Microsoft plant grote beveiligingsverbetering voor onbeschermde Office 365-tenants

Behoefte aan bescherming (en goede beveiligingsstandaarden) duidelijk in de cloud.

Een van de lessen die we uit het Hafnium-fiasco van vorig jaar hebben getrokken, was dat sommige organisaties met on-premises Exchange-servers deze niet goed beheren. Dit is acceptabel als de servers niet zijn blootgesteld aan internet. Het wordt potentieel rampzalig en een enkeltje om compromissen te sluiten wanneer ze dat wel zijn.

Zoals je misschien al een of twee keer eerder hebt gehoord, is het anders in de cloud. Microsoft beheert servers en zorgt voor basisonderhoud en andere zaken van serverhygiëne. Beveiligde servers zijn goed, maar het compromitteren van gebruikersaccounts geeft aanvallers nog steeds een route naar Office 365-tenants. Dat is de reden waarom Azure AD-beveiligingsstandaarden bestaan.

Standaardwaarden voor Azure AD-beveiliging voor iedereen

In oktober 2019 heeft Microsoft Azure AD Security Defaults ingeschakeld voor nieuwe tenants. In een notendop betekent dit dat accounts in die tenants multi-factor authenticatie (MFA) gebruiken, tenzij beheerders anders beslissen. MFA is goed. Zelfs MFA op basis van sms-berichten is zoveel beter dan basisverificatie met gebruikersnaam en wachtwoord. Gecombineerd met beleid voor voorwaardelijke toegang vormt MFA een aanzienlijke barrière tegen accountaantasting.

In een bericht van 25 mei kondigde Microsoft de uitbreiding van Security Defaults aan om huurders te beschermen die vóór oktober 2019 waren gemaakt. Microsoft zegt dat de 30 miljoen tenants die momenteel worden beschermd met Security Defaults “80 procent minder compromissen ervaren dan de totale huurderspopulatie.” De implementatie van MFA is een grote stap voorwaarts. Volgens Microsoft: “Als we kijken naar gehackte accounts, heeft meer dan 99,9% geen MFA, waardoor ze kwetsbaar zijn voor wachtwoordspray, phishing en hergebruik van wachtwoorden.” De populariteit van wachtwoordspray-aanvallen op oudere e-mailverbindingsprotocollen zoals IMAP4 en POP3 is een belangrijke reden waarom Exchange Online vanaf 1 oktober de basisverificatie voor deze protocollen (en vijf andere) zal stopzetten.

Microsoft zegt dat het uitrollen van Security Defaults naar oudere huurders 60 miljoen extra accounts zal beschermen tegen aanvallen. Gezien het laatste aantal van Microsoft voor Office 365-gebruikers (345 miljoen betaalde seats), lijkt dat aantal misschien laag. Het is echter het aantal onbeschermde accounts in oudere tenants – veel oudere tenants gebruiken al MFA- en voorwaardelijke toegangsbeleid. De focus ligt op het uitbreiden van de bescherming naar huurders die mogelijk niet over de IT-mogelijkheden beschikken om betere beveiligingspraktijken te implementeren. Microsoft vermeldt expliciet dat ze zich zullen richten op “die [tenants] die sinds de implementatie geen beveiligingsinstellingen hebben gewijzigd”.

De grote uitrol

Microsoft zegt dat de uitrol van Azure AD Security Defaults naar onbeveiligde tenants is begonnen. In eerste instantie richten ze zich op “klanten die geen voorwaardelijke toegang gebruiken, nog niet eerder beveiligingsstandaarden hebben gebruikt en niet actief gebruikmaken van verouderde authenticatieclients.” Het is dezelfde manier om het probleem op te lossen met een eenvoudige aanpak die het Exchange Online-team gebruikt om basisverificatie uit te bannen: verwerk eerst de gemakkelijke huurders, dan iets harder, en werk geleidelijk door de installed base totdat u de moeilijkste tenants bereikt.

Tenantbeheerders ontvangen e-mailmeldingen over de overgang. Vanaf eind juni zullen beheerders prompts zien om standaard beveiligingsinstellingen in te schakelen wanneer ze zich aanmelden. Op dit punt kunnen ze ervoor kiezen om tot 14 dagen uit te stellen of ervoor kiezen om geen beveiligingsstandaarden te gebruiken door de instellingen in het Azure AD-beheercentrum te wijzigen of Microsoft 365-beheercentrum. In afbeelding 1 ziet u dat mijn tenant ‘adaptieve MFA’ gebruikt, wat een mooie naam is om te zeggen dat beleid voor voorwaardelijke toegang onder bepaalde voorwaarden MFA vereist.

Als u standaard beveiligingsinstellingen inschakelt, zal Azure AD gebruikers vragen zich in te schrijven voor MFA, bij voorkeur met behulp van de Microsoft Authenticator-app op een mobiel apparaat als tweede authenticatiefactor.

Cloudbeveiliging is anders
De beveiligingsbehoeften, -tactieken en -technieken op locatie zijn anders dan in de cloud vereist zijn, maar als aanvallers langskomen, moet je ze kunnen afweren met de juiste tools. Ik denk dat het uitbreiden van Security Defaults naar alle onbeschermde Office 365-tenants een uitstekend idee is dat mensen zou moeten helpen ontsnappen aan de verschrikkingen van zoiets als een aanval op zakelijke e-mail. Een gecompromitteerd Azure AD-account is slecht, en als het een beheerdersaccount is, kan het net zo erg zijn als een on-premises server die wordt gepenetreerd door zoiets als Hafnium.

Bron: practical365