Categorie: Niet gecategoriseerd

Wanneer je alle voorzorgmaatregelen neemt om je te beschermen tegen hackers, kun je nog slachtoffer worden van gijzelsoftware-aanvallen. Gijzelsoftware komt de laatste tijd steeds vaker voor. Een recent voorbeeld is het Hof van Twente.

Wat kun je doen als je bent aangevallen door gijzelsoftware? Wij leggen je dit graag uit door middel van deze blog.

• Wanneer je losgeld betaalt, is er je geen garantie dat je daadwerkelijk weer toegang krijgt van de hackers.
• Wanneer je betaald hebt, maar de organisatie herstelt zonder de oplossing van de hackers, neem dan contact op met de bank. Zij kunnen de transactie laten blokkeren.
• Meld gijzelsoftware-aanvallen bij de politie.
• Reageer snel op deze aanvallen. Hoe langer je wacht, hoe kleiner de kans op herstel is.

Stap 1: Controleer backups

Wanneer er offline back-ups zijn, kun je versleutelde gegevens waarschijnlijk herstellen nadat je de gijzelsoftware uit je omgeving hebt verwijderd.

Stap 2: zet de Exchange ActiveSync en OneDrive sync uit

Het is belangrijk om verspreiding van data encryptie te voorkomen.
Wanneer e-mail doelwit is van gijzelsoftware, stop dan tijdelijk de toegang tot mailboxen. Echange ActiveSync zorgt voor de synchronisatie tussen het apparaat en Exchange Online mailboxen. Lees hier hoe je de sync uitzet.

Stop de synchronisatie van OneDrive. Voorkom dat cloudgegevens worden bijwerkt met mogelijke geïnfecteerde apparaten. Bekijk hier hoe je de sync pauzeert.

Stap 3: Verwijder de gijzelsoftware van de getroffen apparaten

Voer een actuele antivirusscan uit op alle verdachte apparaten. Je kan hier Windows Defender voor gebruiken. Als alternatief kun je ook malware verwijderen met de Malicious Software Removal Tool (MSRT).

Stap 4: Herstel bestanden op een opgeschoond apparaat

Nadat alle stappen zijn voltooid om de gijzelsoftware te verwijderen, kun je File Historie gebruiken voor Windows 10 en Windows 8.1.

Stap 5: Herstel de bestanden in OneDrive

Herstel bestanden in OneDrive naar een eerder tijdstip in de afgelopen 30 dagen. Zie OneDrive herstellen voor meer informatie hoe je dit doet.

Stap 7: Schakel Exchange ActiveSync en OneDrive sync in

Schakel de Exchange ActiveSync en OneDrive sync weer in als alle apparaten weer schoon zijn en de gegevens weer hersteld zijn.

Stap 8: Zorg voor een goede beveiliging

Zorg voor een goede beveiliging in jouw omgeving zodat hackers niet makkelijk binnen kunnen komen. Adopteer Multi-Factor Authentication (MFA) en overweeg om passwordless te gaan.
Gebruik daarnaast ook bescherming voor het gebruik van e-mail. 90% van alle aanvallen komen binnen via e-mail. Microsoft Defender for Office 365 is zo’n platform en voert een controle uit op alle links waar op geklikt kan worden. Overweeg daarnaast om automatisch doorsturen van e-mails te blokkeren.

Wanneer je de “nieuwe” Edge browser gebruikt binnen jouw organisatie, kan SmartScreen helpen om phishingwebsites of andere kwaadwillende sites te herkennen en waar nodig beslissingen te nemen over de downloads. Hiermee biedt SmartScreen dus extra bescherming.

Op de achtergrond worden er allerlei pagina’s geanalyseerd om zo mogelijk verdachte inhoud te blokkeren. Deze inhoud bestaat uit een dynamische lijst met gerapporteerde phishingwebsites en websites met schadelijke software. SmartScreen laat een waarschuwing zien waarin staat dat de website geblokkeerd is wegens veiligheid.

Site analyse
Wanneer een website geblokkeerd is, ziet dit er zo uit.

Bestandsanalyse
Veilige bestanden kunnen gewoon gedownload worden zonder notificaties. Bestand die als niet veilig worden gezien, laten een waarschuwing zien dat dit bestand onveilig is, zie screenshot hieronder.

Bestand die niet bekend zijn, laten een waarschuwing zien om de gebruiker er op te wijzen dat de download geen kenmerken heeft als betrouwbaar.

Niet alle bestanden zullen malafide zijn en kunnen wel gedownload worden.

Microsoft Endpoint Management

Via Endpoint Management kan er een beleid aangemaakt worden om SmartScreen aan te zetten voor Edge. Maak hiervoor een Device restrictions profiel aan.

Het wordt steeds belangrijker voor organisaties om het juiste beleid door te voeren dat technologieën omarmt en implementeert die helpen bij het afdwingen van zero trust-beveiliging.
Een van de principes van zero trust-beveiliging is het concept van continue authenticatie, waarbij de sessie-connectiviteit van een eindgebruiker of apparaat continu wordt gecontroleerd op veranderingen.

Als een account is uitgeschakeld of als de status van het apparaat, locatie van het apparaat veranderd, bestaat de kans dat een account gehackt wordt. Dit kan een interne (bijvoorbeeld een ontevreden ontslagen werknemer) of een externe dreiging zijn.

Continuous access evaluation

Met Continuous access evaluation (CEA) vindt er communicatie plaats waarbij belangrijke informatie bijna real-time geëvalueerd worden in plaats van tokens met een bepaalde geldigheidsduur.

Op de volgende gebeurtenissen kunnen dus gelijk geëvalueerd worden;

• een gebruikersaccount is verwijderd of uitgeschakeld
• een wachtwoord voor een gebruiker is gewijzigd of gereset
• MFA is ingeschakeld voor de gebruiker
• de beheerder trekt expliciet alle vernieuwingstokens voor een gebruiker in
• verhoogd gebruikersrisico gedetecteerd door Azure AD Identity Protection

Hoe ziet dit in de praktijk eruit?

Wanneer een gebruiker toegang krijgt tot een online service (bijvoorbeeld Exchange Online), worden verzoeken geautoriseerd via tokens. Deze worden verstrekt op het moment dat een succesvolle authenticatie plaatsvindt, met een standaard geldigheidsduur van één uur.
Gedurende deze tijd zijn alle verzoeken dus geautoriseerd. Hoewel we dit kunnen manipuleren met behulp van sessiecontroles via conditional access zijn we afhankelijk van een tijdsperiode voordat een verzoek wordt geweigerd. Dit is niet altijd ideaal.

Voorbeeld 1
Een beheerder moet de toegang tot een service onmiddellijk blokkeren door een account uit te schakelen. Onder het “normale” model wordt dus gewacht tot het token-vernieuwingsinterval is bereikt. Alleen dan wordt de toegang geweigerd, wat misschien niet wenselijk is (een ontevreden ontslagen werknemer).

Voorbeeld 2
Een gebruiker kan voldoen aan een beleid voor conditional access op basis van locatie (zoals het hoofdkantoor) en vervolgens binnen die sessie opnieuw verschijnen op een untrusted locatie.

In deze voorbeelden geven we de voorkeur aan dat de sessie ongeldig wordt gemaakt via het account dat wordt uitgeschakeld, of door het verzoek opnieuw te evalueren door conditional access.

Op dit moment is CAE alleen gericht op Exchange, Teams en SharePoint Online. Om te kunnen werken met CAE moeten wel de laatste clientversies van de applicaties geïnstalleerd zijn.

• Outlook for Windows
• Outlook iOS
• Outlook Android
• Outlook Mac
• Teams for Windows
• Teams iOS
• Teams Android
• Teams Mac

Continuous access evaluation in- of uitschakelen

1. Meld je aan bij de Azure-portal als beheerder
2. Ga naar Azure Active Directory > Security > Continuous access evaluation.
3. Kies voor Enable of Disable

Met data classificatie kan de inhoud binnen de organisatie geëvalueerd en vervolgens getagd worden. Zo houd je controle over waar deze data naartoe gaat, wordt dit beschermd en kun je ervoor zorgen dat de data wordt bewaard of verwijderd volgens de behoefte van de organisatie.

Het toekennen van deze tagging kan gedaan worden door het toepassen van sensitivity labels, retention labels en sensitive information type classificatie.

Sensitivity labels

Mensen binnen jouw organisatie werken samen met andere zowel binnen als buiten de organisatie. Dit betekent dat de content niet meer achter een firewall staat en het zich overal kan bevinden op verschillende apparaten, apps en services.
En wanneer dit gebeurt, moet dit op een veilige en beschermde manier gebeuren.

Wanneer je een sensitity label toekent aan een document of email is het net als een stempel die wordt toegekend aan de content. Zie hieronder een voorbeeld van het toekennen van een sensitivity label.

Retention labels

Voor de meeste organisaties neemt het volume en de complexiteit van hun data dagelijks toe: e-mail, documenten, instant messages en meer. Het effectief beheren is daarom erg belangrijk.

Voldoe aan wetgeving of aan interne beleidsvoering die vereisen dat de content voor een minimale periode bewaart moet blijven.

Dit zijn enkele voorbeelden wat je met een retention label kan doen;

• Belastingformulieren moeten voor een bepaalde tijd bewaard blijven.
• Marketingmateriaal moet permanent verwijderd worden wanneer het een bepaalde leeftijd bereikt.
• Content dat bewaard moet blijven voor een specifieke periode en daarna permanent verwijderd moet worden.
• Documenten die gemarkeerd moeten worden als een record zodat deze niet bewerkt en verwijderd kunnen worden.

Sensitive information type

Een sensitivity information type wordt gedefinieerd door een patroon dat kan worden geïdentificeerd door een reguliere expressie of een functie. Daarnaast kan ondersteunend bewijs, zoals trefwoorden en checks, worden gebruikt om een sensitivity information type te identificeren.

Er bestaan al heel veel voor gedefinieerde sensitivity information types. Enkele voorbeelden zijn creditcardnummers, paspoortnummers of BSN nummers.

Zo kun je een beleid aanmaken die een BSN nummer herkent binnen een afstand van 300 tekens van een document.
Wanneer dit gebeurd, kun je doormiddel van een tooltip de gebruiker waarschuwen dat hij of zij op het punt staat een e-mail te versturen die de organisatie verlaat. Hier kun je vervolgens een actie aan koppelen die de e-mail automatisch versleuteld.

Multifactor-authenticatie (MFA) is momenteel een hot topic. Nu het aantal cyberaanvallen op cloud-identiteiten elke dag toeneemt, is het van grootste belang om onze identiteiten te beveiligen. Multifactor-authenticatie speelt een grote rol in dit proces.

Nu kan het implementeren van MFA in een Microsoft 365-omgeving behoorlijk verwarrend zijn. In deze blog zal ik uitleggen wat de best practices zijn van het instellen van MFA via Conditional Access.

User based versus Conditional Access

Multifactor-authenticatie kan op twee verschillende manieren worden ingeschakeld;

• User Based
• Conditional Access

De eerste manier is de oudste en meest bekende. Navigeer naar https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx en selecteer de gebruiker voor wie MFA ingeschakelt moet worden. De volgende keer dat de gebruiker zich aanmeldt, wordt hem gevraagd om verificatie met meerdere factoren te configureren.

Als MFA via Conditional Access wordt inschakeld, kan MFA op groepsbasis en met veel fijnere controles ingeschakeld worden. Het is mogelijk om MFA alleen te eisen van apparaten die niet van het bedrijf zijn, alleen wanneer u SharePoint gebruikt of wanneer de gebruiker niet op kantoor is.

Maak een policy aan

Ga naar portal.azure.com en selecteer Conditinal Access en klik op ‘New Policy’.
Vul hier een gewenste naam in en selecteer ‘Users and groups’.

Kies hier de gebruikers die je wilt includen/excluden in deze policy

In dit voorbeeld kies ik ervoor om alle gebruikers te includen en het admin account te excluden. Let ook op dat je hier elk (service) account exclude die geen moderne authenticatie ondersteund.

Selecteer nu de cloud apps waarvoor je de policy wilt configureren. Hier kun je allerei gedetaileerde policies instellen voor verschillende cloud apps.

Bijvoorbeeld: Gebruik alleen MFA wanneer gebruikers ingelogd zijn op een niet-bedrijfsapparaat, behalve wanneer de Azure portal wordt gebruikt, dan is MFA altijd verplicht.

Het volgende is het instellen van de condities. In dit voorbeeld moeten alle locaties include worden behalve de locaties die gemarkeerd zijn als trusted (vaak is dit de locatie van het hoofdkantoor).

Ten slotte hebben we MFA nodig door ‘Grant access’ te selecteren en het een vikje te plaatsen bij ‘Require multi-factor authentication’. Nu kan de policy opgeslagen worden.

Belangrijk om vooraf te weten!
Safe Documents is beschikbaar binnen Microsoft 365 E5 of Microsoft 365 E5 Security licentie.

Wat doet Safe Documents

De beveiligde weergave wordt standaard ingeschakeld voor alle documenten die afkomstig zijn van buiten de organisatie, zoals bijvoorbeeld vanaf het internet of een e-mailbijlage. Deze afbeelding hieronder hoe laat zien hoe dit eruit ziet in Office.

Soms is het evenwel noodzakelijk om deze documenten toch te kunnen bewerken en moet de gebruiker uit de beveiligde weergave gaan.

Als de optie Safe Documents is ingeschakeld, wordt een bestand eerst naar Microsoft Defender Advanced Threat Protection (ATP) gestuurd wanneer een gebruiker uit de beveiligde weergave gaat. Het document wordt dan eerst door de antivirus gescand, voordat het kan worden bewerkt.

Defender ATP houdt de documenten niet langer bij dan nodig is voor de analyse, wat volgens Microsoft meestal neerkomt op minder dan 24 uur.

Het document wordt pas ontgrendeld nadat de scan is afgerond, op voorwaarde dat er geen mogelijke bedreigingen worden aangetroffen. Er verschijnt dan een knop om bewerken in te schakelen en uit de beveiligde weergave te gaan. Wordt er wel een bedreiging aangetroffen, dan kan het bestand niet worden ontgrendeld en wordt er een waarschuwing gestuurd naar het Office 365-dashboard van de organisatie.

Wat is legacy authentication

Legacy authentication is het inloggen op een dienst of service met slechts alleen een gebruikersnaam en wachtwoord. Deze verouderde manier van inloggen kan niet omgaan met nieuwe methodes zoals oAuth (moderne authenticatie). Deze nieuwe manier van inloggen kan in combinatie met MFA worden gebruikt. Daarom is het belangrijk dat deze verouderde manieren van inloggen geblokkeerd worden. Dit kan gedaan worden door een Conditional Access policy.

Risico: Door legacy authenticatie toe te staan is het voor kwaadwillende gemakkelijker om toegang te krijgen tot de M365 omgeving en daarbij MFA te omzeilen.

Identificeer welke gebruikers legacy authentication gebruiken

De eerste stap voor het uitschakelen van legacy authentication zou moeten zijn om gebruikers en services te identificeren die hier nog gebruik van maken. Een rapport kan worden gemaakt via de Sign-in Monitoring van Azure AD (Azure AD Premium P1 licentie).

Navigeer naar portal.azure.com, ga naar Azure Active Directory en scrol omlaag naar ‘Sign-ins’. Dit is een overzicht van alle aanmeldingen die plaatsvinden binnen de tenant. Voeg de kolom ‘Client-app’ toe en filteer dan op de verschillende ‘Other Clients’ (dit zijn de verouderde protocollen). Gebruik dit overzicht om de gebruikers te identificeren die nog steeds legacy authentication gebruiken en probeer ze over te laten stappen naar moderne authenticatie.

Maak een policy aan

De beste manier om legacy authentication te blokkeren is via Conditional Access. Navigeer naar portal.azure.com en ga naar ‘Conditional Access’ en klik op ‘New Policy’.

Voer een naam in voor je policy en selecteer ‘Users and groups’ en kies ‘All users’.
Let op dat je eventueel (service) accounts die nog verouderde protocollen gebruiken en echt noodzakelijk zijn op dit moment kan excluden.

Wij willen de toegang voor legacy clients blokkeren voor alle cloud apps. Selecteer daarom ‘All Cloud apps’

Configureer nu de condition. Selecteer ‘Conditions’, ‘Client apps’ en selecteer yes en vink daarbij ‘Mobile apps and desktop clients’ en ‘Other Clients’ aan.

Dit is de laatste stap. Kies ‘Block Access’ in de Access Controls en sla daarna de policy op. Er kan ook gekozen worden om eerste deze policy op te slaan op report-only. Via deze manier kun je eerst inzicht krijgen wie of welke service nog gebruikt maakt van legacy authentication.