26 maart 24 |

Het belang van identiteits- en toegangsbeheer in ISO27001

Blog Informatiebeveiliging
identiteitsbeheer-toegangsbeheer-iso27001

In januari 2024 ontdekte Microsoft dat ze het slachtoffer waren geworden van een hack georkestreerd door Russische staats-hackers genaamd Midnight Blizzard (soms ook bekend als Nobelium). Het verontrustende detail van deze zaak is hoe gemakkelijk het was om de softwaregigant binnen te dringen. Het was geen zeer technische hack die een zero-day kwetsbaarheid misbruikte – de hackers gebruikten een eenvoudige password spray-aanval om controle te krijgen over een oud, inactief account. Dit dient als een scherpe herinnering aan het belang van wachtwoordbeveiliging en waarom organisaties elke gebruikersaccount moeten beschermen. In dit blog gaan we dieper in op deze casus en beschrijven we het belang van identiteits- en toegangsbeheer in ISO27001.

Wachtwoord sprayen: een eenvoudige maar effectieve aanval

De hackers verkregen toegang door in november 2023 een password spray-aanval te gebruiken. Password spraying is een relatief eenvoudige brute force-techniek die inhoudt dat dezelfde gebruikersnaam en wachtwoordcombinatie wordt geprobeerd tegen meerdere accounts. Door gebruikersaccounts te bestoken met bekende zwakke en gecompromitteerde wachtwoorden, slaagden de aanvallers erin toegang te krijgen tot een oud niet-productie testaccount binnen het Microsoft-systeem, wat hen een eerste positie gaf in de omgeving. Dit account had ofwel ongebruikelijke privileges of de hackers escaleerden deze.

De aanval duurde maar liefst zeven weken, gedurende welke de hackers e-mails en bijgevoegde documenten exfiltreerden. Deze gegevens compromitteerden een ‘zeer klein percentage’ van de zakelijke e-mailaccounts, inclusief die van leidinggevenden en medewerkers van de cybersecurity- en juridische teams. Het beveiligingsteam van Microsoft ontdekte de hack op 12 januari en nam onmiddellijk maatregelen om de activiteiten van de hackers te verstoren en verdere toegang te ontzeggen.

Het feit echter dat de hackers toegang konden krijgen tot dergelijke gevoelige interne informatie benadrukt de potentiële schade die kan worden veroorzaakt door zelfs schijnbaar onbeduidende accounts. Het enige wat aanvallers nodig hebben is een eerste positie binnen uw organisatie.

Identiteits- en toegangsbeheer in ISO27001 is voor alle accounts

Het belang van identiteits- en toegangsbeheer in ISO27001 beperkt zich niet alleen tot de admin-accounts. Hoewel organisaties vaak prioriteit geven aan de bescherming van deze bevoorrechte accounts, toont de aanval op Microsoft aan dat elk gebruikersaccount een potentieel toegangspunt is voor aanvallers. Privilege escalatie betekent dat aanvallers hun doelen kunnen bereiken zonder noodzakelijkerwijs een zeer bevoorrecht beheerdersaccount als startpunt te hebben.

Het beschermen van een inactief laag-bevoorrecht account is net zo cruciaal als het beschermen van een hoog-bevoorrecht beheerdersaccount om verschillende redenen. Ten eerste richten aanvallers zich vaak op deze over het hoofd geziene accounts als potentiële toegangspunten tot een netwerk. Inactieve accounts hebben vaker zwakke of verouderde wachtwoorden, waardoor ze gemakkelijkere doelen zijn voor brute force-aanvallen. Eenmaal gecompromitteerd, kunnen aanvallers deze accounts gebruiken om lateraal binnen het netwerk te bewegen, hun privileges te escaleren en toegang te krijgen tot gevoelige informatie.

Ten tweede worden inactieve accounts vaak verwaarloosd op het gebied van beveiligingsmaatregelen, waardoor ze aantrekkelijke doelwitten zijn voor hackers. Organisaties kunnen nalaten sterke wachtwoordbeleidsregels of multi-factor authenticatie voor deze accounts in te voeren, waardoor ze kwetsbaar worden voor exploitatie. Vanuit het perspectief van een aanvaller kunnen zelfs laag-bevoorrechte accounts waardevolle toegang bieden tot bepaalde systemen of gegevens binnen een organisatie.

Verdedigen tegen wachtwoord spray-aanvallen

De hack van Microsoft dient als een wake-up call voor organisaties om de beveiliging van elk gebruikersaccount te prioriteren. Het benadrukt de kritische noodzaak van robuuste wachtwoordbeveiligingsmaatregelen voor alle accounts, ongeacht hun veronderstelde belang. Door sterke wachtwoordbeleidsregels in te voeren, multi-factor authenticatie mogelijk te maken, regelmatige audits van Active Directory uit te voeren en continu te scannen op gecompromitteerde wachtwoorden, kunnen organisaties het risico op hetzelfde scenario aanzienlijk verminderen.

De hack van Microsoft benadrukt de noodzaak voor organisaties om robuuste wachtwoordbeveiligingsmaatregelen te implementeren voor alle accounts. Een veilig wachtwoordbeleid is essentieel, zodat alle accounts, inclusief legacy-, niet-productie- en testaccounts, niet over het hoofd worden gezien. Bovendien voegt het blokkeren van bekende gecompromitteerde referenties een extra beschermingslaag toe tegen actieve aanvallen.

Specops Password Policy met Breached Password Protection biedt geautomatiseerde, voortdurende bescherming voor uw Active Directory. Het beschermt uw eindgebruikers tegen het gebruik van meer dan 4 miljard unieke bekende gecompromitteerde wachtwoorden, inclusief gegevens uit zowel bekende lekken als ons eigen honeypot-systeem dat wachtwoorden verzamelt die worden gebruikt in echte password spray-aanvallen.

De dagelijkse update van de Breached Password Protection API, in combinatie met voortdurende scans naar het gebruik van die wachtwoorden in uw netwerk, zorgt voor een veel uitgebreidere verdediging tegen het risico van wachtwoordaanslagen en het risico van wachtwoordhergebruik. Praat vandaag nog met een expert om erachter te komen hoe Specops Password Policy kan passen binnen uw organisatie.

Voortdurend afsluiten van aanvalsroutes voor hackers

De hack van Microsoft door de Russische staats-hackers Midnight Blizzard onderstreept de kritische noodzaak van sterke identiteits- en toegangsbeheerpraktijken in moderne organisaties. Het gebruik van een eenvoudige password spray-aanval om een oud, inactief account binnen te dringen, toont aan hoe zelfs ogenschijnlijk onbeduidende accounts een potentiële dreiging vormen als ze niet adequaat worden beschermd.

Organisaties moeten prioriteit geven aan het beschermen van alle accounts, ongeacht hun niveau van bevoegdheid of activiteit. Dit omvat het implementeren van robuuste wachtwoordbeleidsregels, het activeren van multi-factor authenticatie en het regelmatig uitvoeren van audits van Active Directory om inactieve of kwetsbare accounts te identificeren.

Het naleven van internationale normen zoals ISO 27001 kan organisaties helpen bij het ontwikkelen en handhaven van effectieve identiteits- en toegangsbeheerpraktijken. Deze norm dwingt organisaties om na te denken over beveiligingsmaatregelen en processen die essentieel zijn om gegevens te beschermen tegen cyberaanvallen.

In een tijdperk waarin cyberdreigingen voortdurend evolueren, is het essentieel dat organisaties proactief zijn in het beschermen van hun digitale ecosystemen. Alleen door het implementeren van robuuste identiteits- en toegangsbeheerpraktijken kunnen organisaties het risico op inbreuken zoals die van Microsoft minimaliseren en de integriteit van hun gegevens behouden.

Conclusie

De hack van Microsoft door de Russische staats-hackers Midnight Blizzard onderstreept de kritische noodzaak van sterke identiteits- en toegangsbeheerpraktijken in moderne organisaties. Het gebruik van een eenvoudige password spray-aanval om een oud, inactief account binnen te dringen, toont aan hoe zelfs ogenschijnlijk onbeduidende accounts een potentiële dreiging vormen als ze niet adequaat worden beschermd.

Organisaties moeten prioriteit geven aan het beschermen van alle accounts, ongeacht hun niveau van bevoegdheid of activiteit. Dit omvat het implementeren van robuuste wachtwoordbeleidsregels, het activeren van multi-factor authenticatie en het regelmatig uitvoeren van audits van Active Directory om inactieve of kwetsbare accounts te identificeren.

Dit blog ging alleen over het belang van identiteits- en toegangsbeheer in ISO27001. Maar ISO27001 behelst meer. Deze norm dwingt organisaties om na te denken over beveiligingsmaatregelen en processen die essentieel zijn om gegevens te beschermen tegen cyberaanvallen. Lees ons blog over de implementatie van ISO27001.

In een tijdperk waarin cyberdreigingen voortdurend evolueren, is het essentieel dat organisaties proactief zijn in het beschermen van hun digitale ecosystemen. Alleen door het implementeren van robuuste identiteits- en toegangsbeheerpraktijken kunnen organisaties het risico op inbreuken zoals die van Microsoft minimaliseren en de integriteit van hun gegevens behouden.

Meer weten over identiteits- en toegangsbeheer in ISO27001? Neem contact met ons op voor een vrijblijvend strategiegesprek over ISO27001 in uw organisatie.