Hoi allemaal,
Ik dacht vorige week na over Voorwaardelijke Toegang en had een idee. Zou het mogelijk (of zou het gedaan moeten worden) zijn om authenticatieverzoeken afkomstig van VPN-diensten zoals NordVPN te blokkeren? Ik heb CA al beperkt tot de landen waar werknemers werken, maar het lijkt erop dat de meeste kwaadwillende actoren dat doorhebben en gewoon op een VPN stappen om hun aanval voort te zetten. Ik snap ook dat de “sneller dan normaal mogelijke reizen” wordt gemarkeerd, maar ik vraag me af of het verder kan gaan aangezien we die diensten niet voor zakelijke doeleinden gebruiken.
Ik vraag me af of iemand zoiets heeft gedaan of eerder heeft overwogen.
Alle andere aanbevelingen zijn zeker de betere keuzes om het risico te verminderen, maar aangezien ik deze aanpak in het verleden heb geprobeerd om consument-VPN’s te blokkeren, is mijn perspectief dat het gewoon een voortdurende kat-en-muisspel is en geen echte verbetering van de beveiliging.
Apparaatregistratie/-posering
MFA
Identiteitsbescherming (wees echter voorzichtig met deze omdat het agressief kan zijn)
MCAS-sessiebeheer met beleidsregels
Waarschijnlijk wil je dit niet rechtstreeks doen. Je kunt eisen dat MFA wordt toegepast wanneer het inlogrisico medium of hoger is, of een beheerd en gezond apparaat vereisen. Je wilt waarschijnlijk ook zeker zijn dat je elk “legacy-protocol” blokkeert, minstens buiten je eigen netwerk. En om je exacte vraag te stellen. Ja, ik heb het geprobeerd met een van de gangbare providers. Hun IP-bereiken zijn niet te moeilijk te vinden. Zou ik het opnieuw doen? Waarschijnlijk niet.
Geen probleem. Een laatste ding dat ik wil vermelden is dat MCAS soms een identificator heeft voor VPN-diensten en dat je daar een MCAS-blokbeleid op kunt bouwen (los van CA), maar het zal natuurlijk niet allesomvattend zijn. Het is een eenvoudige lage-touch/beheer beleid dat je zeker kunt gebruiken als iemand in het beveiligingsteam op zoek is naar IETS.
Zeker. Ik dacht meer aan smartphones voor dingen als e-mail en Teams, niet per se laptops en Windows-apparaten. Dat is echt de enige vorm van BYOD die wij ondersteunen.
Dus eigenlijk is alles wat je noemde nog steeds een risico met beheerde desktops. Het wordt steeds meer mogelijk om zelfs geen apparaten te gebruiken om verbinding te maken met netwerken. Er zullen altijd configuraties zijn waarbij je wel moet verbinden, maar als de meeste van je diensten SaaS-gebaseerd zijn, heb je genoeg tools om BOYD mogelijk te maken zonder je netwerk in gevaar te brengen.
Het is logisch. Dus je beperkt de toegang tot bedrijfsbronnen totdat een apparaat is ingeschreven. Maar niet specifiek het proberen te authenticeren voordat het is ingeschreven. Het is logisch. Ik stel me voor dat dat veel gemakkelijker te beheren is op de lange termijn.
Maar dat is slechts één mening. Ik werk in de gezondheidszorg, en we doen altijd aan BYOD. We hebben reverse proxies, CASB’s, CWPP en DLP die ons vertrouwen geven en attestaties dat beschermde informatie niet kan worden gedownload naar een unmanaged desktop.
Dit is niet zo moeilijk, het gaat er gewoon om het dreigemodel te bekijken en effectief risicobeperking toe te passen waar nodig.
Dus we schakelen over van praten over Office 365-producten naar andere dingen… het komt allemaal goed, ik begrijp je. Alle EMR-toegangen en systemen die beschermde gezondheidsinformatie bevatten, worden benaderd via virtuele desktops of app-streaming en staan geen clipboard-toegang, afdrukken of opslaan van informatie op lokale bronnen toe. Zowel Citrix als VMware bieden bescherming tegen spyware die probeert het scherm op te nemen.
Zelf de meer populaire EMR’s ontwikkelen mobiele apps die gebruik kunnen maken van Intune MAM-beleidsregels, hetzelfde geldt voor Citrix en VMware.