Elke dag worden 78 biljoen beveiligingssignalen verzameld om inzicht te krijgen in beveiligingsbedreigingen. Het is een uitgestrekt ecosysteem vol met talloze apps, apparaten en organisaties. Een technologisch hoogstandje, maar feit is dat zo’n ecosysteem grotere bedreigingen voor cybersecurity met zich meebrengt.
De kern hiervan is Microsoft Teams. Met meer dan 320 miljoen actieve gebruikers is het een steunpilaar geworden in menig organisatie. Maar Teams en cyberbeveiliging zijn meer dan je denkt.
In deze opname van Gammabox snijden Jack Carr (Teamleider Solutions Consultants) en Hisham El Sherbini (Microsoft Security Specialist) dit onderwerp verder aan:
- Waarom Teams werkt als een gedistribueerd aanvalsoppervlak
- Het verborgen risico rond verkeerde afstemming van het beleid in Microsoft 365
- Het belang van het afdwingen van zero trust en identiteitscontroles
- Waarom compliance, audit en insider risk proactieve governance vereisen.
Het is een fascinerend onderwerp om te verkennen en het is een must-watch voor elke organisatie die zich bewust is van wat er moet gebeuren om die Microsoft-suite te beveiligen.
‘’Tentakels over de hele Microsoft 365-suite’’
Teams is geen op zichzelf staande applicatie. In plaats daarvan, wanneer een nieuw ‘’team’’ wordt gemaakt, start Microsoft automatisch een nieuwe SharePoint-site, wijst een mailbox toe en koppelt alles aan OneDrive. Het ‘’raakt betrokken bij het hele plaatje’’, vooral wanneer je telefonie als component introduceert.
Het is erg handig, maar zoals Hisham terecht opmerkt, maakt het het aanvalsoppervlak een beetje breder. Elk onderdeel introduceert een uniek toegangspunt voor deze cybercriminelen en één inbreuk brengt de hele omgeving in gevaar.
Natuurlijk draait Entra ID in de cloud als het ‘startpunt van interactie met Teams’. Verschillende verificatiemethoden, waaronder multi-factor authenticatie (MFA) en single sign-on, helpen die kritieke gegevens te beveiligen. Die onderliggende dienstverlening is voor Hisham een belangrijk uitgangspunt, maar ook ‘een belangrijke bron van risico’s.’
Hij heeft gelijk, zoals Jack opmerkt, ‘’wanneer was de laatste keer dat je je aanmeldde bij Teams?’’ als je het niet goed doet, zullen er problemen volgen.
Nadenken over beleid
Er zijn twee soorten beleidsregels: die binnen Teams en die binnen Microsoft 365 die van invloed zijn op Teams. Intern Teams-beleid omvat beleidsregels voor vergaderingen, berichten en app-machtigingen bij het integreren van nieuwe services. Die bredere beleidsregels zijn te vinden in Microsoft Defender voor Office 365 (MDO), dat betrekking heeft op cloud-apps, identiteit en de inhoud die door gebruikers wordt gedeeld.
Jack vermeldt hoe tijdens formele inkoopoefeningen vaak wordt gesproken over gegevensnaleving en regelgeving. Op dit moment is het ‘’nog nooit zo belangrijk geweest … dat u op de hoogte bent van uw (gegevens) naleving en regelgeving.’’
Microsoft heeft de laatste tijd veel geïnvesteerd in hun Purview-platform, dat toezicht houd op de naleving en beveiliging van gegevens. Bewaarbeleid kan worden toegepast op Teams, met betrekking tot gesprekken, bestanden en andere inhoud die op het platform verschijnt.
Aangezien Teams bijna een ‘’venster op het bredere Microsoft-domein’’ is, hoeft er geen radicale verandering in aanpak te komen. Teams gaat op de ene manier om met gegevens en de rest van de suite gaat er op een andere manier mee om.
Het echte risico ligt echter in een verkeerde uitlijning.
Als u apps van derden toestaat in Teams zonder de juiste controle, of als u ze inconsistent blokkeert op verschillende afdelingen, kan dit leiden tot malware. Als Safe Links niet uniform wordt toegepast, kunnen gebruikers op sommige afdelingen worden beschermd tegen phishing en andere niet. Die voorwaardelijke toegang die wordt toegepast in Entra ID, maar niet algemeen wordt weerspiegeld in het gebruik van Teams, kan leiden tot ongeoorloofde toegang.
Een verkeerde uitlijning creëert hiaten en inconsistenties die moeilijk te herkennen zijn. Die blinde vlekken kunnen gemakkelijk worden uitgebuit door aanvaller of leiden tot onbedoelde inbreuken op de naleving. Hoe dan ook, het is een integraal onderdeel voor organisaties om hun regelgeving af te stemmen op alle componenten van hun Microsoft-domein.
Zero trust en identiteitscontroles
Microsoft Teams-verificatie is afhankelijk van Entra ID. elke aanmelding doorloopt deze identiteitslaag en die veilige aanmelding is de eerste verdedigingslinie voor Teams. Het principe waar Hisham voor pleit in die Teams-omgeving is ongeveer zero trust.
Die ‘’ga uit van een inbreuk’’-mentaliteit is cruciaal, want ‘’we hebben niet overal alarmbellen’’. Kwaadwillende hadden de Microsoft-omgeving al kunnen infiltreren, informatie kunnen verzamelen en stilletjes hun tijd kunnen afwachten. In de praktijk zou dat zero trust-model:
- Verifieer expliciet via MFA en voorwaardelijke toegang, wat betekent dat alleen de juiste personen toegang hebben tot Teams.
- Implementeer toegang met minimale bevoegdheden, wat betekent dat gebruikers alleen kunnen doen wat hun rol vereist
- Houd die mentaliteit aan en doe altijd alsof aanvallers al hebben toegeslagen
Microsofts eigen Defender for Identity helpt om die always-on beveiliging te waarborgen. Wat organisaties moeten onthouden, is dat identiteits- en toegangsbeheer niet optioneel is. Het is de ruggengraat van Teams-beveiliging, vooral bij het beheren van een hybride of gast intensieve omgeving.
Proactieve governance is een must
Nederland telt alleen al ongeveer 1,2 miljoen actieve bedrijven met personeel waarvan 92% slachtoffer is geworden van een cyberaanval, hierbij gaat het om ruim 1.104.000 organisaties.
Organisaties moeten proactief zijn, in plaats van reactief, wanneer zich een cyberbeveiligingsincident voordoet. Het vermindert reputatieschade, minimaliseert potentiële productiviteitsverliezen en houdt de kosten van het herstellen van de situatie laag.
Zie het zo. Je wijk liever uit om een kuil te ontwijken dan er dwars doorheen te rijden toch? Waarom zou je het risico lopen je auto te beschadigen als je schade in eerste plaats gewoon kunt vermijden?
Zoals Hisham eerder vermeldde, heeft Purview veel aandacht gekregen van Microsoft. Organisaties kunnen een dergelijke tool gebruiken om compliance, preventie van gegevensverlies en beleid rond retentie en gevoeligheid labels te beheren. Die mogelijkheden strekken zich ook uit tot auditing.
Wat belangrijk is om te onthouden, is dat vanwege regionale privacywetgeving de controlefunctie niet standaard is ingeschakeld. Als dat eenmaal is ingeschakeld, zoals Hisham opmerkt, kunnen organisaties beginnen met het ‘’vastleggen van een raar aantal activiteiten’’ die gebruikers uitvoeren. Die auditlogboeken, zodra ze zijn samengesteld, worden gebruikt voor de andere delen van Purview.
Naast het voorkomen van gegevensverlies is er Inside Risk Management. Voor Hisham zijn die insider-risico’s iets waar klanten ‘’niet naar kijken…nog veel’’. Op dit moment moeten organisaties meer zorg besteden aan deze interne risico’s en waakzamer zijn voor de activiteiten van zowel medewerkers als eventuele gasten in die omgeving.
Pro activiteit draagt in grote mate bij aan het handhaven van een goede cyberbeveiliging. Door u bewust te zijn van mogelijke risico’s voordat ze escaleren, worden eventuele schadelijke gevolgen beperkt. Governance mag nooit reactief zijn, anders blijven organisaties achter in de schaduw staan.
Beveiliging van uw omgeving
De beveiligingsmogelijkheden achter Microsoft Teams en de bredere 365-suite ‘’voldoen aan de vereisten voor wat we eigenlijk een beveiligingsplatform nodig hebben.’’ Wat belangrijk is om te onthouden, zoals Hisham zegt, is om ‘’uw gebruikers erbij te betrekken’’ en hen te helpen begrijpen wat er achter de schermen wordt gedaan. Wanneer gebruikers dat inzicht hebben, beginnen organisaties die always-on security -mentaliteit te implementeren.
Voor Jack, iemand een verandering opdringen zonder uit te leggen waarom ‘’het altijd moeilijker zal zijn’’ om die steun te krijgen.
Hisham en Jack hebben geweldig werk geleverd door te schetsen wat voor soort cyberbeveiligingsbeleid Microsoft Teams implementeert. Dat laatste punt over het verkrijgen van hun buy-in van gebruikers is cruciaal, omdat het past in het eigen doel van Gamma Secure om die menselijke firewall te versterken. Of het nu gaat om MDR, Managed SOC of zelfs gewoon cyberbeveiligingsbewustzijn, Gamma heeft een reeks cyberbeveiligingsdiensten die zijn gebouwd om organisaties veilig te houden.
Er moet veel gebeuren bij het beveiligen van Teams, of gewoon een organisatie in het algemeen. Maar vertrouw ons als we zeggen dat het de moeite waard is.