3 investeringen die je kunt doen om identiteitsbeheer te verbeteren

Als een grote onderneming met een wereldwijd bereik heeft Microsoft dezelfde veiligheidsrisico’s als zijn klanten. Ze hebben gedistribueerde, mobiele medewerkers die toegang hebben tot bedrijfsbronnen van externe netwerken. Veel mensen worstelen met het onthouden van complexe wachtwoorden of hergebruiken een wachtwoord voor veel accounts, waardoor ze kwetsbaar zijn voor aanvallers. Omdat Microsoft de digitale transformatie voor hun eigen onderneming heeft omarmd, hebben ze hun aandacht verlegd naar een beveiligingsstrategie die sterke medewerkersidentiteiten centraal stelt. Veel van hun klanten zijn op een vergelijkbare reis en kunnen waarde vinden in de huidige aanpak van Microsoft voor identiteitsbeheer.

Het doel is om het risico van gecompromitteerde identiteit te verminderen en mensen in staat te stellen efficiënt en behendig te zijn, of ze nu op je netwerk zitten of niet.

De oplossingen voor identiteitsbeheer concentreren zich op drie belangrijke gebieden:

  • Administrator-accounts beveiligen.
  • Het elimineren van wachtwoorden.
  • Vereenvoudig identiteitsvoorzieningen.

Lees verder voor meer informatie over elk van deze investeringsgebieden, advies over het aanpassen van uw investering aan uw budget en een samenvatting van enkele belangrijke inzichten die u kunnen helpen bij het probleemloos implementeren van nieuw beleid.

Administrator-accounts beveiligen

De beheerders hebben toegang tot de meest gevoelige gegevens en systemen van Microsoft, waardoor ze een doelwit zijn van aanvallers. Om de bescherming van de organisatie te verbeteren, is het belangrijk om het aantal mensen met een geprivilegieerde toegang te beperken en verhoogde controles te implementeren voor wanneer, hoe en waar beheerdersaccounts kunnen worden gebruikt. Dit helpt de kans te verminderen dat een kwaadwillende acteur toegang krijgt.

Er zijn drie methoden die we aanbevelen:

  • Beveiligde apparaten: maak een apart apparaat voor administratieve taken dat is bijgewerkt en gepatcht met de meest recente software en besturingssysteem. Stel de beveiligingsopties op hoge niveaus in en voorkom dat beheertaken op afstand worden uitgevoerd.
  • Geïsoleerde identiteit: geef een beheerdersidentiteit op vanuit een afzonderlijke naamruimte welke geen toegang heeft tot internet en verschilt van de identiteit van de gebruiker van de informatiewerker. De beheerders moeten een smartcard gebruiken om toegang te krijgen tot dit account.
  • Niet-persistente toegang – Geef standaard nul rechten aan beheerdersaccounts. Vereisen dat ze just-in-time (JIT) -rechten aanvragen die hen toegang geven voor een beperkte tijd en deze in een systeem loggen.

Budgettoewijzingen kunnen het bedrag beperken dat u op deze drie gebieden kunt investeren; we raden u echter nog steeds aan om alle drie te doen op het niveau dat zinvol is voor uw organisatie. Kalibreer het niveau van beveiligingsopties op het beveiligde apparaat om aan uw risicoprofiel te voldoen.

Het elimineren van wachtwoorden

De beveiligingsgemeenschap erkent al enkele jaren dat wachtwoorden niet veilig zijn. Gebruikers worstelen met het maken en onthouden van tientallen complexe wachtwoorden en aanvallers blinken uit in het verkrijgen van wachtwoorden door middel van methoden zoals wachtwoordsprayaanvallen en phishing. Toen Microsoft voor het eerst het gebruik van Multi-Factor Authentication (MFA) voor hun personeel onderzocht, hebben ze smartcards uitgegeven aan elke medewerker. Dit was een zeer veilige authenticatiemethode; het was echter omslachtig voor werknemers. Ze vonden workarounds, zoals het doorsturen van werkmail naar een persoonlijke account, waardoor ze minder veilig waren.

Als u beleid instelt om de beveiliging te verbeteren, moet u altijd onthouden dat een goede gebruikerservaring van cruciaal belang is voor de acceptatie.

Uiteindelijk beseften ze dat het elimineren van wachtwoorden een veel betere oplossing was. Dit bracht een belangrijke les naar huis: als u beleid instelt om de beveiliging te verbeteren, moet u altijd onthouden dat een goede gebruikerservaring van cruciaal belang is voor de acceptatie.

Hier zijn de stappen die u kunt nemen om u voor te bereiden op een wereld zonder wachtwoorden:

  • MFA afdwingen – Conformeer aan de fast identity online (FIDO) 2.0-standaard, zodat u een pincode en een biometrisch systeem voor authenticatie kunt vragen in plaats van een wachtwoord. Windows Hello is een goed voorbeeld, maar kies de MFA-methode die werkt voor uw organisatie.
  • Legacy-verificatiewerkstromen verminderen – Plaats apps waarvoor wachtwoorden zijn vereist in een afzonderlijke gebruikers-toegangspoort en migreer gebruikers vooral naar moderne verificatiestromen. Bij Microsoft geeft slechts 10 procent van hun gebruikers op een bepaalde dag een wachtwoord in.
  • Wachtwoorden verwijderen – Creëer consistentie in Active Directory en Azure Active Directory (Azure AD) om beheerders toe te staan wachtwoorden uit de identiteitsdirectory te verwijderen.

Vereenvoudig identiteitsvoorzieningen

We denken dat de meest onderschatte stap in identiteitsbeheer die u kunt nemen, het vereenvoudigen van identiteitsregistratie is. Stel uw identiteit in met toegang tot precies de juiste systemen en hulpmiddelen. Als je te veel toegang verleent, riskeer je de organisatie als de identiteit wordt aangetast. Te weinig toegang kan mensen echter aanmoedigen om toegang te vragen voor meer dan ze nodig hebben om te voorkomen dat ze opnieuw toestemming vragen.

We nemen deze twee benaderingen:

  • Op rollen gebaseerde toegang instellen – Identificeer de systemen, hulpmiddelen en bronnen die elke rol nodig heeft om zijn of haar werk te doen. Stel toegangsregels in die het gemakkelijk maken om een nieuwe gebruiker de juiste rechten te geven bij het instellen van zijn account of het wijzigen van rollen.
  • Breng een proces voor identiteitsbeheer tot stand – Zorg ervoor dat mensen naarmate ze van rol veranderen, geen toegang meer hebben die ze niet langer nodig hebben.

De juiste toegang tot elke rol is zo belangrijk dat als u slechts één van onze aanbevelingen kunt volgen, de nadruk ligt op identiteitslevering en levenscyclusbeheer.

Wat we geleerd hebben

Terwijl u stappen onderneemt om uw identiteitsbeheer te verbeteren, moet u rekening houden met de volgende lessen die Microsoft onderweg heeft geleerd:

  • Culturele verschuivingen op bedrijfsniveau – het kan moeilijk zijn om de technologie en hardwarebronnen te gebruiken voor een veiligere onderneming. Mensen ertoe brengen hun gedrag aan te passen, is nog moeilijker. Om succesvol een nieuw initiatief uit te rollen, moet je plannen voor culturele verschuivingen op ondernemingsniveau.
  • Voorbij het apparaat – Sterk identiteitsbeheer werkt hand in hand met gezonde apparaten.
  • Beveiliging begint bij provisioning – Zet governance pas later uit. Identiteitsbeheer is cruciaal om ervoor te zorgen dat bedrijven van elke omvang de toegangsrechten van alle accounts kunnen controleren. Investeer vroeg in mogelijkheden die de juiste mensen op het juiste moment toegang geven tot de juiste dingen.
  • Gebruikerservaring: we hebben geconstateerd dat als u gebruiksbelevingsfactoren combineert met best practices voor beveiliging, u het beste resultaat behaalt.


Deel dit artikel

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Inschrijven voor de nieuwsbrief

Het laatste Microsoft 365 nieuws in jouw mailbox? Schrijf je dan nu in voor onze nieuwsbrief!