Beveilig je Office 365 omgeving met een paar eenvoudige stappen

Gepubliceerd op 30 april 2019 door Marcel Verweel. Leestijd: 4 minuten.

De beveiliging van de zakelijke omgeving is voor elke organisatie een bekend punt van aandacht. Zeker wanneer organisaties intern en mogelijk zelfs extern communiceren over gevoelige informatie, zoals persoonsgegevens of creditcardnummers, is het ontzettend belangrijk dat hier zorgvuldig mee omgegaan wordt. “Binnen Office 365 is de Secure Score beschikbaar. Dit is een tool waarmee gemakkelijk inzichtelijk wordt gemaakt welke acties uitgevoerd kunnen worden om de omgeving veiliger te maken.” Aan het woord is Marcel Verweel, Cloud Communications Expert bij ETTU. “Er zijn een aantal maatregelen die voor elke organisatie van belang zijn voor de beveiliging, anderen zijn misschien wat minder relevant in bepaalde branches. Met deze vijf stappen zal de beveiliging van elke organisatie veel sterker worden, terwijl de impact voor de eindgebruikers enigszins beperkt blijft”.

Zet MFA aan voor in ieder geval de administrator-rollen

De belangrijkste stap voor een veilige Office 365-omgeving is het aanzetten van Multi Factor Authentication (MFA). Hiermee moet degene die wilt inloggen in de omgeving via een tweede manier de toegang bevestigen. Zo wordt het voor buitenstaanders vrijwel onmogelijk gemaakt om toegang te krijgen tot Office 365.

“Omdat het voor de gebruikers wel een extra handeling betreft, raad ik aan om eerst alleen de administrator-rollen te beveiligen met MFA. Deze hebben in principe ook de meest gevoelige informatie in zich en kwaadwillenden kunnen in deze omgeving de meeste schade aanrichten. Overigens zijn er wel manieren om de inbreuk op het dagelijks leven zo klein mogelijk te maken. Zo kan bijvoorbeeld de toegang voor 14 dagen worden onthouden of kan men snel via de mobiele applicatie de toegang goedkeuren”, aldus Marcel. “Bovendien is het mogelijk om bepaalde locaties als ‘veilig’ aan te merken, zodat hier nooit met MFA ingelogd hoeft te worden. Handig voor op kantoor en aan te raden om het gebruikersgemak te verhogen.”

 

Het eenmalig instellen van een heel sterk wachtwoord dat niet verloopt

“Het klinkt misschien een beetje tegenstrijdig, maar volgens de filosofie van Microsoft is het veel veiliger om één keer wat tijd te investeren in het kiezen van een echt sterk wachtwoord dan elke maand of elk kwartaal een nieuw wachtwoord te moeten aanmaken. De voornaamste reden hiervoor is dat men de wachtwoorden gaat vergeten en deze dus ergens gaat opschrijven of opslaan. Of, nog erger, dat ze erg lui worden in het kiezen van het wachtwoord: winter2019, lente2019, z0mer2019”, legt Marcel uit.

Daarom kent de Secure Score juist punten toe wanneer ervoor is gekozen om het wachtwoord nooit te laten verlopen. Hierbij is het natuurlijk wel belangrijk dat het gekozen wachtwoord sterk genoeg is, dus het liefst meer dan twintig leestekens bevat. Het is niet nodig om letters te vervangen door cijfers of andere leestekens, of om een minimaal aantal hoofdletters te gebruiken. Hier ligt dus een taak voor de IT-afdeling om eindgebruikers te begeleiden in hun keuze voor een sterk wachtwoord dat ze de rest van hun werkende leven kunnen gebruiken. “En dit kan natuurlijk als mooi wisselgeld ingezet worden tegenover de extra handelingen bij de MFA”, oppert Marcel.

 

Sla alle documenten op in OneDrive for Business

Deze stap is moeilijk om te herkennen voor OneDrive, want het is natuurlijk onmogelijk voor OneDrive om te zien wat er niet in is opgeslagen. Daarom worden de punten in Secure Score al toegekend zodra er slechts één document in staat. “Wel is het belangrijk om eindgebruikers ervan bewust te maken dat het opslaan van de documenten in OneDrive de veiligste manier is. Lokaal opgeslagen bestanden kunnen kwijtraken wanneer de computer crasht en gebruikmaken van derde partijen is ook riskant, omdat die beveiligingsprotocollen niet naadloos aansluiten op die van Microsoft”, legt Marcel uit. “Bovendien is het slechts een kleine impact voor de eindgebruikers, maar levert het veel rust op wat betreft Data Loss Prevention.”

 

Zet Audit Data Reporting aan om altijd op de hoogte te blijven van veranderingen

Achter de Audit Data Reporting zit een bijzonder stabiele machine learning tool die aan de hand van de gebruikelijke activiteit kan bepalen of een nieuwe actie buiten de gestelde kaders valt. “Zo kreeg ik een keer een melding dat er ineens buitengewoon veel documenten van mijn manager verplaatst werden. Ik kon hem meteen vragen naar deze activiteit en het bleek inderdaad zo te zijn dat hij zijn documenten aan het opruimen was. Dankzij deze melding kon ik gerustgesteld worden en wist ik zeker dat ook bij nieuwe voorvallen deze melding bij de administrators terecht komt”, licht Marcel toe.

 

Voer periodieke audits uit om altijd op de hoogte te blijven

“Binnen de Secure Score zijn er veel acties die eenmalig ingericht of ingesteld moeten worden en waar na afloop punten aan toegekend worden. Echter, er zijn ook periodieke audits die continu uitgevoerd moeten worden om steeds de punten te kunnen krijgen en – des te belangrijker – om de Office 365 omgeving veilig te houden”, vertelt Marcel. De drie belangrijkste audit zijn:

  1. Bekijk wekelijks de automatisch doorgestuurde mails. Zijn deze forwards logisch, zijn ze nog steeds nodig of zit er ineens een onbekende factor in? Door hier elke week een check op uit te voeren wordt het risico zo klein mogelijk dat mails onbedoeld bij de verkeerde personen terecht komen.
  2. Bekijk elke twee weken wie toegang heeft tot welke mailbox, in het bijzonder wanneer er iemand is toegewezen om de mailbox (tijdelijk) te beheren. Ook wanneer hier vreemde zaken in te zien zijn, is het een duidelijke indicatie van een mogelijke bedreiging. Voor Microsoft is deze check eens in de twee weken voldoende.
  3. Malware wordt altijd verstuurd, maar het is goed om in de gaten te houden hoe vaak en naar welk specifiek adres het meeste wordt verstuurd. Wanneer ineens een grote stijging te herkennen is, kan dit ook duiden op een mogelijke zwakte. Check deze wekelijks.

 

Gebruik de Secure Score als een leidraad, maar wees niet te star

Zoals we al in een eerdere blog aangaven, moet het geen doel op zich zijn om de secure score zo hoog mogelijk te krijgen. Het is des te belangrijker om de omgeving veilig genoeg te maken met zo min mogelijk impact voor de eindgebruikers. Waar het activeren van de MFA een groot beveiligingsprobleem oplost, zorgt dit wel voor extra handelingen voor de betrokkenen. Hier staat weer tegenover dat wachtwoorden niet meer periodiek gewisseld hoeven te worden. Het beveiligen van de omgeving is dus altijd een samenspel, waarbij de inrichting per organisatie verschillend is.

“Daarom bieden wij ook de Office 365 Support aan, waar de Secure Score Check onderdeel van uitmaakt. Hiermee ontzorgen wij onze klanten volledig als het gaat om het zo veilig mogelijk inrichten van de Office 365 omgeving met zo min mogelijk impact voor de eindgebruikers”, legt Marcel uit. “Neem vooral contact op om de mogelijkheden te onderzoeken. De veiligheid van de data binnen de organisatie moet het uitgangspunt zijn; vervolgens zoeken wij daar de beste oplossingen voor.”

Tags: Governance

Marcel Verweel

Gepubliceerd door Marcel Verweel op 30 april 2019

Marcel is sinds 2017 in dienst bij ETTU, momenteel als Infrastructure Consultant. Met 13 jaar ervaring in de IT heeft hij verschillende rollen bekleed, voornamelijk in de systeembeheer hoek. Sinds 2015 is Marcel in aanraking gekomen met de Microsoft Cloud, en heeft nooit meer teruggekeken. Zijn focus ligt voornamelijk op Security en Identity Management, Exchange en Skype.