Bescherming tegen phishing voor toestemming

Productiviteit is niet langer beperkt tot particuliere netwerken en het werk verschuift aanzienlijk naar cloudservices. Hoewel cloudtoepassingen werknemers in staat stellen om op afstand productief te zijn, kunnen aanvallers ook op toepassingen gebaseerde aanvallen gebruiken om toegang te krijgen tot waardevolle organisatiegegevens. Mogelijk bent u bekend met aanvallen die zijn gericht op gebruikers, zoals phishing via e-mail of inbreuk op referenties. Phishing van toestemming is een andere bedreigingsvector waar u rekening mee moet houden.

In dit artikel wordt beschreven wat phishing van toestemming is, wat Microsoft doet om een organisatie te beschermen en welke stappen organisaties kunnen ondernemen om veilig te blijven.

Wat is phishing van toestemming?

Phishingaanvallen van toestemming misleiden gebruikers om machtigingen te verlenen aan schadelijke cloudtoepassingen. Deze schadelijke toepassingen kunnen vervolgens toegang krijgen tot legitieme cloudservices en gegevens van gebruikers. In tegenstelling tot inbreuk op referenties kunnen bedreigingsactoren die phishing-gebruikers met toestemming rechtstreeks toegang verlenen tot hun persoonlijke of organisatorische gegevens. In het toestemmingsscherm worden alle machtigingen weergegeven die de toepassing ontvangt. Omdat een legitieme provider (zoals het Microsoft Identity Platform) als host fungeert voor de toepassing, accepteren ongemoede gebruikers de voorwaarden. Deze actie verleent een schadelijke toepassing de aangevraagde machtigingen voor de gegevens. In de volgende afbeelding ziet u een voorbeeld van een OAuth-app die toegang vraagt tot een groot aantal machtigingen.

Phishingaanvallen voor toestemming beperken

Beheerders, gebruikers of Beveiligingsonderzoekers van Microsoft kunnen OAuth-toepassingen markeren die zich verdacht gedragen. Microsoft controleert een toepassing met vlag om te bepalen of deze de servicevoorwaarden schendt. Als een schending wordt bevestigd, schakelt Microsoft Entra ID de toepassing uit en voorkomt verder gebruik in alle Microsoft-services.

Wanneer Microsoft Entra ID een OAuth-toepassing uitschakelt, worden de volgende acties uitgevoerd:

• De schadelijke toepassing en gerelateerde service-principals worden in een volledig uitgeschakelde status geplaatst. Nieuwe tokenaanvragen of aanvragen voor vernieuwingstokens worden geweigerd, maar bestaande toegangstokens zijn nog steeds geldig totdat ze verlopen.
• Deze toepassingen worden weergegeven DisabledDueToViolationOfServicesAgreement op de disabledByMicrosoftStatus eigenschap van de gerelateerde toepassing en resourcetypen van de service-principal in Microsoft Graph. Als u wilt voorkomen dat ze in uw organisatie in de toekomst opnieuw worden geïnstantieerd, kunt u deze objecten niet verwijderen.
• Een e-mailbericht wordt verzonden naar een beheerder van een bevoorrechte rol wanneer een gebruiker in een organisatie toestemming heeft gegeven voor een toepassing voordat deze is uitgeschakeld. In het e-mailbericht worden de uitgevoerde en aanbevolen stappen opgegeven om hun beveiligingspostuur te onderzoeken en te verbeteren.

Aanbevolen reactie en herstel

Als een door Microsoft uitgeschakelde toepassing van invloed is op de organisatie, moet de organisatie de volgende stappen uitvoeren om de omgeving veilig te houden:

1. Onderzoek de toepassingsactiviteit voor de uitgeschakelde toepassing, waaronder:
   • De gedelegeerde machtigingen of toepassingsmachtigingen die zijn aangevraagd door de toepassing.
   • De Microsoft Entra-auditlogboeken voor activiteiten door de toepassing en aanmeldingsactiviteiten voor gebruikers die gemachtigd zijn om de toepassing te gebruiken.
2. Bekijk en gebruik de richtlijnen voor de bescherming tegen illegale toestemmingstoekennden. De richtlijnen omvatten controlemachtigingen en toestemming voor uitgeschakelde en verdachte toepassingen die tijdens de beoordeling zijn gevonden.
3. Implementeer best practices voor beveiliging tegen phishing van toestemming, zoals beschreven in de volgende sectie.

Best practices voor beveiliging tegen phishingaanvallen met toestemming

Beheerders moeten de controle hebben over het gebruik van toepassingen door de juiste inzichten en mogelijkheden te bieden om te bepalen hoe toepassingen binnen organisaties worden toegestaan en gebruikt. Hoewel aanvallers nooit rusten, zijn er stappen die organisaties kunnen nemen om het beveiligingspostuur te verbeteren. Enkele aanbevolen procedures zijn:

• Informeer uw organisatie over de werking van onze machtigingen en toestemmingsframework:
  • Inzicht in de gegevens en de machtigingen die een toepassing vraagt en begrijpt hoe machtigingen en toestemming binnen het platform werken.
  • Zorg ervoor dat beheerders weten hoe ze toestemmingsaanvragen moeten beheren en evalueren.
  • Controleer regelmatig toepassingen en toestemmingsmachtigingen in de organisatie om ervoor te zorgen dat toepassingen alleen toegang hebben tot de gegevens die ze nodig hebben en zich houden aan de principes van minimale bevoegdheden.
• Weet hoe u phishingtactieken voor veelvoorkomende toestemming kunt herkennen en blokkeren:
  • Controleer op slechte spelling en grammatica. Als een e-mailbericht of het toestemmingsscherm van de toepassing spel- en grammaticafouten bevat, is dit waarschijnlijk een verdachte toepassing. In dat geval meldt u het rechtstreeks aan de toestemmingsprompt met de koppeling Rapport hier en onderzoekt Microsoft of het een schadelijke toepassing is en schakelt u deze uit, indien bevestigd.
  • Vertrouw niet op toepassingsnamen en domein-URL's als bron van echtheid. Aanvallers willen namen en domeinen van toepassingen spoofen die ervoor zorgen dat deze afkomstig lijken te zijn van een legitieme service of bedrijf om toestemming te geven voor een schadelijke toepassing. Valideer in plaats daarvan de bron van de domein-URL en gebruik waar mogelijk toepassingen van geverifieerde uitgevers .
  • Blokkeer phishing-e-mailberichten met Microsoft Defender voor Office 365 door te beschermen tegen phishingcampagnes waarbij een aanvaller een bekende gebruiker in de organisatie imiteert.
  • Configureer Microsoft Defender voor Cloud Apps-beleid om abnormale toepassingsactiviteiten in de organisatie te beheren. Bijvoorbeeld activiteitenbeleid, anomaliedetectie en OAuth-app-beleid.
  • Onderzoek en opsporing van phishingaanvallen met toestemming door de richtlijnen voor geavanceerde opsporing met Microsoft 365 Defender te volgen.
• Toegang tot vertrouwde toepassingen toestaan die voldoen aan bepaalde criteria en beveiligen tegen toepassingen die dat niet doen:
  • Configureer instellingen voor gebruikerstoestemming zodat gebruikers alleen toestemming kunnen geven voor toepassingen die aan bepaalde criteria voldoen. Dergelijke toepassingen omvatten toepassingen die zijn ontwikkeld door uw organisatie of van geverifieerde uitgevers en alleen voor machtigingen met een laag risico die u selecteert.
  • Toepassingen gebruiken die door de uitgever zijn geverifieerd. Verificatie van uitgever helpt beheerders en gebruikers inzicht te krijgen in de echtheid van toepassingsontwikkelaars via een door Microsoft ondersteund controleproces. Zelfs als een toepassing wel een geverifieerde uitgever heeft, is het nog steeds belangrijk om de toestemmingsprompt te controleren om de aanvraag te begrijpen en te evalueren. Als u bijvoorbeeld de machtigingen bekijkt die worden aangevraagd om ervoor te zorgen dat deze overeenkomen met het scenario waarin de app ze aanvraagt om in te schakelen, andere app- en uitgevergegevens over de toestemmingsprompt, enzovoort.
  • Maak proactief toepassingsbeheerbeleid om het gedrag van toepassingen van derden op het Microsoft 365-platform te bewaken om veelvoorkomend verdacht toepassingsgedrag aan te pakken.
  • Met Microsoft Security Copilot-kunt u natuurlijke taalprompts gebruiken om inzicht te krijgen in uw Microsoft Entra-gegevens. Dit helpt u bij het identificeren en begrijpen van risico's met betrekking tot toepassingen of workloadidentiteiten. Lees meer over hoe je toepassingsrisico's kunt beoordelen met behulp van Microsoft Security Copilot in Microsoft Entra.

Volgende stappen

• Onderzoek voor toestemming van toepassing
• Toegang tot toepassingen beheren
• Bewerkingen voor gebruikerstoestemming in Microsoft Entra-id beperken
• Onderzoek naar gecompromitteerde en schadelijke toepassingen