Skip to content

Aangezien ransomware-aanvallen organisaties van elke omvang blijven teisteren, is het logisch om je af te vragen waar binnen M365 de risico’s liggen. 

Het Microsoft 365 (M365)-ecosysteem biedt een volledige werkplek suite die alle IT-professionals kennen: samenwerkingstools, e-mail, cloudopslag, Office-apps en nog veel meer. Aangezien ransomware-aanvallen organisaties van elke omvang blijven teisteren, is het logisch om je af te vragen waar binnen M365 de risico’s liggen. 

Voor alle duidelijkheid, M365 is in de basis niet onveilig. Jouw bedrijf kan echter worden blootgesteld aan ransomware-aanvallen via M365 als je geen gebruik maakt van de beveiligingstools binnen het ecosysteem en je evenmin de best practices volgt. Waar het bij ransomware op neerkomt, is dat je er vanuit moet gaan dat jouw bedrijf morgen een doelwit is, ongeacht de grootte of omzet. Het is niet de vraag of je getroffen wordt, maar wanneer. 

In dit artikel behandelen we enkele van de gebieden in M365 waartoe cybercriminelen toegang kunnen krijgen. Je leest praktische stappen voor het voorkomen van ransomware om zodoende de beveiliging van je M365-implementatie te verhogen. Als je wordt aangevallen, zul je deze maatregelen uiteindelijk toch reactief moeten implementeren (plus nog veel meer), dus het loont de moeite om nu in actie te komen en jezelf te beschermen voor het te laat is.

M365 services icons

De risico’s van ransomware in Microsoft 365

Phishing e-mails

Cybercriminelen maken en verzenden overtuigende e-mails die gebruikers ertoe brengen om hun inloggegevens van een applicatie prijs te geven of om schadelijke bijgesloten bestanden te downloaden. Deze phishing-e-mails zijn een belangrijk aanvalswapen voor het infiltreren van een netwerk met ransomware. 

Een nietsvermoedende werknemer zou zijn inloggegevens kunnen onthullen bij het beantwoorden van een e-mail in Outlook. Een collega kan een bijlage downloaden die zijn lokale computer infecteert. Zonder voldoende controles leiden phishing-e-mails mogelijk tot een schadelijke ransomware-aanval. 

Directory-synchronisatie 

Het is gebruikelijk dat een bedrijf Active Directory-accounts synchroniseert van on-premises Active Directory met hun Microsoft 365-omgeving. Zoals onze technisch directeur Conor Scolard uitlegt: “Deze bedrijven synchroniseren ook vaak hun beheerdersaccounts. Ze hebben waarschijnlijk hetzelfde beheerdersaccount voor hun interne domein als voor Microsoft 365 of Azure.” 

Als een beheerder de dupe is van een geslaagde phishing-actie, krijgen de aanvallers beheerderstoegang tot jouw M365- of Azure-omgeving, wat betekent dat ze data kunnen verwijderen, stelen of versleutelen om losgeld te eisen. 

Conor: “Bij elk ransomware- en zelfs Disaster Recovery-incident is authenticatie het eerste systeem dat je weer online brengt. E-mail is het tweede. Als ze bezit hebben genomen van jouw M365 omgeving, interne servers of Azure-servers, dan hebben ze beide functies afgesloten. Dat – afgezien van alle andere ellende – betekent dat je niet eens met je personeel kunt communiceren.” 

“Zorg ervoor dat de backdoor-accounts niet kunnen worden misbruikt en dat relevante waarschuwingen zijn ingeschakeld voor alle functies op beheerdersniveau. Deze instellingen zijn niet standaard ingeschakeld, maar zijn wel beschikbaar in M365. Het vereist alleen de juiste instellingen.” 

SharePoint Online 

Wanneer een lokale machine wordt geïnfecteerd door ransomware heeft dat een grote impact. Deze impact wordt nog groter wanneer de ransomware erin slaagt via zijwaartse bewegingen in het netwerk veel aangesloten hosts te infecteren. Dit leidt uiteindelijk tot volledige afsluiting van het netwerk en legt de organisatie lam.  

Een aanval kan een enkel lokaal werkstation binnendringen en een kwaadaardig bestand uploaden naar SharePoint. Als gebruikers iets doen met dit bestand, bijvoorbeeld deze als bijlage versturen bij een e-mail of delen via een link in Teams, dan worden steeds meer werkstations geïnfecteerd en verspreidt de ransomware zich explosief. Het niet volgen van het ‘least privilege’-principe voegt brandstof toe aan het vuur, met medewerkers die toegang krijgen tot SharePoint-bibliotheken die ze niet nodig hebben.

 

6 Tips voor M365 Ransomware-preventie

M365 heeft tools ingebouwd om je te beschermen tegen ransomware, maar je moet ze kennen en correct hebben geconfigureerd. Volgens Conor, die regelmatig organisaties helpt bij het herstellen van ransomware-aanvallen: “Er zijn veel dingen die mensen met M365 zouden moeten doen, maar die ze nalaten. Microsoft presenteert een Security Score om te helpen, maar veel daarvan wordt genegeerd.” 

Aangezien de tools die je nodig hebt al binnen M365 beschikbaar zijn, moet je er kennis van opdoen en ze vervolgens configureren voor je bedrijf. Om daarmee te beginnen volgen hier bruikbare tips die je kunt implementeren om jouw organisatie maximaal te beschermen tegen ransomware-aanvallen via M365.

  1. Bescherm endpoints met software voor Endpoint Detection & Response (EDR): de inzet van mobiele medewerkers op afstand maakt het moeilijker om het gedrag van hun endpoint devices en de interacties die deze hebben met andere apparaten in een netwerk te controleren. Apparatuur van eindgebruikers, zoals laptops en desktops, moet worden beschermd met een speciale EDR-oplossing. Ingebed in M365 is Windows Defender, het EDR-product van Microsoft dat een AI-gestuurde aanpak met gedragsanalyse toepast. Defender detecteert afwijkingen die kunnen wijzen op een gecompromitteerde device, als dit maar is aangesloten op Azure Sentinel voor zichtbaarheid. 
  2. Volg het least privilege-principe: dit principe beperkt toegangsrechten, zodat mensen uitsluitend toegang krijgen tot de bestanden, apps en gegevens die ze strikt nodig hebben om hun dagelijkse werk uit te voeren. Dit beveiligingsprincipe helpt om te beschermen tegen een situatie waarin iemand een account met overmatige privileges compromitteert en er van daaruit in slaagt ransomware over jouw netwerk te verspreiden. Om deze best practice te implementeren, gebruik je Role Based Access Control (RBAC) en Privileged Identity Management (PIM) van M365. 
  3. Dwing regelmatige wachtwoord wijzigingen af: in de beheeromgeving van M365 kun je het wachtwoordbeleid voor jouw organisatie instellen. Het is verstandig om elke paar maanden een wachtwoordwijziging af te dwingen. Dit kan worden verlengd tot een jaar als Multi Factor Authentication (MFA) is ingeschakeld. Houd er rekening mee dat indringers gecompromitteerde accounts weken of maanden achter elkaar kunnen gebruiken om verkenningen binnen het netwerk uit te voeren. Het regelmatig wijzigingen van wachtwoorden  stopt ze af, wat vooral voor beheerders belangrijk is. 
  4. Gebruik Multi Factor Authentication: gebruikers zijn de zwakste schakel in de beveiliging van jouw bedrijf, dus je moet ze beschermen met authenticatie controles. MFA vraagt ??om een ??extra authenticatie laag op de inloggegevens van de gebruiker voordat deze kan inloggen of bepaalde acties kan uitvoeren. Alle M365-abonnementen hebben een standaard beveiligingsinstelling die MFA vereist. Zorg ervoor dat je deze voor jouw hele organisatie inschakelt. 
  5. Implementeer voorwaardelijke toegang: Met voorwaardelijke toegang kun je besturingselementen instellen die alleen toegang toestaan ??vanuit vertrouwde IP-adressen of specifieke landen. Als jouw mensen in vier landen zijn gevestigd, wordt een inlogpoging vanuit een land dat niet op het lijstje staat geblokkeerd. Je kunt voorwaardelijke toegang inschakelen en configureren via het Azure Active Directory-beheercentrum. 
  6. Maak een back-up van je M365-gegevens: er wordt van M365 standaard geen backup gemaakt. Microsoft hanteert het model van gedeelde verantwoordelijkheid, wat betekent dat zij de uptime van jouw platform garandeert, maar dat zij niet verantwoordelijk is voor jouw data; het is aan jou om ??backups te maken en te beheren. Backups maken van M365 is beschikbaar via externe providers. Als je een M365-backup tool overweegt, doe je er goed aan om na te gaan wat deze tool dekt: gaat het alleen om mailboxen of maakt de tool ook backups van Teams-kanalen en SharePoint-bibliotheken?

Actie is nodig. Bij voorkeur gisteren.

M365 verschaft een indrukwekkend scala aan beveiligingsmogelijkheden die voorkomen dat ransomware jouw bedrijf schade toebrengt. Bij Ekco bieden we een M365-backup oplossing die jouw M365-ransomware protectie nog verder kunnen verbeteren. Deze M365-backup oplossing houdt jouw data veilig en zorgt voor gemakkelijk herstel. 

Kom vandaag nog in actie om ransomware voor te zijn, want voorkomen is altijd beter dan genezen. Neem nu contact op met ons expert team om te zien hoe we jou kunnen helpen.

pic pic

Heb je een vraag?
Onze specialisten hebben een antwoord

Neem contact op