De bekende Amerikaanse krant The Washington Post is recent slachtoffer geworden van een gerichte cyberaanval. Bij deze aanval werden de Microsoft-e-mailaccounts van meerdere journalisten gehackt. De aanval werd afgelopen donderdag ontdekt en zou, volgens ingewijden, vermoedelijk zijn uitgevoerd door een buitenlandse staat. De reden? De betrokken journalisten berichten over gevoelige onderwerpen zoals nationale veiligheid, economisch beleid en China. Als eerste tegenmaatregel zijn de wachtwoorden van de getroffen accounts onmiddellijk gereset.
Hack
Het feit dat Microsoft-werkaccounts zijn gehackt, wijst erop dat The Washington Post gebruikmaakt van Microsoft 365. Dit werpt vragen op over de veiligheid van Microsofts populaire enterprise-dienst. Door het brede gebruik is Microsoft 365 immers een aantrekkelijk doelwit voor kwaadwillenden.
Hoewel het onderzoek naar de hack nog loopt, is het nog niet duidelijk hoe de aanvallers toegang tot de accounts hebben verkregen. Microsoft 365 biedt normaal gesproken meerdere beveiligingslagen om dit soort incidenten te voorkomen. Zo is er Microsoft Defender for Office 365, dat beschermt tegen schadelijke bijlagen, phishing en malware via e-mail. Dit systeem had mogelijk een rol kunnen spelen als de aanval via e-mail is uitgevoerd. Daarnaast is er Microsoft Entra ID (voorheen Azure AD), dat organisaties helpt beschermen tegen identiteitsaanvallen. Entra ID ondersteunt onder andere multi-factor authenticatie (MFA) en toegangsbeleid op basis van locatie en apparaat.
Kwetsbaarheden
Toch zijn ook met deze geavanceerde technologieën inbraken mogelijk, bijvoorbeeld door verkeerde configuraties, menselijke fouten of onbekende kwetsbaarheden (zero-days). Beveiliging is daarmee een gedeelde verantwoordelijkheid van Microsoft én de gebruikersorganisatie.
Wake-up call
De hack bij The Washington Post is een wake-up call voor elke organisatie die Microsoft 365 gebruikt. Belangrijke preventieve maatregelen zijn: verplichte MFA, sterke wachtwoordrichtlijnen, regelmatige security-awareness-training voor medewerkers, en tijdige installatie van updates. Veel aanvallen ontstaan namelijk doordat medewerkers misleid worden en niet door falende technologie.
Kortom, technologie alleen is niet genoeg. Een sterke beveiligingscultuur is minstens zo belangrijk.