Cybersecurity
Zo beschermt Conditional Access uw Microsoft 365 waar MFA ophoudt
Geschreven door het team van Teleservice ICT, ICT-beheerder voor het MKB in de regio Rotterdam, Den Haag en Zuid-Holland. Ruime ervaring met het beveiligen van Microsoft 365-omgevingen met MFA, Conditional Access en Entra ID.
Bijna elk bedrijf heeft multi-factor authenticatie (MFA) aanstaan. Verstandig, want het is een van de sterkste beveiligingsmaatregelen die er zijn. Toch is "MFA staat aan" niet hetzelfde als "we zijn veilig". Slimme aanvallers vinden nog steeds manieren om binnen te komen. Het goede nieuws is dat u de oplossing waarschijnlijk al in huis heeft. In dit artikel leest u welke risico's er overblijven en hoe Conditional Access in Microsoft 365 Business Premium de deur veel verder dichtdoet.
In het kort
- MFA stopt ruim 99,9% van de geautomatiseerde aanvallen. Gerichte aanvallers komen er soms nog langs.
- Conditional Access dicht dat gat en zit al in Microsoft 365 Business Premium. U betaalt er dus al voor.
- Met slimme regels, zoals het blokkeren van vreemde landen, wordt uw omgeving een onaantrekkelijk doelwit.
- 100% veilig bestaat niet. Het doel is de drempel zo hoog leggen dat aanvallers afhaken. TICT richt dit voor u in.
Inhoudsopgave
MFA is sterk, maar niet de finish
In ons artikel over twee-factor authenticatie (2FA) legden we uit dat MFA meer dan 99,9% van de geautomatiseerde aanvallen tegenhoudt. Dat klopt nog steeds. Heeft u het ergens niet aanstaan, dan is dat de eerste stap.
Let wel op het woord geautomatiseerde. Die 99,9% gaat over massale, botmatige aanvallen die miljoenen gelekte wachtwoorden uitproberen. Gerichte aanvallers, die het specifiek op uw bedrijf hebben gemunt, hebben inmiddels trucs om ook langs MFA te komen.
van de geautomatiseerde aanvallen stopt MFA
veelgebruikte trucs komen daar nog langs
extra licentiekosten met Microsoft 365 Business Premium
MFA blijft de basis
Deze blog gaat niet over het vervangen van MFA, maar over de laag die daarbovenop hoort. Zet MFA dus overal aan. Beschouw het als de eerste, onmisbare stap. Niet als de finish.
Waar loopt MFA nog op stuk?
MFA controleert wie u bent op het moment dat u inlogt. Daarna zijn er vier manieren waarop aanvallers er alsnog omheen werken.
Een nagemaakte inlogpagina
U logt zelf in, de aanvaller kijkt live mee.
De neppagina lijkt exact op de echte Microsoft-login. Terwijl u inlogt, inclusief MFA-goedkeuring, kaapt de aanvaller op de achtergrond uw sessie. U merkt er niets van.
Een gestolen toegangsbewijs
Na het inloggen is uw sessie zelf het doelwit.
Uw browser krijgt na het inloggen een tijdelijk toegangsbewijs, zodat u niet steeds opnieuw hoeft in te loggen. Wordt dat gestolen, dan kan een aanvaller het hergebruiken. Zonder wachtwoord en zonder MFA.
MFA-moeheid
Net zo lang vragen tot iemand ja zegt.
Met een buitgemaakt wachtwoord stuurt een aanvaller keer op keer een goedkeuringsverzoek naar uw telefoon. In een onbewaakt moment tikt iemand op "Goedkeuren" om van de meldingen af te zijn.
Een eigen apparaat toevoegen
Een stille achterdeur die blijft werken.
Wie eenmaal binnen is, koppelt zijn eigen telefoon als extra MFA-methode. Zo blijft de toegang bestaan, zelfs nadat u het wachtwoord heeft gewijzigd.
De rode draad
Al deze trucs hebben iets gemeen. MFA beschermt vooral het inlogmoment. Zodra een aanvaller dat moment weet te passeren of te omzeilen, helpt MFA niet meer. Er is een tweede laag nodig die kijkt naar de omstandigheden van elke inlogpoging. Precies dat doet Conditional Access.
Wat is Conditional Access?
Conditional Access is een slimme portier bij de deur van uw Microsoft 365-omgeving. Het laat niet iedereen met de juiste sleutel automatisch binnen, maar beoordeelt elke inlogpoging op de situatie. Daarna laat het de poging toe, vraagt het een extra controle of houdt het de deur dicht.
De portier kijkt onder meer naar deze vier dingen.
- Wie logt in? Een gewone medewerker of een beheerder met extra rechten?
- Waar komt de poging vandaan? Kantoor, thuis of een land waar u nooit werkt?
- Welk apparaat wordt gebruikt? Een beheerde bedrijfslaptop of een onbekende computer?
- Wat wil iemand openen? Een agenda of juist uw hele klantadministratie?
Op basis daarvan stelt u regels in. Blokkeer bijvoorbeeld inloggen vanuit onverwachte landen, vraag een extra check buiten kantoor of maak gevoelige gegevens alleen toegankelijk vanaf een beheerd apparaat.
Vertrouw nooit zomaar, controleer altijd
Geen enkele inlogpoging is op voorhand vertrouwd, ook niet als het wachtwoord en de MFA kloppen. Elke poging wordt op zijn eigen situatie beoordeeld. Voor een aanvaller met buitgemaakte inloggegevens wordt het zo een stuk lastiger om er iets mee te doen.
Dit zit al in Business Premium
Conditional Access klinkt als iets voor grote ondernemingen, maar zit vaak al in uw abonnement. Het hoort bij Microsoft Entra ID P1 en dat is standaard onderdeel van Microsoft 365 Business Premium. Het hoeft alleen nog te worden aangezet en goed ingericht.
Veel bedrijven laten dit ongebruikt
In de praktijk zien we vaak dat de licentie er wel is, maar dat Conditional Access nooit is ingericht. Dan betaalt u eigenlijk voor een alarmsysteem dat niet is aangezet. Juist hier valt met bestaande middelen een grote beveiligingswinst te halen, zonder extra licentiekosten.
Er bestaat ook een zwaarder niveau (Entra ID P2) dat automatisch verdacht gedrag herkent. Voor de meeste MKB-bedrijven is een goed ingerichte P1 al een enorme stap vooruit. Alle maatregelen in deze blog kunnen met de P1-licentie uit Business Premium. Meer daarover leest u op onze pagina over Microsoft 365 / Office 365.
Vreemde landen blokkeren
Een van de eenvoudigste en meest effectieve regels is bepalen vanuit welke landen inloggen logisch is. Werkt uw team alleen in Nederland en af en toe elders in de EU? Dan hoeft er nooit ingelogd te worden vanaf de andere kant van de wereld. Toch komt daar juist een groot deel van de aanvallen vandaan.
Een voorbeeld
U staat inloggen alleen toe vanuit Nederland en de EU. Een aanvaller in een ver land die uw wachtwoord heeft buitgemaakt, komt niet eens tot de MFA-vraag. De deur gaat simpelweg niet open. Zo sluit u in een paar klikken een enorm deel van de geautomatiseerde inlogpogingen buiten.
U kunt bekende risicolanden blokkeren. Nog veiliger is alleen de landen toestaan waar u daadwerkelijk werkt en al het andere dichtzetten. Alles wat u niet uitdrukkelijk vertrouwt, blijft dan buiten.
Geen enkel slot is waterdicht
Een aanvaller kan met een VPN doen alsof hij uit een toegestaan land komt. Een al gekaapte sessie valt bovendien soms buiten deze regel. Landen-blokkade is daarom een van de sloten, niet het eindstation. De kracht zit in de combinatie.
Meerdere sloten op de deur
De echte kracht van Conditional Access zit in het combineren van maatregelen. Elke laag vangt iets op wat een andere laag mist. Dit kunt u met Business Premium allemaal inrichten.
Alleen vertrouwde landen
Beperk toegang tot de landen waar u werkt. Dit houdt de grote massa aanvallen meteen buiten de deur.
Oude inlogmethodes uit
Blokkeer verouderde manieren van inloggen die geen MFA ondersteunen. Aanvallers zoeken juist die zwakke plek op.
Alleen bekende apparaten
Laat voor gevoelige gegevens alleen apparaten toe die uw bedrijf beheert. Een onbekend apparaat komt er niet in, ook niet met het juiste wachtwoord.
Phishing-bestendig inloggen
Methodes zoals passkeys, een YubiKey of Windows Hello zijn niet te misleiden met een neppagina. Nummermatching voorkomt per ongeluk goedkeuren.
MFA-registratie afschermen
Sta het toevoegen van een nieuwe MFA-methode alleen toe vanaf een vertrouwde locatie. Zo kan een aanvaller zijn eigen telefoon niet koppelen.
Snel kunnen ingrijpen
Trek verdachte sessies vrijwel direct in. Een gestolen toegangsbewijs wordt zo binnen enkele minuten waardeloos.
Zo hangt het samen
Landen-blokkade houdt de massa buiten. Phishing-bestendig inloggen maakt neppagina's kansloos. Beheerde apparaten en afgeschermde MFA-registratie sluiten de achterdeurtjes. Snel ingrijpen beperkt de schade als er toch iets doorheen glipt. Samen maken deze lagen uw omgeving een veel te lastig doelwit.
Waarom 100% niet bestaat
Honderd procent veilig bestaat niet en wie dat belooft, verkoopt u een illusie. Dat is ook niet het doel. Beveiliging draait erom de drempel zo hoog te leggen dat een aanvaller afhaakt en naar een makkelijker doelwit gaat. Elke laag die u toevoegt kost de aanvaller meer moeite en koopt u meer tijd om in te grijpen.
Van open deur naar een deur met meerdere sloten
Met alleen een wachtwoord bent u een open deur. Met MFA erbij een dichte deur. Met Conditional Access wordt het een deur met meerdere sloten, een camera en een alarm. Niet onneembaar, maar wel zo vervelend dat vrijwel elke aanvaller een makkelijker slachtoffer opzoekt.
Laat TICT uw Microsoft 365 goed dichtzetten
Grote kans dat u Conditional Access al in uw licentie heeft, maar dat het nog niet is ingericht. Teleservice ICT richt het voor u in. Wij regelen het, u werkt gewoon door.
Veelgestelde vragen over Conditional Access
Heb ik hiervoor een dure extra licentie nodig?
Waarschijnlijk niet. Conditional Access hoort bij Microsoft Entra ID P1, dat standaard in Microsoft 365 Business Premium zit. Werkt u met Business Premium, dan betaalt u er al voor en hoeft het alleen nog te worden ingericht.
Betekent dit dat MFA zinloos is?
Nee, integendeel. MFA blijft een van de belangrijkste maatregelen en houdt de overgrote meerderheid van de aanvallen tegen. Conditional Access vervangt MFA niet, maar dicht de gaten die met MFA alleen overblijven.
Gaat Conditional Access mijn thuiswerkers hinderen?
Nee, mits het goed is ingericht. U kunt thuiswerken en zakenreizen gewoon toestaan. Het gaat erom onverwachte en risicovolle inlogpogingen tegen te houden. Vertrouwde situaties richt u in als uitzondering, zodat uw medewerkers er in de praktijk weinig van merken.
Houdt het blokkeren van landen echt alles tegen?
Nee. Het stopt heel veel geautomatiseerde aanvallen, maar een aanvaller kan met een VPN doen alsof hij uit een toegestaan land komt. Daarom combineert u landen-blokkade altijd met andere maatregelen, zoals phishing-bestendig inloggen en het toelaten van alleen beheerde apparaten.
Wat gebeurt er als een aanvaller er toch doorheen komt?
Met de juiste instellingen kunt u verdachte sessies vrijwel direct intrekken, zodat gestolen toegang snel waardeloos wordt. Ook ziet u aan de meldingen dat er iets niet klopt en kunt u meteen ingrijpen. Zo blijft de schade beperkt.
Wat kost het om dit te laten instellen?
De licentie heeft u met Business Premium meestal al. De kosten zitten vooral in het eenmalig goed inrichten en testen. Teleservice ICT bekijkt uw situatie en geeft vooraf een heldere, vrijblijvende inschatting.
Kan Teleservice ICT dit voor mijn bedrijf regelen?
Ja. Wij richten Conditional Access volledig voor u in, afgestemd op hoe uw bedrijf werkt. Denk aan het blokkeren van risicolanden, phishing-bestendige aanmelding en het beschermen van uw MFA-registratie. Neem contact met ons op voor een vrijblijvend gesprek.
Over Teleservice ICT
Teleservice ICT is uw ICT-afdeling in Capelle aan den IJssel. Wij bieden proactief IT-beheer, cybersecurity en cloud-oplossingen voor het MKB in de regio Rotterdam, Den Haag en heel Zuid-Holland. Met onze "Vandaag bellen, morgen een oplossing" aanpak zorgen we dat uw IT altijd werkt, al sinds 1987.
Contact:
Tel: 088 – 833 00 80
E-mail: info@teleserviceict.nl
Adres: Molenbaan 30, 2908 LM Capelle aan den IJssel