Advertorial

Door Tweakers Partners

Feedback • 28-10-2021 12:00 27

Pentesters Zolder.io: “Harden en monitor je Microsoft-omgeving”

28-10-2021 • 12:00

27

Microsoft 365 is niet per definitie ‘kopen en klaar’. Tijdens de Hybride Tweakers Meet-up Privacy & Security op 6 november vertellen Rik van Duijn en Wesley Neelen, hackers bij Zolder.io, over het hardenen van de configuratie, het optimaliseren van de beveiliging en waarom dit zo belangrijk is.

Vier IT’ers begonnen eind 2019 een eigen bedrijf, met als doel om hun kennis over cybersecurity te gebruiken om ondernemers te helpen met het beveiligen van hun cloudomgeving. De naam werd ontleend aan hun bedrijfsruimte, gevestigd op de bovenste verdieping van een pand in Zevenbergen (Brabant). Zolder.io levert verschillende diensten, waaronder een app (Attic) die gebruikers kunnen koppelen aan hun Microsoft 365-omgeving. Het inzetten van aanvalskennis uit pentesten is heel nuttig, vindt Wesley Neelen, ethisch hacker en een van de oprichters van Zolder. “Je hoort vaak dat verdedigers maar moeten verdedigen en aanvallers moeten aanvallen, maar juist de combinatie is belangrijk. ‘Hoe kun je nu een aanval detecteren als verdediger, als je niet kunt aanvallen’, denk ik weleens.”Meet-up

https://atticsecurity.com

Wesley merkt dat onder ondernemers sterk het idee leeft dat security iets is voor grote bedrijven met hoge budgetten. “Deels klopt dat ook wel. Veel security-oplossingen zijn behoorlijk duur en het gaat vaak om heel specifieke oplossingen. We kennen bijvoorbeeld een paar monitoring-oplossingen voor Office 365 die al snel duizenden euro’s per maand kosten. Voor een mkb-ondernemer is dat wel erg fors. Bij ons betaal je 20 euro per maand voor een budgetversie van Attic en 80 euro voor een premium-abonnement. Afhankelijk van wat je kiest, krijg je bepaalde checks wel of niet. Om dat duidelijk te maken, hebben we op onze website een tabel geplaatst; we proberen het zo simpel mogelijk te houden.”

De oprichters van Zolder willen een betaalbare oplossing bieden waarbij ze zich richten op de Microsoft-cloud, omdat daar nu eenmaal veel ondernemers gebruik van maken. Bovendien blijft e-mail de belangrijkste vector in security-incidenten. “Kennis van cybersecurity is voor onze klanten niet nodig en omdat we het in een app aanbieden, is het heel schaalbaar en kunnen we het toepassen bij veel bedrijven. De app geeft advies over verdacht gedrag en over het hardenen van je Microsoft-omgeving. Het kan dan gaan over iets heel simpels zoals het aanzetten van multifactorauthenticatie, maar ook om het uitschakelen van verouderde protocollen.”

Meet-up

Geautomatiseerde checks en fixes

Attic bestaat uit twee componenten. Ten eerste zijn er Checks. Dit zijn Powershell-scripts die periodiek draaien om de configuratie van de tenants van klanten te controleren. Daarbij treedt bij misconfiguratie vaak een fix (ook een Powershell-script) in werking. De tweede component betreft monitoring middels Azure Sentinel, dat gebruikmaakt van Microsoft. “Veel van deze logs zijn in principe gewoon gratis bij een Microsoft-abonnement; we streamen ze sowieso naar Sentinel. Daarbij moet je denken aan activiteitslogs rondom Exchange, Sharepoint en Teams. Maar er zijn meer - betaalde - logs binnen je Microsoft-abonnement en die wil je eigenlijk ook. Sign-in logs, bijvoorbeeld. Die kunnen we ook inspoelen met Azure Sentinel; we detecteren verdacht gedrag en koppelen dat terug naar de gebruiker. In principe kunnen we bijna elke check en fix geautomatiseerd laten verlopen. Dat is ook ons doel. We bieden een ticket aan en je hoeft eigenlijk alleen maar op een knop te drukken om het op te lossen. Er zijn echter ook situaties waarbij we willen dat je als gebruiker zelf even mee kunt kijken. Een verdachte situatie hoeft immers niet altijd op activiteit van cybercriminelen te wijzen. Klopt het bijvoorbeeld dat je factuur naar een extern e-mailadres gaat? Misschien heb je dat zelf zo ingesteld, maar toch is het fijn als je even een seintje krijgt en het kunt checken.”

De oprichters van Zolder hebben veel ervaring met pentesten, voor verschillende opdrachtgevers. Voor de ontwikkeling van hun nieuwe oplossing doen ze dit nog steeds. “Iets dat we vaak vinden, zijn open shares vanuit de Sharepoint-omgeving van de klant. Zo’n open Sharepoint-site wordt ook aangemaakt als gevolg van een Public Team in Microsoft Teams. Ze zijn voor iedereen binnen de organisatie toegankelijk, wat maakt dat aanvallers die eenmaal binnen zijn gekomen er heel makkelijk bij kunnen. Regelmatig staat er voor aanvallers nuttige informatie in. Wachtwoorden voor het beheer van alle telefoniesystemen bijvoorbeeld, maar ook persoonsgegevens en back-ups.”

Tijdens de Meet-up willen Wesley en Rik demonstreren welke kwetsbaarheden zij in Microsoft-omgevingen tegenkomen en wat je kunt doen om deze te voorkomen of misbruik te detecteren. “Office en Azure brengen nieuwe uitdagingen met zich mee. Vroeger werd je bijvoorbeeld als gebruiker steeds om een wachtwoord gevraagd. Maar nu heb je apps die gebruikmaken van OAuth en krijg je app-consent voor je kiezen wanneer een toepassing toegang nodig heeft tot je omgeving. Een gebruiker kan op deze manier belangrijke informatie beschikbaar stellen die aanvallers kunnen misbruiken. Met onze app helpen wij gebruikers met één klik hun app-toestemming in te stellen, zodat mensen bijvoorbeeld niet zomaar de toegang tot hun mailbox weggeven.”

Kwetsbaarheid met MFA Sweep

Een van de belangrijkste tips die beheerders van Microsoft-omgevingen sowieso kunnen krijgen, heeft betrekking op Microsofts multifactorauthenticatie (mfa). Rik: “Er is iemand die een tooltje heeft ontwikkeld, MFA Sweep, dat is gemaakt om te testen of het mogelijk is om mfa te omzeilen. Het staat ook gewoon op GitHub. Dit tooltje logt op verschillende manieren in, onder meer via verouderde protocollen die geen mfa ondersteunen. Dat betekent dat als je deze protocollen niet hebt uitgeschakeld, je gewoon kunt inloggen met een gebruikersnaam en wachtwoord, zelfs als je mfa hebt ingesteld. Wij hebben een query opgesteld om het gedrag van die tool te detecteren en te controleren of de aanval is gelukt. Vervolgens bieden we een fix aan om onder meer je legacy-authenticatie uit te zetten en de mfa-bypass onmogelijk te maken.”

Wil je meer tips over het veilig houden van je Microsoft-omgeving? Schrijf je dan in voor de Hybride Tweakers Meet-up Privacy & Security op 6 november en volg de talk van Wesley en Rik en. Meer informatie over het programma en tickets vind je hier .

Dit artikel is geen redactioneel artikel, maar een advertorial en tot stand gekomen dankzij Zolder.io en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers-events zoals Meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].

Lees meer

Kijk hier de Meet-up Privacy & Security terug
Kijk hier de Meet-up Privacy & Security terug .Plan van 22 november 2021
Wat wil jij weten van de ceo van Fox-IT?
Wat wil jij weten van de ceo van Fox-IT? .Plan van 5 november 2021
Het programma van de Meet-up Privacy & Security is rond
Het programma van de Meet-up Privacy & Security is rond .Plan van 4 november 2021
Webdevelopment Meet-up

Reacties (27)

-Moderatie-faq
27
27
17
1
0
9
Wijzig sortering
Lick_A_Brick 28 oktober 2021 12:16
Ben wel benieuwd wat voor checks Attic biedt naast de zaken die ook gecheckt worden door de Microsoft Secure Score.
R!K? @Lick_A_Brick28 oktober 2021 18:53
Goeie vraag. Full Disclosure ben een van de oprichters dus dan weet je waar ik vandaan kom.

Onze oplossing heeft checks en fixes. Dat wil zeggen we controleren (zoals secure score doet) maar kunnen ook geautomatiseerd fixen. De klant krijgt een push notificatie met de vraag of een bepaalde wijziging gewenst is. Zo ja voeren we dat automatisch door.

We maken voor een aantal checks ook gebruik van secure score en breiden daarop uit. We monitoren bijv actief of auditlogging nog wel juist ingesteld staat. Of alarmeren zodra een nieuwe beheerder wordt toegevoegd. Of juist een externe gebruiker die een beheer rol toegewezen krijgt.

Secure score zit met name op hardening, wij doen hardening en monitoring combineren. Straks ook een uitbreiding mogelijk waarbij we de logging naar Azure Sentinel streamen (SIEM oplossing). De Siem staat binnen je eigen Azure tenant, wij controleren op verdacht gedrag.


Voor een overzicht van alle checks zie https://support.myattic.a...elijk-M365-Budget-Premium
FrostyPeet 28 oktober 2021 12:25
Wat ik mis in dit soort pen-test bedrijven is hoe ze omgaan met de juridische valkuilen van het opdracht contract. Pen-testen is ook een kwestie van goede afspraken maken wat je wanneer test, op welke wijse. Wat je doet als je gevoelige zaken tegenkomt. Indekken tegen vervolgschade door onbedoelde effecten tijdens het pen-testen (b.v. de hele afdeling ICT in paniek routers uitschakelend want "hackers"). Beveiligers die de politie bellen als iemand van red-team een site verkenning doet.
HeepH @FrostyPeet28 oktober 2021 12:31
Ik ken eigenlijk geen pentest partij die hier NIET op voorhand rekening mee houdt en afspraken over maakt...?
AntiSpam @HeepH28 oktober 2021 12:47
Waarom zou een inbreker de beste zijn in het beveiligen van een object ?
jopiek @AntiSpam28 oktober 2021 13:04
Waarom? Omdat een inbreker precies weet 'hoe het moet'. Een inbreker kijkt met andere ogen. Niet-inbrekers horen wel hoe inbrekers werken maar hebben het nog niet ervaren. Ik lees rond zomervakantie trucjes van bijv. plakband die je op voordeuren plakken of krijtstreepjes met codes die men her en der aanbrengt, maar heb er geen ervaring mee, daarnaast zou ik me wellicht verdacht gedragen en zal een goede inbreker ook weten hoe niet op te vallen en hoe zijn/haar sporen te wissen. Wil niet zeggen dat je geen goede pentester kunt worden door nooit hacker/cracker geweest te zijn, maar denk niet dat je echt 'hardened' wordt zonder die blackhat ervaring. Of kijk ik teveel McGuyver e.d.? Meeste lui zijn tegenwoordig natuurlijk ook vooral scriptkiddies. Als je kijkt op 'anti-scammers' op Youtube (en zelfs bij Kees van der Spek z'n huishacker) dan zie je dat ze wel goed zijn in stammen maar dat anti-scammers vrij eenvoudig die scripts tegen hen weten te gebruiken omdat de scammers eigenlijk nauwelijks technische kennis en kunde hebben.
AntiSpam @jopiek28 oktober 2021 13:30
Een inbreker kan met een baksteen vrijwel alle huizen openen, het is niet zo moeilijk om een gaatje of zwakpunt te vinden.

Structurele maatregelen te nemen om een organisatie waar honderden/duizenden mensen werken met meervoud aan aanvalsoppervlak te beschermen heb je aan een inbreker/pen-tester niets.

Voor security engineer is pentesten basis kennis en uitgangspunt maar voor structureel beschermen conformeren aan wet- en regelgeving, organisatie compliancy en risico's af te dekken heb je aan pentesters niets.

Er is verwachting dat inbreker je kan beschermen terwijl een inbreker alleen maar bezig is om zo snel mogelijk binnen te komen en met de zoveel mogelijk weg te komen.
JRoseboom @AntiSpam28 oktober 2021 15:46
Sure de fysieke hack is altijd de hack... Als ik mijn hand op de muis kan zetten ben ik al binnen.
De inbreker die een smash and grab doet zal snel gevonden worden, diegene die 7 maanden de tijd neemt om onopgemerkt 120K mee te nemen zal er mee weg kunnen komen (Iets met een diamant roof van 5+ jaar terug). Dit is waarom je de ervaren inbreker niet voor 1 week inhuurt maar voor jaren.
AntiSpam @JRoseboom28 oktober 2021 18:25
Ik raad niemand aan om voor opvolgende pentesten dezelfde club te gebruiken.

Bovendien raad ik iedereen aan om paaseieren te verstoppen zodat je naast detectie hebt ook weet of ze e wel grondig te werk zijn gegaan en niet gewoon zoals veel "pen testers" hun nessus scanner opstarten en niet veel meer dan opleuken rapportage doen.
Ubartu @AntiSpam28 oktober 2021 15:51
Openen ja, maar niet onopgemerkt. En dat doet er toe.

Er is bij mij twee keer ingebroken toen ik nog student was. Een keer door twee jochies met bontkraag en opgeschoren kapsel die met een hamer een raam insloegen. De andere keer heeft iemand stilletjes ingebroken via een super klein kantelraampje, de stapel afwas onder het raam weten vermijden (respect) en had een vluchtroute veilig gesteld door eenmaal binnen meteen een deur van het slot te halen.

Raad eens welke van deze twee pogingen geslaagd was en welke eindigde in een arrestatie ;)
AntiSpam @Ubartu28 oktober 2021 18:22
Als je iets niet opmerkt heb je een structureel probleem en die kan pentester niet voor je oplossen, iets met competenties en policies.
Ubartu @AntiSpam30 oktober 2021 01:05
Het gaat er in geval van een inbraak (electronisch of fysiek) om om lang genoeg onopgemerkt te blijven om de buit binnen te halen. Dat iets weg/aangepast is kom je vanzelf achter.
Een pentester kan wel een onbekende zwakke plek blootleggen.
bvdli @Ubartu29 oktober 2021 11:34
Waarom is het kapsel en de kleding relevant te benoemen? Suggestief?
Ubartu @bvdli30 oktober 2021 01:10
Meer bedoeld om aan te geven dat het om amateuristische gelegenheidsdieven gingen dan te insinueren dat alle jochies die voldoen aan dergelijke omschrijving crimineel zijn. Desondanks valide punt, komt discriminerend over als ik het zo terug lees. Mijn excuus.
FrostyPeet @HeepH28 oktober 2021 12:37
Dat bedoel ik. Er wordt vrijwel nooit over dat soort zaken geschreven in artikelen. Blijft vaak "beperkt" tot "wat" ze doen, met name de techniek en de procedures. Maar hoe voorkom je dat je ICT afdeling voorkennis heeft en dus al "op scherp" staat. Of dat je ICT afdeling niets vermoed, en er dus rare paniekreacties kunnen ontstaan met eventuele vervolgschade in het productieproces? Wie gaat die vervolgschade betalen? Dat zijn discussies die ik ook interessant vind.
drQuentules @FrostyPeet28 oktober 2021 13:00
Wat is er mis mee als bij een PEN-test de ICT afdeling al op scherp staat? Als er ergens een handmatige handeling/reactie verricht wordt dan kan je dat registreren. Als ze op scherp staan gaat dit wellicht sneller dan normaal, maar dan kan je als partij wel doorvragen hoe ze het in een normale (onverwachte) situatie zouden afhandelen.

Effectief kan je nog steeds de veiligheidsrisico's bepalen en dat is het doel achter de PEN-test.
nst6ldr @drQuentules28 oktober 2021 13:08
Als ze op scherp staan gaat dit wellicht sneller dan normaal, maar dan kan je als partij wel doorvragen hoe ze het in een normale (onverwachte) situatie zouden afhandelen.
Het is niet representatief, vooral in grotere organisaties heb je afdelingen waarbij management vooral in goed daglicht wilt staan en daarom een onrealistisch beeld neerzetten van de dagelijkse gang van zaken.
Orangelights23 @FrostyPeet28 oktober 2021 12:35
Elk zelfrespecterende securitybedrijf heeft eerst een vrijwaringsverklaring. Daar zijn standaard templates voor.
FrostyPeet @Orangelights2328 oktober 2021 12:48
Helemaal met je eens. Stel de hypotetische situatie voor dat je als beheerder merkt dat op server X plotseling alle bestanden benaderd worden met hoge disk activity. Is het dan een echte hack? Zijn de pen-testers bezig? Wordt op dat moment alle bestanden versleuteld? Moet je dan als de bliksem de stekker van de pc lostrekken om vervolgschade te voorkomen?

Hoe ga je als pen-test bedrijf hiermee om? Of als opdrachtgever.

Maar goed, mijn 2 centen.
drQuentules @FrostyPeet28 oktober 2021 13:01
Dat staat allemaal in de werkwijze en het plan van aanpak beschreven....
Verwijderd @FrostyPeet28 oktober 2021 13:30
Ik mag hopen dat pentesters niet je bestanden gaan versleutelen. En als een pentester zo ver is dat hij al je bestanden kan benaderen, is diegene vaak toch al vrij ver bezig.

Het is alleen maar goed als een beheerder dan toch een alertje krijgt. Met de juiste logging kom je daar vervolgens dan echt wel uit met het beveiligingsbedrijf.

Zoals al geopperd zijn dit soort zaken echter al netjes afgebakend en wordt er ook vooral een scope besproken.
Orangelights23 @FrostyPeet28 oktober 2021 14:34
Ik heb een aantal jaar als pentester gewerkt, inmiddels stuur ik er een paar aan vanuit onze organisatie. Je stemt altijd alles af met de betrokkenen, of als het een derde partij is verlang je van de klant dat zij hun beheerder informeren. Ik heb een keer meegemaakt dat de beheerder de diensten offline gooide doordat wij verdacht bezig waren. Dit zorgde voor misschien een half uurtje vertraging (en veel boze mensen op de vloer omdat ze nergens bij konden), maar dit is altijd een risico van een pentest. Dat is onder andere wat in een vrijwaringsverklaring staat.

Er zijn, helaas, genoeg beheerders die niet geïnformeerd worden EN ook niets doorhebben, in iedere geval niet op tijd. Dus naast dat een pentest kwetsbaarheden inventariseert, legt het ook vaak bloot dat beheerders eigenlijk niet zo goed in het beheren en reageren zijn.
Falcon 28 oktober 2021 12:05
Aangaande Azure (waar ook Office 365 op draait) mag Microsoft zelf ook weleens goed naar hun default security gerelateerde configuratie/opt-in's kijken van hun native componenten. :Y)

[Reactie gewijzigd door Falcon op 24 juli 2024 22:39]

Verwijderd @Falcon28 oktober 2021 13:38
Iets meer context zou wel interessant zijn.
Falcon @Verwijderd28 oktober 2021 14:43
Standaard worden er best al veel headers zichtbaar op je publieke webapp bijv. Denk aan X-headers en bijv. niet standaard CSP header.
Nightan 4 november 2021 18:57
Gaat er weleens iets mis met automatisch fixen? Een change kan toch weleens dingen kapotmaken?
R!K? @Nightan5 november 2021 22:10
Dat kan en het gebeurt soms ook wel. Met name waar het gaat om uitschakelen van legacy authenticatie of afdwingen van mfa kom je voor uitdagingen te staan. In dat geval proberen we op voorhand te kijken wat mogelijk stuk gaat. En gelukkig kunnen alle fixes snel terug gedraaid worden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq