Hoe Azure AD een nieuw laag van veiligheid aanbrengt

Een veilig wachtwoord is niet alleen moeilijk om te onthouden, maar moet ook nog eens uniek zijn. Veel medewerkers gebruiken daarom hetzelfde wachtwoord voor hun privé e-mail, DigID, Facebook en de werk e-mail. Terwijl volgens recent onderzoek van Verizon komt 63 procent van alle datalekken door zwakke, standaard of gestolen wachtwoorden. Daarnaast maakt 80 procent van de werknemers gebruik van shadow IT: niet goedgekeurde cloud software zoals Dropbox of Gmail. Daarom breidde Microsoft recent Azure AD uit met als uitgangspunt zijn slogan sinds 2013: identity is the new control plane.

Microsoft bedoelt daarmee dat de beveiliging binnen een organisatie valt of staat met de security van een identity. Heeft een hacker eenmaal toegang via het wachtwoord van een gebruiker, dan kan hij vervolgens vanuit het bedrijfsnetwerk zoeken naar verdere kansen. Gemiddeld duurt het meer dan 200 dagen voordat een hack is ontdekt, wat een hacker volop tijd geeft om het netwerkverkeer te bestuderen, zichzelf meer rechten te geven en diepere hacks te maken. Het verslag van Wired over een grootscheepse cyberaanval op de Amerikaanse regering geeft een helder beeld van een hack dat begon met het gebruik van een wachtwoord terwijl de gebruiker op vakantie was.

Dus hoe voorkom je dat? In eerste instantie door applicaties niet meer hun eigen wachtwoorden te laten gebruiken, maar zich door Azure AD te laten vertellen wie de gebruiker is. Azure AD gebruikt hiervoor Single Sign On, waarbij applicaties worden direct gekoppeld met Azure AD en de authenticatie door Azure AD wordt gedaan. Zonder een authenticatie op Azure AD, kun je niet in de applicatie inloggen. Gaat een medewerker uit dienst, dan worden al zijn toegangen tot applicaties automatisch ingetrokken.

“Het wachtwoord is passé”

Zonder een geautomatiseerd proces ga je namelijk geheid een applicatie vergeten, en kan de medewerker – of een hacker –jaren later nog in de applicatie. Daarnaast kan Azure de gekoppelde applicaties voorzien van accountgegevens die worden gebruikt om gebruikers in de applicatie te identificeren. Authenticatie is slechts een eerste stap in het beveiligen. Werknemers gaan lang niet altijd even goed omgaan met hun wachtwoord, en daarom verklaart Microsoft het wachtwoord als passé.

Geavanceerde beveiliging

De voornaamste reden waarom het zo lang duurt voordat een hack wordt ontdekt, is de blinde vlek in het gedrag van medewerkers. Het gebruik van privé-applicaties en -apparaten (Bring Your Own Device (BYOD) door medewerkers is enorm toegenomen. Heeft een hacker eenmaal toegang tot het privé-apparaat, dan kan hij zich snel toegang verwerven tot het bedrijfsnetwerk. Dat is de reden dat Azure AD extra beveiliging heeft zoals controle op inloglocatie en validatie van wachtwoord tegen gelekte inloggegevens van hacks uit het verleden. Azure AD controleert ook op het inloggen vanuit suspisious networks: netwerken die bekend staan waarvandaan veel hackers actief zijn of vanuit een TOR-netwerk.

En nu is Azure AD verder uitgebreid met het onderdeel Advanced Threat Analytics (ATA): een achtergrondproces wat passief draait in het interne netwerk, informatie van verschillende bronnen verzamelt en entiteiten analyseert om verdachte patronen te herkennen. Rules, baselines en threshholds hoeven hiervoor niet te worden gecreëerd. Voorbeelden van verdacht verkeer zijn:

  • Inloggen van verschillende werkplekken tegelijk door gebruikers;
  • Inloggen op vreemde tijdstippen, zoals bijvoorbeeld ’s nachts;
  • Meerdere verkeerde gebruikersnamen en wachtwoorden;
  • Hergebruik van tokens die reeds zijn afgehandeld;
  • Opname van netwerkverkeer dat later opnieuw wordt afgespeeld;

ATA geeft dit vervolgens door aan Azure AD, dat meer op de voorgrond zit waarbij meer interactie met de gebruiker mogelijk is. Azure AD geeft dan zelfstandig een waarschuwing als er een verdachte patroon wordt geïdentificeerd. De medewerker wordt bijvoorbeeld verzocht om een wachtwoord te wijzigen, of een extra MFA doorlopen zoals een code per sms of telefoon.

Shadow IT: De blinde vlek binnen een organisatie

Een ander gevaar is dat bedrijfsdata in privédiensten zoals Dropbox en Google Drive terechtkomt zonder dat IT daar controle over heeft. Azure AD heeft daarom nieuwe tooling voor het scannen van het netwerk om als IT-afdeling exact te zien welke applicaties er worden gebruikt. Niet alleen algemene webapplicaties als Dropbox, ShareFile of Gmail, maar ook SaaS-diensten zoals SAP, Salesforce of Amazon Webservices worden in kaart gebracht. Deze tooling heet Cloud App Discovery en verzamelt data van machines en devices, geeft dat door aan Azure AD voor analyse en daar worden de ontdekte clouddiensten vervolgens getoond ter beoordeling. Hiermee krijgt IT inzichten in de privé-applicaties en kan het een goed alternatief bieden.

De zwakste schakel

Voor veel medewerkers klinkt een hack als iets wat vooral iemand anders gebeurt. Maar beveiliging is voor iedereen relevant, omdat mensen zo vaak hetzelfde wachtwoord voor verschillende applicaties en diensten gebruiken. Dit jaar werden respectievelijk een werkplatform uit Twente, een dating website, een centraal registratiesysteem voor digitale leersystemen en de webwinkel Acer gehackt. De voornaamste reden waarom zulke relatieve ‘kleine’ doelen worden gehackt, is het verzamelen van inloggegevens die vervolgens op andere applicaties kunnen worden uitgeprobeerd. Cybercriminelen kunnen zo dus ook de inloggegevens voor een bedrijfsnetwerk bemachtigen.

Daarom is het belangrijk dat alle medewerkers en consumenten bewust worden gemaakt van de reële risico’s. Dat bewustzijn komt er geleidelijk met deze focus van Microsoft op identity. Omdat een wachtwoord potentieel niet veilig is, draagt Microsoft bij in de vorm van Windows Hello voor Windows 10 en MFA in Azure AD. Ook als het wachtwoord zwak is, kan er niet zomaar toegang tot Azure AD worden verkregen. Daarmee wordt de zwakste schakel sterker en wordt een nieuw niveau van veiligheid voor bedrijfsnetwerken bereikt.

Hierover verder praten? Neem gerust contact met mij op!