Maud Pols
Learning Specialist at Microsoft
Het studentenaccount als springplank van een aanval
De afgelopen tijd werden veel onderwijsinstellingen (bijna) slachtoffer van cyberaanvallen. Met datalekken en grote reputatieschade tot gevolg. Tijd voor veiligheid! Maar hoe bescherm je jouw onderwijsinstelling afdoende? Ontdek hoe je inzicht krijgt in risico’s en adequaat reageert op alerts met de juiste tooling.
Je wil als onderwijsinstelling veiligheid kunnen waarborgen voor jouw studenten en medewerkers. Dit is vastgelegd in wet- en regelgeving, en dat begint met het inzien van risico’s.
Is een account in de verkeerde handen gevallen? Dan loopt je onderwijsinstelling gevaar. De aanvaller krijgt bijvoorbeeld toegang tot de on-premises omgeving. Kwetsbaarheden daarin kunnen weer doorsijpelen naar je cloud omgeving. Dit kan natuurlijk ook andersom gebeuren. Met hybride tooling stel je de juiste detectieregels in voor beide omgevingen.
Een hacker kan jouw onderwijsinstelling op meerdere manieren aanvallen. Wil je weten hoe? Dat leggen we je in 3 stappen uit:
Stap 1: Persoonlijke informatie zoeken voor een aanval
Via openbare websites zoals LinkedIn vindt de aanvaller bruikbare informatie. Hij ziet in één oogopslag waar zijn slachtoffer werkt en diens rol. Is het een beheerder en welke certificaten heeft hij? Hiermee weet de hacker welke software een organisatie gebruikt en welke kwetsbaarheden er zijn.
Stap 2: Informatie van de websites van de onderwijsinstellingen
Inlogpagina’s en de URL ervan geven aanvallers een beeld van de achterliggende software. Hackers kennen de kwetsbaarheden hiervan en kunnen contextuele zaken zoals een intranetpagina en tentamenroosters gemakkelijk terugvinden. Hiermee brengen ze jouw onderwijsinstelling verder in kaart.
Stap 3: Ten aanval
Tijd om deze informatie te gebruiken. Bijvoorbeeld door een mail of bericht via sociale media te versturen met een malafide link. De aanvaller kiest slim het moment net na een tentamenperiode en verstuurt namens een ‘docent’ een bericht met daarin de boodschap dat cijfers beschikbaar zijn.
Via LinkedIn weet de aanvaller de naam van de docent en welke lessen hij geeft. Op de website van de onderwijsinstelling staat wanneer de tentamens zijn en wat dus het perfecte moment is om studenten te bereiken. Vervolgens creëert hij een vergelijkbare nepwebsite waarop studenten inloggen en hij oogst inlognamen en wachtwoorden.
Zo heeft een aanvaller vrij snel de vereiste informatie om binnen jouw omgeving te komen. Zonder monitoring heb je dit niet door en loop je risico. Afwijkend gedrag moet je direct detecteren en op acteren. Doe je dit niet? Dan verlies je grip en controle.
Zelf met Multifactor Authenticatie (MFA) loopt jouw onderwijsinstelling risico als bovenstaande aanval is ingezet. Bijvoorbeeld als de aanvaller een password spray attack inzet omdat deze de opbouw van accounts inmiddels weet. De aanvaller test een veelvoorkomend wachtwoord totdat het een keer raak is. Heeft de gebruiker het wachtwoord al? Dan blijft deze MFA triggeren totdat de gebruiker een keer op goedkeuren klikt.
Blijft een gebruiker weigeren? Dan probeert de aanvaller het met de inloggegevens bij legacy applicaties die niet voorzien zijn van Multifactor Authenticatie.
Met tooling zorg je voor de juiste detectie van een dergelijke aanval en voor bescherming:
Alle data op één plek
Microsoft Sentinel verzamelt data van verschillende bronnen zoals Azure, Microsoft 365, collectors, oplossingen van derde partijen en APIs. Risico’s worden in kaart gebracht en via meldingen doorgegeven aan jouw IT-beheer. Met het sentiment van een melding, identiteit mapping en de vermelding van IP-adressen zie je hoe groot het risico is en ook of er vergelijkbare incidenten zijn geweest.
Verbanden tussen aanvallen
In Microsoft 365 Defender wordt een verband gelegd op basis van de identiteiten en verdachte acties. Zo krijg je inzicht in de volledige aanval en kan je ook bepalen hoe je gaat reageren. Bijvoorbeeld door een wachtwoord te resetten, gebruiker te blokkeren of een apparaat volledig te isoleren.
Wil je weten hoe dit er in de praktijk uitziet? Kijk dan het webinar ‘Het studentenaccount als springplank richting een hack, hoe ontdek je afwijkend gedrag en mitigeer je gevaar?’ met een demo van Microsoft Sentinel en Microsoft 365 Defender terug. Ontdek tegelijkertijd hoe je op een vloeiende manier overschakelt tussen deze systemen en daarmee gevaar mitigeert voordat het daadwerkelijk een groot risico wordt.
Gezondheidszorg vanuit huis
De wereld een steile leercurve doorgemaakt wanneer het gaat om gezondheidszorg op afstand. Maar wat kunnen we nu leren van degenen die al enige tijd op afstand voor hun patiënten zorgen? We nemen een kijkje in de wereld van gezondheidszorg vanuit huis. Voor een derde van de Europeanen die een chronische ziekte hebben, zijn frequente […]
Robin van Setten
HealthCare Lead
Support eindigt voor SQL Server 2012 en Windows Server 2012
Maak jij gebruik van SQL Server 2012 en Windows Server 2012? Dan is het goed te weten dat de ondersteuning en eventuele security-updates van deze diensten op respectievelijk 12 juli 2022 en 10 oktober 2023 stopt. Je wil natuurlijk mogelijke compliance risico’s voorkomen en alle kansen op innovatie grijpen. Hier lees je welke opties je […]
Jeffrey Vermeulen
Business Group Lead – Cloud & Enterprise
Power your innovation with Microsoft
Cloud has significantly transformed the ISV industry and customer expectations. Therefore, building and scaling your apps on a trusted, secure cloud is critical to customer retention and acquisition. Become a Microsoft ISV. Get guidance on building modern, scalable, and secure apps, and developing your go to market plans. Finally, present your solution on the Commercial Marketplace and take advantage of multiple channels […]
Jeffrey Vermeulen
Business Group Lead – Cloud & Enterprise
