12 juli 2023
Auteur: Tom Bond, Managing Security Consultant bij Orange Cyberdefense
Microsoft's E5-beveiligingsplatform levert alle benodigde bouwstenen om een grondige en sterke authenticatie op te bouwen, en garandeert MFA overal.
Als we aan multifactor authenticatie (MFA) denken, denken vaak aan een tekstcode of authenticatie-app. De veronderstelling is dat "MFA" een wachtwoord + een code vanaf een andere plek betekent.
Veel bedrijven bouwen authenticatie- en identiteitsontwerpen rond dit principe. We zien vaak dat MFA moet worden afgedwongen. Wat dit feitelijk betekent voor een gebruiker, is dat hij 's ochtends zijn computer opent en om een wachtwoord wordt gevraagd, en vervolgens om een MFA-prompt. Dit gebeurt meerdere keren omdat hij zich voor elke applicatie moet authenticeren.
Afgezien van de veiligheidsimplicaties van "MFA-moeheid", waarbij de gebruiker geen rekening houdt met de ontvangen verzoeken, is dit ongelooflijk irritant! Elke ochtend wekt dit frustraties op, "Laat me gewoon mijn werk doen!".
Ondertussen is de roep om MFA vanuit IT Security teams steeds sterker geworden. Geheel terecht weten ze dat een wachtwoord gemakkelijk gecompromitteerd kan worden en volstrekt onvoldoende bescherming biedt, dus ze dringen aan op het verbeteren van die beveiliging tot een niveau waarop het de juiste bescherming biedt.
Deze situatie zorgt er op het eerste gezicht voor dat gebruikers en IT-beveiliging fundamenteel tegenover elkaar staan in hun behoeften. Gelukkig biedt Microsoft een oplossing. Met behulp van de tools in de functieset van Microsoft 365 E5, of de E5 Security-licentie, is het mogelijk om zowel een geweldige gebruikerservaring te hebben als heel veilig te zijn.
Om te kunnen begrijpen hoe dit in zijn werk gaat, moeten we ons eerst ontdoen van het idee dat MFA = wachtwoord plus een code.
Multifactor Authenticatie betekent - Authenticatie met meer dan één factor.
Authenticatiefactoren zijn er in verschillende vormen:
Van deze vormen is het wachtwoord de zwakste vorm. Daarom hebben we de code-gebaseerde MFA toegevoegd die tegenwoordig veel gebruikt wordt.
Natuurlijk zien we dat er veel andere factoren zijn om die MFA-code te vervangen, maar hoe zit het met het helemaal niet hebben van een wachtwoord?
Microsoft kan in al deze scenario's voorzien. De kern is Entra ID (voorheen Azure AD), dat conditionele toegang biedt. Deze is aanwezig in de E3 en E5 licentielagen van M365, maar wordt uitgebreid met een E5 licentie.
Conditionele toegang staat beleidsregels toe die op code gebaseerde MFA vereisen, maar ondersteunt nu ook het concept van MFA strengths. Met dit beleid kan de beheerder een scenario afdwingen waarin sms niet is toegestaan (omdat het relatief eenvoudig kan worden misbruikt), in plaats daarvan kan de gebruiker kiezen voor sterkere methoden zoals Windows Hello for Business of een beveiligingssleutel.
We kunnen ook een Compliant Device afdwingen, wat Intune compliance in het spel brengt, en we kunnen opties configureren voor hoe we omgaan met een niet-compliant apparaat. De compliance van Intune stelt ons in staat om antivirus, Defender for Endpoint risk, machine risk, encryptie en andere zaken af te dwingen, wat betekent dat als we een compliant apparaat hebben, we weten dat het apparaat voldoet aan het geconfigureerde en afgedwongen beleid van de organisatie.
Entra ID biedt vervolgens zijn diensten aan om single sign-on (SSO) mogelijk te maken. SSO geeft dezelfde gebruikersgegevens toegang tot meerdere systemen, maar Entra ID gaat nog een stap verder met Seamless SSO. Dit doet wat je zou verwachten en verbetert SSO door het aanmeldgedeelte te verwijderen en in plaats daarvan het token dat centraal is toegekend opnieuw te gebruiken. Het mooie is dat het werkt op zowel mobiele apparaten, Mac endpoints en Windows.
Met behulp van deze tools kunnen we een fantastische gebruikerservaring creëren - de gebruiker meldt zich aan op zijn apparaat met behulp van een PIN-code of biometrische gegevens en vervolgens krijgt hij toegang tot het applicatiepark van de organisatie zonder verdere authenticatie. Geen wachtwoord, geen MFA-code, geen uitdaging. Tevreden gebruikers.
Nu zou dit vrij zinloos zijn als we de beveiliging zouden compromitteren, maar laten we eens kijken wat er achter de schermen gebeurt:
Als er wordt aangemeld vanaf een apparaat dat niet voldoet, kunnen we wachtwoordloos aanmelden afdwingen, zodat de gebruiker wordt uitgedaagd op zijn apparaat, met biometrie, waarbij opnieuw een MFA-aanpak wordt afgedwongen, maar op een heel eenvoudige manier voor de gebruiker. Dit is een geweldige opzet voor bijvoorbeeld Teams apparaten, die een sign-in nodig kunnen hebben om toegang te krijgen tot gebruikersbronnen. Wachtwoordloos is zoveel sneller dan een wachtwoord invoeren!
Entra Identity Protection fungeert hierbij als achtervang. Door gebruik te maken van gegevens uit de Microsoft cloud om risico's in te schatten, plus controles op gebruikersaccounts, aanmeldingen en andere factoren, houden de algoritmes van Microsoft de gebruikersaccounts nauwlettend in de gaten en kunnen ze een login poging blokkeren of een MFA afdwingen als er een risico wordt gedetecteerd.
Het E5-beveiligingsplatform van Microsoft is een fantastische manier om beveiliging te moderniseren, gebruikers efficiënter te maken en tegelijkertijd de beveiliging te verbeteren. In een wereld met steeds meer vervelende beveiligingsuitdagingen is een setup met verbeterde beveiliging die een gebruiker nooit ziet het ideale scenario. Microsoft kan dit leveren en Orange Cyberdefense helpt je bij het bouwen en onderhouden ervan.
Verhoog de waarde van jouw Microsoft-investering