Cybersecurity tips: 5 adviezen om je identiteiten beter te beveiligen

MFA heeft door de jaren heen een vaste plek gewonnen in de meeste top 5 lijstjes omtrent cybersecurity. Maar dat is ook met een reden. MFA is bij uitstek de manier om je accounts beter te beveiligen. MFA kan credential-aanvallen, zoals password spray en dictionary attacks, stoppen. Zonder toegang tot de tweede factor kan de aanvaller namelijk geen toegang krijgen tot het account. Een juiste configuratie van MFA ziet er als volgt uit:

• Alle accounts en resources die MFA compatibel zijn moeten voorzien zijn van MFA. Gebruik hierbij een ‘alles dicht tenzij’ mindset: Zet MFA aan voor alle accounts en sluit alleen de benodigde accounts, zoals service accounts en noodtoegang accounts, hierop uit.
• Reduceer het aantal MFA notificaties tot het minimaal acceptabele. Gebruik andere signalen, zoals inloglocatie, inlogrisico en apparaatgezondheid om te bepalen of een MFA notificatie nodig is.
• Train al je personeel dat ze geen MFA notificatie moeten accepteren als ze geen inlogpoging doen. Aanvallers proberen namelijk met behulp van MFA spam personeel over te halen toch een notificatie te accepteren, waardoor ze geauthentiseerd worden en toegang krijgen tot het netwerk.
• Voer regelmatig phishingcampagnes uit. Hackers proberen MFA tokens te stelen door gebruik te maken van phishing mails die de gebruiker doorverwijzen naar een malafide website waarop ingelogd kan worden met behulp van MFA. Indien de gebruiker dit doet, beschikt de hacker over zowel het wachtwoord als een ‘session cookie’, waarna de hacker toegang heeft tot het netwerk.

MFA kan op meerdere manieren worden geïmplementeerd. Gebruik je de gratis versie van Azure Active Directory, zet dan Security Defaults aan. Gebruik je Azure AD P1 of P2, gebruik dan Conditional Access policies om MFA te implementeren en meer granulariteit op te bouwen.

De derde tip is zo snel mogelijk over stappen naar moderne authenticatieprotocollen, zoals Oauth 2.0 & SAML. Daarnaast is het belangrijk om legacy authenticatie te blokkeren. Legacy authenticatie is namelijk niet in staat om moderne authenticatie methoden, zoals MFA toe te passen. Ook als je wachtwoorden geëlimineerd en MFA ingesteld hebt, kan een hacker via legacy authenticatie toch binnendringen. Bescherm dus niet alleen de voordeur, maar zet de achterdeur ook dicht. Gelukkig ziet Microsoft dit zelf ook, dus besluiten ze om legacy authenticatie voor Exchange Online per 31 oktober 2022 dicht te zetten. Zorg dus dat je hierop voorbereid bent.

Beheerdersaccounts zijn accounts met hoge privileges en daarom vaak doelwit van een cyberaanval. De meeste organisaties hebben (veel) te veel beheerdersaccounts in hun netwerk. Vaak voortkomend uit wildgroei, of omdat global admin rechten toch wel heel makkelijk zijn om je werk te kunnen doen. Dit is natuurlijk niet slim. We geven je een aantal tips om je beheerdersaccounts beter te beschermen, naast de tips die al eerder zijn genoemd.

1. Scheid je lokale beheerdersaccounts van je cloud accounts. Indien je gebruikt maakt van een hybrid identity-oplossing, zoals Azure AD Connect, zorg er dan voor dat lokale accounts ook echt lokaal blijven en niet worden gesynchroniseerd. Andersom geldt dat cloud accounts ook alleen in de cloud moeten bestaan.
2. Implementeer Azure AD Priviliged Identity Management (PIM) om just-in-time en just-enough-access in te regelen voor je beheerdersaccounts. Zo zijn beheerdersrollen niet permanent toegewezen aan deze accounts maar activeer je deze alleen, nadat je de MFA notificatie hebt geaccepteerd, wanneer je ze echt nodig hebt. Na een tijdje verloopt de toewijzing waardoor een eventuele gecompromitteerd beheerdersaccount niet direct tot schade lijdt.
3. Gebruik geen eigen domeinnaam maar gebruik de onmicrosoft.com UPN suffix die standaard door Microsoft beschikbaar wordt gesteld als je een Azure AD tenant aanmaakt.
4. Gebruik je beheerdersaccounts alleen voor beheerdoeleinden. Beheerdersaccounts mogen nooit voorzien worden van licenties zodat er ook geen gebruikersactivitieit kan plaatsvinden op het account.
5. Zorg ervoor dat je noodaccounts (emergency access accounts) hebt die je kan gebruiken in geval van, je raad het al, nood. Deze accounts zijn niet persoonsgebonden, niet voorzien van MFA en hebben een wachtwoord dat niet automatisch verloopt. Dit wachtwoord sla je op in een kluis/meerdere kluizen op kantoor zodat er in het geval van een noodsituatie gebruik van kan worden gemaakt. Monitor deze accounts goed en wijzig het wachtwoord periodiek in alle kluizen. Zorg er ook voor dat deze accounts zijn uitgesloten van eventuele andere policies die de inlogpoging kunnen belemmeren. Deze accounts configureer je het liefst met het onmicrosoft.com domein om eventuele problemen met de DNS te voorkomen.