Wat je kunt doen om de schade van een hack zoveel mogelijk te beperken
Je kunt nooit 100% beschermd zijn tegen een hack en daarom moet je nadenken over wat je geregeld moet hebben om de schade van een hack te minimaliseren.
Eerder deze week vertelde ik in deze blog over hoe de Belgische politie het datalek had kunnen voorkomen. Je kunt echter nooit 100% beschermd zijn tegen een hack en daarom is het ook goed om na te denken over wat je geregeld moet hebben om de schade van een hack zo minimaal mogelijk te laten zijn. Hieronder neem ik daarom de mogelijkheden van Microsoft Defender met je door.
Geschreven door: Jacco Wildeman
Microsoft 365 Defender
Actief gebruik van MFA en sterke wachtwoorden hadden mogelijk de beschreven hack kunnen voorkomen. Maar het is ook goed om na te denken over wat je kunt doen wanneer je slachtoffer bent van een hack.
Wij raden aan om daarvoor gebruik te maken van Microsoft 365 Defender. Defender is een uniforme pre- and post-breach defense suite die detectie, preventie, onderzoek en reactie op endpoints, identiteiten, e-mail en toepassingen coördineert om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.
Hieronder neem ik de verschillende services van Microsoft Defender met je door.
Microsoft Defender for Identity
Microsoft Defender for Identity is een Cloud gebaseerde beveiligingsoplossing, die gebruikmaakt van de on-premises Active Directory-signalen voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, gecompromitteerde identiteiten en kwaadaardige acties van insiders gericht op de organisatie.
Defender for Identity stelt je in staat om:
- Gebruikers, entiteitsgedrag en activiteiten te monitoren
- Gebruikersidentiteiten en referenties, die zijn opgeslagen in Active Directory, te beschermen
- Verdachte gebruikersactiviteiten en geavanceerde aanvallen in de hele kill chain te identificeren en te onderzoeken
- Duidelijke incidentinformatie te verzorgen op een eenvoudige tijdlijn voor snelle triage
Met deze service had de Belgische politie mogelijk in een vroeg stadium signalen ontvangen dat een hacker actief was binnen het netwerk (op zoek naar verhoogde rechten) om ransomware software te draaien op de diverse servers.
Defender for Server
Defender for Server blokkeert vreemd gedrag en het starten van onbekend of vreemde processen op servers. Defender for Server breidt de bescherming uit naar jouw Windows- en Linux-machines die draaien in Azure, AWS, GCP en op locatie. Defender for Servers integreert met Microsoft Defender for Endpoint om Endpoint Detection and Response (EDR) te bieden en biedt ook een groot aantal aanvullende functies voor bescherming tegen bedreigingen. Defender for Server had vreemd gedrag in het systeem van de Belgische politie mogelijk vroegtijdig al geblokkeerd.
Defender for Cloud Apps
Defender for Cloud apps is een Cloud Access Security Broker. Het biedt uitgebreid inzicht in en controle over alle clouddiensten van Microsoft en derden. Het biedt zichtbaarheid, controle over dataverkeer en geavanceerde analyses om cyberbedreigingen te identificeren en te bestrijden voor alle Microsoft- en third-party cloud services.
Defender for Cloud Apps integreert naadloos met toonaangevende Microsoft-oplossingen en is ontworpen met security professionals. Het biedt eenvoudige implementatie, gecentraliseerd beheer en innovatieve automatiseringsmogelijkheden.
Microsoft Defender for Cloud apps heeft een centrale rol binnen de Microsoft 365 Defender stack en biedt uitstekende functionaliteit voor rapportage en inzicht, bijvoorbeeld in het gebruik van cloud apps door de organisatie. Microsoft Defender for Cloud apps biedt ook diverse policy mogelijkheden, zoals bijvoorbeeld het:
- Blokkeren van downloads
- Blokkeren van cloud apps
- Voorzien van data classificatie labels
Het inzicht in het gebruik van cloud apps geeft tevens inzicht in het gebruik van Shadow IT. Het gebruik van cloud apps op de gemanagede endpoints wordt via Defender for Endpoint gerapporteerd aan Microsoft Defender for Cloud apps. De security officer of de IT-afdeling kan binnen de Microsoft Defender for Cloud apps portal het gerapporteerde gebruik inzien en op basis van deze gegevens eventuele acties ondernemen.
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint is een beveiligingsplatform voor endpoints, dat is ontworpen om bedrijfsnetwerken te helpen geavanceerde bedreigingen te voorkomen, detecteren, onderzoeken en hierop te reageren.
Threat & Vulnerability Management
Deze ingebouwde functie maakt gebruik van een revolutionaire op risico’s gebaseerde aanpak voor het opsporen, prioriteren en verhelpen van kwetsbaarheden en onjuiste configuraties op endpoints.
Attack surface reduction
De mogelijkheden om het aanvalsoppervlak te verkleinen, vormen de eerste verdedigingslinie in de stack. Door ervoor te zorgen dat de configuratie-instellingen correct zijn ingesteld en dat technieken om misbruik te beperken worden toegepast, bieden deze mogelijkheden weerstand tegen aanvallen en uitbuiting. Deze verzameling mogelijkheden omvat ook netwerkbeveiliging en webbeveiliging, die de toegang tot schadelijke IP-adressen, domeinen en URL’s reguleren.
Next-generation protection
Om de beveiligingsperimeter van het netwerk verder te versterken, maakt Microsoft Defender for Endpoint gebruik van next gen bescherming, die is ontworpen om alle soorten opkomende bedreigingen af te vangen.
Endpoint detection and response
Mogelijkheden voor detectie van en reactie op endpoints zijn aanwezig om geavanceerde bedreigingen, die mogelijk de eerste twee beveiligingspijlers zijn gepasseerd, te detecteren, te onderzoeken en hierop te reageren. Advanced hunting biedt een query gebaseerd hulpprogramma voor het opsporen van bedreigingen waarmee je proactief overtredingen kunt opsporen en aangepaste detecties kunt maken.
Automated investigation and remediation
Microsoft Defender for Endpoint kan niet alleen snel reageren op geavanceerde aanvallen, maar biedt ook mogelijkheden voor automatisch onderzoek en herstel, waarmee het volume van waarschuwingen op schaal binnen enkele minuten kan worden verminderd.
Microsoft Threat Experts
De nieuwe Managed Threat Hunting-service van Microsoft Defender for Endpoint biedt proactieve hunting, prioritering en aanvullende context en inzichten die Security Operations Centers (SOC’s) nog beter in staat stellen om bedreigingen snel en nauwkeurig te identificeren en hierop te reageren
Microsoft Defender for Endpoint is een post-breach detectie oplossing van Microsoft en zal de malafide bestanden of code blijven detecteren na de breach. Hiermee is het een aanvulling op de standaard aanwezige (Microsoft Defender) antivirus oplossing, wat een pre-breach detectie oplossing is.
De standaard antivirus oplossing beschikt over een database van virussen, waarmee de virusscanner het apparaat scant op zoek naar threats. Vandaag de dag is dit niet meer voldoende om te beschermen tegen bijvoorbeeld Zero Day Attacks.
Andere oplossing
Een oplossing als Azure Active Directory Identity Protection had wellicht ook wat eerder de alarmbellen doen afgaan bij de Belgische politie.
Identity Protection is een tool waarmee organisaties belangrijke taken kunnen vervullen, zoals:
- Het automatiseren van de detectie en remediëring van identiteit gebaseerde risico’s.
- Het onderzoeken van risico’s met behulp van gegevens in de portal.
Identity Protection identificeert risico’s van velerlei aard, waaronder:
- Atypical travel – aanmelden vanaf een atypische locatie op basis van de recente aanmeldingen van de gebruiker.
- Anonymous IP address – aanmelden vanaf een anoniem IP-adres (bijvoorbeeld: Tor-browser, anonieme VPN’s).
- Unfamiliar sign-in properties – aanmelden met eigenschappen die we niet recentelijk voor de betreffende gebruiker hebben gezien.
- Leaked Credentials – geeft aan dat de geldige inloggegevens van de gebruiker zijn gelekt.
- Password spray – geeft aan dat meerdere gebruikersnamen worden aangevallen met behulp van gemeenschappelijke wachtwoorden op een uniforme, brute-force manier.
Mocht een van de bovenstaande situaties zich voordoen, dan kan deze oplossing automatisch hierop acteren; door een betreffende medewerker te forceren in te loggen met MFA, het wachtwoord te wijzigen (afhankelijk van de situatie) of het account te blokkeren tot deze de door IT-afdeling gecontroleerd is.
Meer informatie
Wil je meer informatie over de bovengenoemde services? Neem dan contact met ons op.
Heb je een vraag?
Onze specialisten hebben een antwoord