PROXSYS

Toestemmen met je Microsoft account en door toch?

11 februari 2021 door Johan Mos

Even geen productiviteit tip maar even ander actueel onderwerp cq. gevaar in onze Microsoft 365 wereld..

Jouw kan niets overkomen, je account is beveiligd met een super complex wachtwoord welke je om de 30 dagen aanpast en je logt in met een tweede factor. Zo, klaar ben je. Toch?

Nou... niet helemaal..

Pas op met het zomaar verstrekken van je Microsoft 365 account en het geven van toestemming om hier gebruik van te maken! Ja ook als je gebruik maakt van een tweede factor en een super dik wachtwoordbeleid kent is onderstaand artikel even heel goed om te lezen en je bedacht te zijn op de risico's van het zo maar toestaan van een applicatie die wil aanmelden met jouw Microsoft 365 account. Wij als Proxsys hebben daar gelukkig maatregelen voor getroffen voor onze klanten zodat we het risico zo proberen te beperken.

Je herkent het vast wel, je wilt ergens op inloggen (denk aan een dienst om online iets te bouwen) en je ziet een Microsoft 365 icoon. Da's handig, kan je gewoon inloggen met je Microsoft account en hoef je geen nieuwe account te maken. Je krijgt dan een melding waarin je toestemming verleent tot het gebruik van jouw account en je kan weer door. Toch?

Door het geven van een bepaalde permissie kan de applicatie waarmee je inlogt bijvoorbeeld ook acties voor jou gaan uitvoeren. Dat kan onschuldig zijn, bijvoorbeeld het uitlezen van je naam, e-mailadres maar kan ook iets minder onschuldig zijn dan dat je je misschien kunt bedenken. Zo zijn er toepassingen die even de hele omgeving willen uitlezen of vragen om toestemming om vanuit jouw account een e-mail te sturen ; zonder dat jij het weet gaat de applicatie op de achtergrond voor jouw inloggen óók als je een tweede factor hebt.. Snap je het nog? Oke gauw over naar een voorbeeld..

Hierboven zie je een scherm waarin om zo'n toestemming gevraagd wordt. Het ziet er vrij legitiem uit toch? Het Office 365 icoon en een verkorte naam. Een nietsvermoedende medewerker zou op 'accepteren' drukken en de tool is binnen ; óók als je een tweede factor hebt, heb je nu aangegeven dat deze applicatie toegang heeft tot jouw account en van alles kan (toegang tot je mailbox, e-mails uitsturen en toegang tot bestanden). Je kan niet zeggen : "ja maar dat wist ik niet" want zoals je ziet, het wordt toch echt even aan je gemeld.. Maar zoals gezegd, bijna niemand leest deze meldingen en klikt maar op 'doorgaan' of 'accepteren' omdat men verder wil.

Microsoft worstelt nog steeds met deze methoden, hoe makkelijk het ook is, des te gevaarlijker het ook kan zijn voor jouw organisatie. Ze waarschuwden er afgelopen week nog voor.

Is er dan geen oplossing voor? Er zijn wat oplossingen onderweg zoals een lijst met 'vertrouwde instanties' en is er inmiddels ook een preview optie beschikbaar waarbij je kunt aangeven dat je de applicatie nodig hebt en dat de beheerder hierover een berichtje ontvangt. Maar, je moet dat wel activeren; standaard ben je dus niet beschermd. De beste oplossing is nog steeds opletten en niet zo maar die toestemming verlenen maar kan je dat zo van iedereen verwachten?

Hoe zit dat bij Proxsys? Ben ik als klant daarin beschermd? Binnen Proxsys is de standaard dat iedere klant omgeving zo ingesteld staat dat medewerkers niet de rechten hebben om de applicaties zo maar goed te keuren of de toegang te geven. Natuurlijk, dat is irritant voor de eindgebruiker die 'verder wil' maar realiseer je wat er mis kan gaan. Ook met een tweede factor ben je niet beveiligd tegen dit soort acties, want als je eenmaal toestemming hebt gegeven dan is de tweede factor niet nodig om toegang te krijgen en acties uit te voeren. De medewerker is hiervan zich meestal niet bewust.

We hebben dan ook binnen onze omgeving standaard de instelling zo staan dat wij de app moeten goedkeuren voor iedere klant. Maar dat doen we niet zo maar, we overleggen dat met ons hoofd contactpersoon óf met de CISO van de organisatie. Zo proberen we te voorkomen dat op deze manier een organisatie geraakt wordt van een datalek of dubieuze acties doet.

De meldingen van de applicaties die toestemming nodig hebben komen in een speciale 'aanvraagbox' terecht waarbij we eenvoudig met de klant kunnen nagaan of de applicatie nodig is en wie dit heeft aangevraagd. Zo houden we samen de grip erop en voorkomen we dus risico's. Op deze manier proberen we onze klanten dus te beschermen, ook al hebben ze een dik wachtwoordbeleid, tweede factor én nog voorwaardelijke toegang, met het simpelweg verstrekken van toegang voor een dubieuze applicatie tot jouw account hebben al deze maatregelen geen enkele zin en kan je nog steeds misbruik maken.

Denk alsjeblieft niet 'dat overkomt onze organisatie niet', afgelopen week hebben wij in een interne bootcamp mogen spelen met deze toestemmingen op een test omgeving, het kan echt gevaarlijk zijn om dit aan je medewerkers over te laten. Wat in vele gevallen zien zij niet het gevaar en denken ze meestal : ik heb dit nodig omdat.. Voorkomen is beter dan genezen, en daarom staat deze optie dan ook standaard uit, vervelend voor de nietsvermoedende medewerker maar zo ben je als organisatie wel beter beschermd.

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

De beste ICT leveren, dat doen we niet alleen