De opkomst van cloudservices, zoals Microsoft Azure en Google, heeft een revolutionaire impact gehad op hoe bedrijven hun netwerken beheren en gegevens opslaan. In het verleden waren bedrijven voornamelijk bezorgd over fysieke inbraken of het hacken van WiFi-netwerken als het ging om het beschermen van hun bedrijfsaccounts. Echter, met de verschuiving naar de cloud en de implementatie van hybride synchronisatie tussen on-premises Active Directory (AD) en de cloudomgeving, kunnen zwakke wachtwoordbeleidsregels in on-premises AD bijvoorbeeld leiden tot zwakke wachtwoorden in de cloud. Dit brengt een verhoogd risico op beveiligingsinbreuken met zich mee. Helaas realiseren veel organisaties zich niet altijd volledig de impact van deze situatie. In deze blogpost zullen we meerdere gevaren bespreken en belangrijke maatregelen bieden om uzelf en uw bedrijf effectief te beschermen tegen dergelijke risico's. We streven er ook naar om bewustzijn te creëren terwijl u deze informatie doorleest.
We zien vaak dat on-premises AD-servers zwakke wachtwoordbeleidsregels hebben, waardoor het gebruik van eenvoudige wachtwoorden zoals 'Welkom01' of de bedrijfsnaam zelf mogelijk is. Deze zwakke wachtwoorden worden vervolgens gesynchroniseerd met de cloud, bijvoorbeeld met Azure AD, wat beveiligingsrisico's creëert. Zelfs ogenschijnlijk onschuldige accounts kunnen in werkelijkheid aanzienlijke schade veroorzaken.
Zowel binnen on-premises als Azure AD hebben standaardgebruikersaccounts leesrechten voor alle objecten. Dit betekent dat iemand met toegang tot een gebruikersaccount in uw tenant automatisch toegang heeft tot al uw gebruikersgegevens, groepen, applicaties, enzovoort. Deze inbreuk vindt vaak volledig automatisch plaats en wordt niet altijd gedetecteerd door een Endpoint Detection and Response (EDR)-systeem. Hackers gebruiken vervolgens deze verzamelde gegevens om toegang te krijgen tot andere gebruikersaccounts, bijvoorbeeld via phishingaanvallen.
Om uzelf en uw organisatie te beschermen tegen dergelijke aanvallen, raden we de volgende maatregelen aan:
1) Gebruik Azure Conditional Access-beleid: Met Azure conditional access-beleid kunt u de toegang tot accounts beperken tot specifieke IP-adressen, zoals uw vertrouwde kantoornetwerk. Dit voorkomt dat aanvallers kunnen inloggen vanaf externe locaties. Voor werknemers die op afstand werken, is het raadzaam om een VPN-configuratie te implementeren die gebruikmaakt van een IP-adres van het kantoor, of zelfs een apart IP-adres.
2) Beperk toegang tot Graph API / PowerShell: Binnen Azure kunt u standaardgebruikers de toegang tot Graph API en PowerShell ontzeggen. Door een rol toe te wijzen aan de toepassing binnen Azure, moeten gebruikers de juiste rol hebben om te kunnen authenticeren met deze tools. Dit kan voorkomen dat script-kiddies willekeurig tools van internet gebruiken tegen uw organisatie.
Voorbeeld beveiliging:
MFA (Multi-Factor Authentication) biedt zeker bescherming tegen veel aanvallen door een aanvaller te verplichten een tweede factor te hebben om daadwerkelijk in te loggen. Er zijn echter phishingaanvallen die PRT's (Primary Refresh Tokens) kunnen hergebruiken, vergelijkbaar met wat er gebeurt bij SSO (Single Sign-On). Deze tokens, die dienen als authenticatiemiddel voor gebruikers op een apparaat, kunnen een MFA-claim bevatten. Het stelen van zo'n token kan een aanvaller in staat stellen om in te loggen op een account zonder MFA te hoeven gebruiken, aangezien het de gebruikelijke gebruikersnaam + wachtwoord pad omzeilt.
Microsoft biedt ook verschillende methoden voor authenticatie, waaronder de bekende 'device code flow', die helaas vaak wordt misbruikt bij phishingaanvallen. Laten we eens nader bekijken hoe deze flow werkt.
De 'device code flow' is een authenticatiemethode die specifiek is ontworpen om gebruikers te helpen bij het inloggen op apparaten waar directe toetsenbord- en scherminvoer mogelijk niet beschikbaar is, zoals smart-tv's, spelconsoles en andere IoT-apparaten. Het maakt gebruik van een tweestapsverificatieproces om de identiteit van de gebruiker te verifiëren. Alles wat nodig is om in te loggen met een al ingelogd account is een 10-cijferige code, die kan worden verstrekt door een kwaadwillende acteur die een phishing-e-mail opzet.
Door de eerder genoemde oplossing te implementeren, kunt u eindgebruikers beschermen tegen dergelijke pogingen.
Naast de eerder genoemde maatregelen is het cruciaal om het gebruik van antivirussoftware te bespreken. Veel organisaties vertrouwen zwaar op deze software en gaan ervan uit dat deze alle potentiële bedreigingen zal blokkeren. Helaas is dit een van de meest voorkomende misvattingen op het gebied van beveiliging. De overtuiging dat 'als het antivirusprogramma geen waarschuwing heeft gegeven, het veilig moet zijn' is een valkuil waar veel gebruikers intrappen.
Het is belangrijk om te begrijpen dat antivirussoftware werkt op basis van handtekeningen en gedragsanalyse om bekende malware te identificeren en te blokkeren. Dit betekent echter dat nieuwe, voorheen onbekende malware mogelijk niet wordt gedetecteerd. Hackers zijn zich bewust van deze beperkingen en gebruiken geavanceerde technieken om antivirusprogramma's te omzeilen.
Een zorgwekkend voorbeeld van deze situatie is dat op websites zoals antiscan.me aanvallers eenvoudig van tevoren kunnen controleren of hun kwaadaardige code wordt gedetecteerd door antivirusprogramma's. Tot en met 2023 is het nog steeds mogelijk voor hackers om bijna alle antiviruspakketten te omzeilen met een paar eenvoudige codeaanpassingen. Dit betekent dat een ogenschijnlijk onschuldig bestand of een ogenschijnlijk veilige website nog steeds gevaarlijke malware kan bevatten.
Betekent dit dat antivirussoftware nutteloos is? Absoluut niet. Het blijft een cruciaal onderdeel van de beveiligingsstrategie en kan nog steeds een aanzienlijk aantal bekende bedreigingen blokkeren. Het mag echter niet worden beschouwd als de enige verdedigingslinie.
Een gelaagde beveiligingsaanpak is essentieel om uw organisatie te beschermen. Naast antivirussoftware moet u investeren in regelmatige software-updates, firewalls, indringingsdetectie/-preventiesystemen en trainingen voor bewustwording van werknemers. Het implementeren van meer geavanceerde beveiligingsoplossingen, zoals endpointbescherming en gedragsanalyse, kan ook helpen bij het detecteren van onbekende bedreigingen.
Bovendien is het cruciaal om werknemers bewust te maken van risico's en hen te trainen om verdachte e-mails, phishingpogingen en onveilige websites te herkennen. Door een cultuur van bewustwording van beveiliging te bevorderen en regelmatig trainingssessies te organiseren, kunt u het menselijke element van beveiligingsinbreuken verminderen.
In de snel evoluerende wereld van cybersecurity zijn cloudservices een gemakkelijk doelwit geworden voor kwaadwillende actoren. De migratie naar de cloud brengt nieuwe uitdagingen met zich mee, waarbij organisaties vaak de potentiële gevolgen onderschatten, zoals zwakke wachtwoordbeleidsregels en onbedoelde beveiligingsrisico's. Hoewel het gebruik van antivirussoftware belangrijk is, moet het niet als de enige verdedigingslinie worden beschouwd.
Om uw organisatie effectief te beschermen tegen beveiligingsinbreuken, is het essentieel om een gelaagde beveiligingsstrategie te implementeren. Dit omvat het gebruik van Azure conditional access-beleid om de toegang tot accounts te beperken, het beperken van toegang tot kritieke tools zoals Graph API en PowerShell, en het implementeren van VPN's voor externe werknemers. Bovendien moeten bedrijven zich bewust zijn van de beperkingen van MFA en aanvullende maatregelen nemen om zichzelf te beschermen.
Het is belangrijk om te begrijpen dat antivirussoftware, hoewel waardevol, niet onfeilbaar is. Het kan nieuwe en onbekende bedreigingen mogelijk niet detecteren. Daarom moeten organisaties investeren in meerdere beveiligingslagen, waaronder regelmatige software-updates, firewalls, indringingsdetectie/-preventiesystemen en trainingen voor bewustwording van werknemers. Het bevorderen van een cultuur van beveiligingsbewustzijn en werknemers trainen om verdachte e-mails, phishingpogingen en onveilige websites te herkennen, is cruciaal.
Door een combinatie van technische maatregelen, educatie en bewustwording kunnen organisaties zich beter beschermen tegen de gevaren van cloudservices en kwaadaardige aanvallen. Het is een voortdurende inspanning om de beveiliging aan te scherpen en op de hoogte te blijven van nieuwe bedreigingen. Door proactief te handelen en een robuuste beveiligingsinfrastructuur op te bouwen, kunt u de veiligheid van uw gegevens en uw bedrijf waarborgen in een steeds veranderend digitaal landschap.
Benieuwd of u zich kunt verdedigen tegen cybercriminelen? Plan een beveiligingsbeoordeling in met WhiteHats!
