Politie had risicoadvies M365 op moment van hack niet volledig doorgevoerd
De politie had geadviseerde maatregelen om risico's bij het gebruik van Microsoft 365 te verkleinen op het moment dat het in 2024 werd gehackt niet volledig doorgevoerd. Dat laat de politie tegenover Follow the Money weten. Aanvallers wisten via een pass-the-cookie-aanval, vermoedelijk via infostealer-malware, inloggegevens van een M365-account te stelen. Vervolgens werden de global address list van Outlook en nog andere gegevens van 62.000 politieagenten buitgemaakt.
Voordat de politie naar M365 overstapte werd een risicoanalyse uitgevoerd. Daarin werd mede op basis van onderzoek van de inlichtingendiensten gewaarschuwd dat het gebruik van de cloud 'inherente' risico's met zich meebrengt. Zo zouden met name statelijke actoren ‘zeer geïnteresseerd zijn in het verkrijgen van toegang tot de cloudomgeving’.
In de risicoanalyse werd de politie geadviseerd om Microsofts clouddienst alleen te gebruiken als er vooraf verschillende maatregelen werden genomen. Deze maatregelen moesten de belangrijkste risico's mitigeren. De politie verklaart tegenover Follow the Money (FTM) dat het niet al deze maatregelen, op het moment dat de hack plaatsvond, had uitgevoerd. "Wij moeten vaststellen dat niet alle maatregelen ten tijde van het incident volledig waren geïmplementeerd."
Volgens de politie hadden deze maatregelen de aanval mogelijk lastiger kunnen maken. "Deze specifieke aanval had naar verwachting moeilijker kunnen worden uitgevoerd en mogelijk eerder kunnen worden gedetecteerd." Om welke maatregelen het precies gaat wil de politie wegens veiligheidsredenen niet laten weten. Ook wordt niet bekendgemaakt voor welke risico's er was gewaarschuwd. Wel blijkt uit documenten die FTM opvroeg dat de politie na het incident verschillende maatregelen heeft doorgevoerd, waaronder het uitschakelen van inactieve mailaccounts en het instellen van sterkere wachtwoorden.
Soms vraag je je echt af wat voor absolute malloten wel niet bij zulke instanties aan de management knoppen zitten.
Los gezien of cloud verstandig is of specifiek M365 heeft deze een zeer uitgebreide Compliance en Risk management, assesment dashboard onder Purview. Ik mag aannemen dat ze op E3 of E5 minimaal zitten dus waarom er geen DLP is gedaan en alert generatie voor Cookie-Bite attack is niet te bevatten. Daar heb je een SOC voor om dit soort specialistiche aanvallen zo snel mogelijk te herkennen en op noodknop drukken en alles platleggen.
Je kan niet alles tegenhouden zeker staats gesteunde hacks niet maar hoe in hemelsnaam heb je de adres lijst niet beveiligd waarom in hemelsnaam geen ABPs. Dit is basis beveiliging dit leerde we in refresher course exchange management toen de functie in 2012 erin kwam en op zo beetje elke exchange deployment checklist erna kwam te staan https://learn.microsoft.com/en-us/exchange/address-books/address-book-policies/address-book-policies
Soms vraag je je echt af wat voor absolute malloten wel niet bij zulke instanties aan de management knoppen zitten.
Los gezien of cloud verstandig is of specifiek M365 heeft deze een zeer uitgebreide Compliance en Risk management, assesment dashboard onder Purview. Ik mag aannemen dat ze op E3 of E5 minimaal zitten dus waarom er geen DLP is gedaan en alert generatie voor Cookie-Bite attack is niet te bevatten. Daar heb je een SOC voor om dit soort specialistiche aanvallen zo snel mogelijk te herkennen en op noodknop drukken en alles platleggen.
Je kan niet alles tegenhouden zeker staats gesteunde hacks niet maar hoe in hemelsnaam heb je de adres lijst niet beveiligd waarom in hemelsnaam geen ABPs. Dit is basis beveiliging dit leerde we in refresher course exchange management toen de functie in 2012 erin kwam en op zo beetje elke exchange deployment checklist erna kwam te staan https://learn.microsoft.com/en-us/exchange/address-books/address-book-policies/address-book-policies
Soms vraag je je echt af wat voor absolute malloten wel niet bij zulke instanties aan de management knoppen zitten.
Het probleem bij 99% van deze 'aanvallen' ligt niet aan de techniek of technische mensen. Dat komt meestal dan ook wel in een onderzoek of rapportage bovendrijven (net zoals hier weer het geval is). Het echte probleem hier is menselijk falen.
Als in, niemand is verantwoordelijk en niemand zal ooit verantwoordelijk zijn. De problemen waren al gesignaleerd, niemand deed wat of voelde zich verantwoordelijk en ook nu zijn er geen geen gevolgen voor de personen (lees: management) die niets gedaan hebben...
Dus we gaan weer op naar het volgende grote incident...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?