2020 wordt het jaar van MFA, toch?

2020 wordt het jaar van MFA, toch?

28 december 2019 door Erik Loef

MFA, multi-factor authentication is een onderwerp dat afgelopen jaar/jaren veelvuldig op de agenda heeft gestaan van diverse IT overleggen. Sterker nog ik ben van mening dat als je in 2020 je MFA strategie nog niet hebt geïmplementeerd of hiermee bezig bent, je aan het racen bent op een circuit zonder autogordels aan, het kan goed gaan, maar als het fout gaat, gaat het gelijk goed fout. Daarom is mijn stelling dan ook in 2020 bij elke nieuwe IT implementatie is MFA een verplicht onderdeel van de implementatie.

Deze stelling komt natuurlijk niet uit de lucht vallen, maar heeft te maken met de evolutie van grootschalige phising campagnes en hergebruik van wachtwoorden. Afgelopen jaar heb ik zelf nog de proef op de som genomen om tijdens een security congress (28 mei 2019) alle deelnemers een mail te versturen dat het wachtwoord op het darkweb was gevonden en dat ze via (onze zelfgemaakte link) het wachtwoord moesten aanpassen.

De resultaten waren verbluffend. Van de 64 verstuurde emails werden er 26 geopend. Van de 26 geopende mails hebben 11 mensen hun gebruikersnaam en wachtwoord achtergelaten. Positief was dat vier mensen van de 64 hebben de helpdesk gecontacteerd dat ze het niet vertrouwden. Maar de effectiviteit van deze test-campagne was enorm. Binnen 1 minuut was de eerste keer de mail geopend en binnen 2 minuten na versturen hadden we al het eerste wachtwoord te gevangen. Ook hadden we een bonus, doordat iemand de mail had doorgestuurd naar een collega en die vervolgens ook het wachtwoord ging aanpassen.

18% van de mails van de phisingcampagne resulteerde dus in een kloppende gebruikersnaam en wachtwoord! Indien op deze accounts een vorm van MFA was geactiveerd, was er weinig tot niks aan de hand geweest, mits op alle toegangspunten MFA wordt afgedwongen.

Samengevat: gezien het succes van dit soort aanvallen, moet je je hier tegen wapenen en de oplossing hiervoor ligt in het activeren van MFA. Maar jezelf wapenen op IT vlak tegen bedreigingen is wat mij betreft niks nieuws. Het activeren van MFA is wat mij betreft 'just-another-security-basic' in de keten van beveiligingsmaatregelen die anno 2020 genomen dienen te worden, of werk je nog op een laptop zonder antivirus en firewall ?

Een kleine blik in het verleden geeft eigenlijk al snel weer dat inderdaad het toevoegen van een extra beveiligingsmaatregel niks nieuws is en MFA de nieuwste toevoeging aan deze tijdlijn is.

Firewall, in 2004 bracht microsoft voor het eerst de firewall uit middels Windows XP SP2.

Antivirus/Malware, Microsoft maakt Defender onderdeel van het Windows OS en voegt later ook het gratis security essentials daar aan toe.

Spamfilter, Niet meer weg te denken om een email systeem zonder spamfilter te installeren, danwel af te nemen. Proxsys introduceerde deze dienst in 2006. inmiddels zijn er diverse additionele maatregelen noodzakelijk, (denk aan DNSSEC, DMARC/DKIM, SPF). Wil je daar meer over weten kijk eens op www.internet.nl en doe de test met je eigen domein

Harde Schijf Encryptie , we kunnen ons allemaal wel nog het fragment van Peter R. de Vries herinneren die een PC aangeboden kreeg van een officieer van Justitie, die bij het grof vuil werd neergezet. https://www.security.nl/posting/8852/Officier+van+justitie+zet+PC+met+informatie+op+straat .

Met de opkomst van de laptop en daarbij ook de SSD schijf en Windows 8.1 Pro die bitlocker gratis heeft gemaakt (bij Windows 7 moest hier nog een enterprise of ultimate licentie voor worden aangeschaft) heeft elke laptop deze harde schijf versleuteling geconfigureerd. Mocht je laptop gestolen worden, dan zijn je gegevens in ieder geval niet gestolen.

Pass-The-Hash, een groot security probleem binnen grote netwerken, waar vaak weinig netwerk segmentatie is, de firewall intern uitstaat en door imaging elke PC over hetzelfde 'local admin' password beschikt en tot overmaat van ramp veel systeembeheerders Domain Admin rechten hebben en daarmee op werkstations inloggen. Dit speelde rond 2014 en hieruit zijn de volgende nieuwe basis principes en guidelines aan toegevoegd

Gebruik het Tier Model t.b.v. het beheer van je resources, https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Om een complexe administratie te voorkomen en toch elk werkstation een ander 'local admin' password te geven is Microsoft LAPS vrijgegeven- https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN

SMB1
Naast pass-the-hash kampt microsoft met meer security problemen door de ondersteuning van oude protocollen, zo is SMB1 (30 jaar oud inmiddels) ook een groot security risico en tegenwoordig in de nieuwe windows versies staat dit protocol dan ook standaard uit.https://www.security.nl/posting/486028/Microsoft+waarschuwt+bedrijven+voor+SMB1-protocol

Ransomware
Rond 2014 zijn er veel succesvolle uitbraken van ransomware geweest. https://www.emerce.nl/nieuws/al-ruim-17000-losgeld-postnl-ransomware. Diverse klanten van Proxsys waren hier ook het slachtoffer van. In all gevallen kwam er een email binnen met een dubieuze link of dubieuze bijlage, die vervolgens een stukje software opstartte die alle bestanden (ook fileshares) ging encrypten. De enige oplossing na een ransomware uitbraak was betalen of de backup terugzetten. Inmiddels gaat er geen systeem de deur meer uit zonder black/white list van applicaties (AppLocker).

HTTPS
In 2018 kondigde google aan dat als je een website niet beveiligd hebt met een certificaat chrome hier meldingen van gaat maken en je slechte ranking in zoekresultaten krijgt. Hiermee is het hebben van een certificaat voor je website (wat voorheen geen standaard was). Voor 2016 waren veel apps (waaronder facebook maar ook whatsapp) niet encrypted en daardoor heel eenvoudig af te luisteren. Immiddels zijn dus veel websites en apps veiliger door dit soort statements. https://www.wired.com/story/google-chrome-https-not-secure-label/

MFA
Aan dit rijtje kunnen we dus implementatie MFA toevoegen, afgelopen 6 maanden is er elke maand wel een kritisch incident geweest bij één of meer klanten van Proxsys rondom het lekken van gebruikersnaam/wachtwoord via een phisingmail. Time-for-action!

MFA implementatie
Ok, genoeg argumenten dat je MFA aan moet zetten voor je gehele bedrijf. Nu komt de volgende stap, hoe gaan we dat dan doen ? Daarvoor is een gedegen stappenplan noodzakelijk, je wil immers niet dat als MFA aan staat je alsnog niet veilig bent, of dat je met diverse MFA apps zit opgescheept, waardoor de gebruikers in opstand komen door de toegevoegde complexiteit van apps en methodes en dat ook nog op een privé mobiel. Dit stappenplan zal ik in mijn volgende blog beschrijven.

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

De beste ICT leveren, dat doen we niet alleen