Een recente gebeurtenis heeft een schijnwerper geworpen op het belang van cybersecurity voor lokale overheden. Een gemeente, wiens naam om veiligheidsredenen niet wordt onthuld, ontdekte dat een slecht beveiligd gebruikersaccount via verschillende locaties over de hele wereld werd gecompromitteerd. Deze aanval, die werd opgemerkt door een alterte medewerker in de logbestanden van het Microsoft 365-platform, illustreert de gevaren van zwakke beveiliging en benadrukt het belang van proactieve maatregelen.
De situatie.
Vanuit locaties zoals Kuala Lumpur, China en Bulgarije werd gedurende een 3-tal weken, meerdere malen toegang verkregen tot een medewerkersaccount. De implicaties van deze inbreuk waren aanzienlijk, aangezien het account was gekoppeld aan een mailbox en toegang had tot online SharePoint-resources. Dit voorval benadrukt het belang van een robuuste beveiligingsinfrastructuur, ongeacht de aard van de gebruiker.
De kracht van Multi-Factor Authenticatie (MFA).
De eerste en meest voor de hand liggende stap bij het versterken van de beveiliging is het implementeren van Multi-Factor Authenticatie (MFA). In dit geval betrof het account een medewerker van de poetsdienst, wat laat zien dat MFA voor elke medewerker essentieel is. Hoewel MFA een extra stap lijkt, biedt het een solide beschermingslaag tegen ongeautoriseerde toegang. De idee dat we het deze doelgroep best niet te moeilijk maken, want de affiniteit met de pc is sowieso al laag, is absoluut fout.
Ken je rechten en monitor logs.
Een diepgaand begrip van welke rechten een account heeft, met name op SharePoint en Exchange, is cruciaal. Daarnaast is het van essentieel belang om logs te controleren om verdachte activiteiten op te sporen. In dit geval werden er e-mails verstuurd vanuit het gecompromitteerde account. Onderzoek de inhoud van deze e-mails en dien rapporten in bij de politie als er sprake is van kwaadwillige activiteiten.
Uitgebreide beoordeling van externe toegang.
Naast SharePoint en Exchange is het van belang om te controleren welke andere systemen van de gemeente van buitenaf toegankelijk zijn. Denk aan RDP-servers, Awingu, en andere toepassingen. Het gebruik van een lokaal Microsoft 365-account kan onbedoelde toegang verschaffen tot deze systemen. Grondig onderzoek is essentieel om kwetsbaarheden te identificeren en aan te pakken.
Versterking van de systemen.
Na een incident als deze is het moment om de beveiliging naar een hoger niveau te tillen aangebroken. MFA, zoals eerder vermeld, is een must, maar het moet ook worden aangevuld met een "deny all"-beleid op firewalls en verbeterde detectie voor inlogpogingen vanuit het buitenland. Deze maatregelen minimaliseren het risico op toekomstige incidenten.
Wat kan ik zelf doen?
Een simpele manier om zelf te controleren of er toegang vanuit het buitenland is verkregen tot medewerkersaccounts.
- Log in op het Microsoft 365-beheerportaal met beheerdersreferenties.
- Navigeer naar het beheergedeelte voor gebruikersaccounts.
- Zoek naar de gebruikersaccounts van medewerkers en controleer of er recente inlogactiviteiten zijn vanaf ongebruikelijke locaties, zoals landen waar je geen medewerkers verwacht.
- Gebruik de auditlogboeken in Microsoft 365 om gedetailleerde inloginformatie te bekijken en verdachte activiteiten te identificeren.
Conclusie.
Dit recente incident in een gemeente dient als een extra waarschuwingssignaal voor lokale overheden en organisaties wereldwijd. We zijn zeker nog niet buiten schot - en zullen dat eigenlijk ook nooit zijn. Beveiliging is een voortdurende inspanning en vereist proactieve maatregelen. MFA, logmonitoring, uitgebreide beoordeling van externe toegang en verbeterde systeembeveiliging zijn slechts enkele stappen die genomen kunnen worden om de weerbaarheid te vergroten.
Het is van cruciaal belang dat organisaties van alle groottes de lessen uit deze situatie ter harte nemen en investeren in cybersecurity om zichzelf te beschermen tegen toekomstige bedreigingen. Cybersecurity is niet langer een optie, maar een absolute noodzaak om de gegevens en de integriteit van de organisatie te beschermen.
Heb je vragen of hulp nodig om de risico's voor je eigen organisatie van dit soort voorvallen in te schatten, aarzel niet om security@v-ict-or.be te contacteren voor advies.
Denk ook na om aan te sluiten bij het security consortium van lokale besturen, waar we samen trachten onze cyberweerbaarheid te verhogen.