Hoe beveilig je een apparaat volgens de Zero Trust principes? (Deel 2)

In ‘Hoe beveilig je een apparaat volgens de Zero Trust principes? (Deel 1)’ wordt een ideaal scenario geschetst over hoe je als bedrijf op een moderne manier endpoints zou willen beveiligen en beheren vanuit de Microsoft Cloud. In dit tweede deel van de blog beschrijft Luc Frijters, IT Consultant bij Motion10, hoe er praktisch te werk wordt gegaan om de drie principes van het Zero Trust Framework op endpoints toe te passen.

Principe 1: Verifieer expliciet
Om beveiliging en risico’s te kunnen beheren ten aanzien van endpoints, zijn overzicht en inzicht nodig. Overzicht en inzicht krijgt men door endpoints aan een Identity Provider (IdP) te koppelen – met als meest prominente IdP Microsoft Azure Active Directory – zodat het vertrouwde identiteiten worden. Als dit vereiste fundament staat, kunnen mitigerende maatregelen vanuit de Zero Trust principes worden opgezet en uitgebouwd. Bovendien is dit fundament ook één van de vereiste randvoorwaarden voor gebruik van Microsoft Intune en het opzetten van Conditional Access beleid.

De combinatie tussen beheer- en compliance status van een door Microsoft Intune beheerde endpoint, maakt het mogelijk om Conditional Access beleid verder af te stemmen. Een inrichting op deze manier zorgt ervoor dat endpoints continu compliant moeten blijven om toegang te blijven houden tot applicaties en diensten die belangrijk zijn voor de bedrijfsvoering. De eigenaar van de endpoint behoudt alleen toegang tot bijvoorbeeld de Dynamics 365 ERP applicatie wanneer het apparaat als ‘compliant’ wordt beschouwd en kan de applicatie niet meer benaderen zodra de status op ‘not-compliant’ staat. Een endpoint behoudt dus de minimale permissies voor het benaderen van een bepaalde applicatie, zelfs wanneer de ‘gezondheid’ van het apparaat perfect in orde is. Dit stimuleert de organisatie, IT-afdeling en eindgebruiker om endpoints continu compliant te houden en beveiligt de toegang tot applicaties.

Principe 2: Verstrek zo weinig mogelijk rechten
Voor een Windows endpoint die aan Azure Active Directory (AD) is toegevoegd, krijgt de eerste Azure AD-account waar iemand zich mee aanmeldt standaard ‘local administrator’ permissies. Hierdoor krijgt een account volledige controle over alle lokale instellingen op het apparaat, terwijl in de meeste situaties deze permissies niet eens nodig zijn. Door deze instellingen aan te passen kan voorkomen worden dat eventuele virussen of andere malicious code zich eenvoudig kunnen nestelen op systeemniveau.
Lokale beheerdersrechten moeten dus alleen uitgedeeld worden als het daadwerkelijk nodig is en het liefst tijdelijk.
Microsoft Intune Company Portal kan gebruikt worden voor het aanbieden van applicaties, zodat men geen ‘local administrator’ permissies nodig heeft voor de installatie van benodigde applicaties.

Als een endpoint eenmaal aan Azure AD is toegevoegd is het mogelijk met vertrouwde Single Sign-On aan te melden. In het geval dat een Azure AD-beheerdersrol gekoppeld is aan zo’n Azure AD-account is het daarom van belang dat hier nooit actief dagelijks vanuit gewerkt wordt en juist een aparte admin-account gehanteerd wordt. Idealiter gebruikt een organisatie Azure Privileged Identity Management (PIM) om de veiligst mogelijke beheerdersrol tijdelijk aan een persoon toe te wijzen, met een optionele goedkeuringsflow.

Principe 3: Ga ervan uit dat er ingebroken is
Tegenwoordig is het niet de vraag óf er ooit ingebroken gaat worden, maar juist wannéér en in welke mate. Neem het eigen lichaam als voorbeeld. Af en toe ziek worden is onvermijdelijk, dus we moeten ervoor zorgen dat we gezond leven, gezondheidsrisico’s mitigeren, eventuele schade beperken en bij ziekte snel weer fit worden. Hoe wordt dat aangepakt als we kijken naar het beveiligen van endpoints?

Op de eerste plaats is het advies om Windows besturingssysteem-updates structureel geforceerd te installeren via één of meerdere Intune update ring policies en hierop toe te zien met compliance policies. Het installeren van Windows updates zorgt ervoor dat beveiligingsproblemen opgelost worden en bedreigingen minder kans krijgen schade aan te richten. Dit blijft de beste remedie voor het veilig houden van endpoints. Naast het besturingssysteem wordt het in toenemende mate belangrijker niet-Microsoft applicaties structureel te updaten, al vergt dat meer tijd en moeite voor zowel de eindgebruiker als IT-afdeling. Microsoft Defender for Endpoint biedt ook inzicht in kwetsbaarheden in niet-Microsoft applicaties die op endpoints staan. De lijst van ondersteunde applicaties wordt met de dag groter. Daarnaast is het advies om het aanvalsgebied op endpoints zo klein mogelijk te houden. Het verkleinen van het aanvalsgebied heeft te maken met het besturingssysteem van een endpoint beschermen, waardoor aanvallers minder manieren hebben om aanvallen uit te kunnen voeren.

Het is verder ook belangrijk om inzicht te verkrijgen in wat er precies op een endpoint afspeelt. Om dit te doen kan Microsoft Defender for Endpoint gebruikt worden. Security Information and Event Management (SIEM) en eXtended Detection and Response (XDR) helpen de efficiëntie en effectiviteit ten aanzien van de beveiligingsmaatregelen te vergroten, nieuwe analyses te verkrijgen en de algehele IT-omgeving te beschermen.
De data die dit genereert vormt direct de basis voor Endpoint Detection and Response (EDR). EDR is een vorm van endpoint-beveiliging die real-time monitoring en verzameling van endpoint-gegevens combineert met op regels gebaseerde, geautomatiseerde respons- en analysemogelijkheden. Verdachte activiteiten op hosts en endpoints kunnen gedetecteerd en onderzocht worden en zo wordt een hoge mate van automatisering gebruikt om bedreigingen snel te identificeren en erop te kunnen reageren.

Endpoints op een goede manier beveiligen vraagt om een structurele aanpak die op verschillende fronten moet worden geïmplementeerd. Het Zero Trust Framework van Microsoft geeft met principes en gelaagde beveiliging duidelijke richting voor hoe dit aangepakt kan worden.