoop toegang te krijgen.

Deze manieren van aanvallen kunnen met Microsoft E5 Security worden afgevangen door het inzetten van Identity protection, zodat er meldingen worden gegenereerd van verdachte inlogpogingen, impossible travel activiteiten etc. Ook kun je policies inzetten waarbij bepaalde pogingen tot aanmelden resulteren in bijvoorbeeld het blokkeren van een account. Deze oplossing is te combineren met Microsoft Defender for Identity, waarmee je ook on-premises servers kunt monitoren en beschermen.

Passwordless authentication

Verder zijn er nog een aantal oplossingen beschikbaar die als extra bescherming laag voor de gebruiker dienen. Passwordless authentication is er hier één van. Met passwordless authentication voorkom je dat de complexe wachtwoorden die tegenwoordig vereist zijn, worden opgeschreven door de gebruikers op een makkelijk toegankelijke plek. Initieel is er nog steeds een wachtwoord nodig welke gekoppeld is aan de gebruiker, maar deze kan worden ingesteld door gebruik te maken van een Temporary Access Pass (TAP). Daarna zal de gebruiker alleen hoeven aan te loggen met behulp van MFA door gebruik te maken van bijvoorbeeld Windows Hello for Business gecombineerd met een pincode,  mobiel device, fysieke security key/pass.

Multi Factor Authentication (MFA)

Bescherm de gebruikers met minimaal MFA als extra laag. Zo is er altijd minimaal een tweede factor nodig om te kunnen aanmelden. Een telefoon als tweede factor middels SMS of voice is echter geen goede optie, dit is de zwakste vorm van MFA. Dit wordt per 23 september 2023 dan ook beperkt door Microsoft. Je kunt dan nog maar 3 keer authenticatie via SMS of voice uitvoeren.

Conditional Access (CA)

Conditional access geeft de mogelijkheid om voorwaarden te stellen aan inlogpogingen. Hierbij kun je denken aan:

– Alleen kunnen aanmelden vanaf bepaalde locaties, of juist bepaalde locaties uitsluiten.
– Het apparaat waar vanaf men probeert aan te melden moet aan bepaalde voorwaarden voldoen.
– Aanmelden vanaf bepaalde besturingssystemen
– Risk based conditional access: Hiermee kan aan de hand van een risicoprofiel toegang worden geweigerd. Een voorbeeld: Een gebruiker is aangemeld in Nederland, maar logt een half uur later in vanuit de VS. Dit genereert een impossible travel alert waaraan een policy gekoppeld kan worden die hiermee direct het account blokkeert voor toegang.

Bewustwording
Een goed beveiligde omgeving begint altijd bij de eindgebruiker zelf. Train gebruikers in de gevaren van remote werken en hoe deze te herkennen. Denk hierbij aan informatie beveiligingstrainingen, maar deel ook hoe je onder andere malafide websites, phishing- en malware mails of -chatberichten kan herkennen.

Microsoft biedt binnen de E5 licentie een Attack simulator aan waarmee ook bewustwording gecreëerd kan worden bij gebruikers. Deze simulator biedt bijvoorbeeld de mogelijkheid om ‘fake’ phishing mails en teams berichten te versturen. Hiermee krijg je ook automatisch inzicht in hoe groot of klein deze bewustwording binnen de organisatie is.

Beveiliging van devices

De beveiliging stopt niet bij de identiteiten van uw medewerkers, maar gaat verder in de beveiliging van de apparaten die gebruikt worden. Voorkom dat apparaten die niet aan het IT beveiligingsbeleid voldoen, toegang krijgen tot uw bedrijfsnetwerk en gegevens.

Ook hiervoor kun je gebruik maken Conditional Access (CA) policies, alsmede de Microsoft Defender for Endpoint, waarmee je naast de policies ook instellingen op de apparaten kunt afdwingen op beveiligingsinstellingen van die werkplek.

Combineer Intune met Defender for Endpoint en CA, en je hebt een zo goed mogelijk beveiligde werkplek die alleen toegang krijgt als deze voldoet aan de door de organisatie gestelde eisen.

Daarnaast kun je met Defender for M365 ook nog inzicht krijgen in de secure score en een vulnerability assessment voor de devices die door M365 gedetecteerd worden.

Secure score
Een zo’n hoog mogelijk cijfer halen is de insteek van het geven van een secure score. Deze score kun je verhogen door zoveel mogelijk best practices te implementeren en door het oplossen van potentiële kwetsbaarheden op je endpoints.

Vulnerability assessment
Dit betekent dat Defender for M365 aangeeft welke kwetsbaarsheden aanwezig zijn op je endpoints die verbinding maken met je omgeving en hoe deze op te lossen zijn. Door zoveel mogelijk – maar het liefst alle – kwetsbaarheden op te lossen verhoogt automatisch de secure score binnen je omgeving.

Het beveiligen van data & applicaties

Om je moderne werkplek volledig te beveiligen, moet je ook kijken naar het beveiligen van data & applicaties. Dit doen we in het tweede deel van deze blog. Je zal dan nog beter inzien dat de verschillende beveiligingsoplossingen binnen de E5 licentie gebruik maken van elkaars mogelijkheden. Hoe meer oplossingen je gebruikt, hoe beter je beveiligd bent.