Microsoft Teams: zo haal je de teugels aan

Microsoft Teams is met ruim 270 miljoen actieve gebruikers per maand immens populair. Die populariteit maakt het platform ook aantrekkelijk voor cyber-criminelen. Hier kunnen ze veel schade aanrichten en waardevolle gegevens onderscheppen. Hoe zorg je ervoor dat de communicatie met teamleden en de opgeslagen bestanden vertrouwelijk en veilig blijven?

Laten we eerst mogelijke zorgen wegnemen: de beveiliging van Microsoft Teams is van het hoogste niveau. Microsoft deelt zijn producten in in vier compliance categorieën, van A tot en met D. Het populaire communicatie- en samenwerkingsplatform valt in de hoogste categorie, namelijk in categorie D.

Dit betekent dat Teams voldoet aan de internationale beveiligingsstandaarden zoals de ISO 27001. En dat het alle mogelijke beveiligingsopties biedt, zoals het gebruik van multifactorauthenticatie en Single Sign-on. Aanvallers hebben dan naast gebruikersnaam en wachtwoord ook nog een ‘tweede factor’ nodig om binnen te komen. Dat kan een scan van een vingerafdruk zijn of een code die de gebruiker op zijn telefoon ontvangt.

Blijf alert

Microsoft Teams is kortom ontwikkeld om op een veilige, efficiënte en snelle manier gegevens met collega’s te delen. Dat wil niet zeggen dat er helemaal geen risico’s zijn verbonden aan het gebruik. Zo waarschuwden onderzoekers van beveiligingsbedrijf Avanan begin dit jaar nog voor hackers die met gestolen inloggegevens toegang krijgen tot Teams en kwaadaardige bestanden achterlaten in de chat. Het openen van zo’n bestand kan leiden tot een ransomware-uitbraak of andere digitale ongemakken.

In juni 2021 maakte Tenable melding van een kwetsbaarheid in Microsoft Power Apps, een functionaliteit die onder andere aanwezig is in Teams. De zwakke plek in de beveiliging bood aanvallers de gelegenheid om gebruikersaccounts over te nemen. Met de gekaapte accounts konden ze onder andere de chatgeschiedenis en de e-mail van het slachtoffer lezen, namens het slachtoffer berichten versturen of bestanden in de OneDrive-opslagruimte benaderen.

Volgens CyberArk was het ook mogelijk om accounts over te nemen met behulp van een kwaadaardig gifje. Downloaden of delen van het bestand was hiervoor nog niet eens nodig. De onderzoekers noemden dit in een rapport ‘de ergste nachtmerrie vanuit beveiligingsperspectief’.

7 security best practices

In dit laatste voorbeeld had Microsoft het gat al gedicht nog voordat CyberArk met het nieuws naar buiten kwam. Slachtoffers waren er dan ook niet. Maar het geeft wel aan dat het geen overbodige luxe is om extra aandacht te besteden aan de security. Bijvoorbeeld op deze manieren:

1. Schakel MFA in

Het is een van de belangrijkste beveiligingsmaatregelen: het inschakelen van multifactorauthenticatie. Dat maakt het aanvallers echt een stuk lastiger. Die moeten niet alleen de gebruikersnaam en wachtwoord van een slachtoffer zien te achterhalen, maar bijvoorbeeld ook de inlogcode die per sms of app wordt verstuurd. Grote kans dat ze hun pogingen staken en hun heil bij een andere organisatie zoeken.

2. Beperk de toegangsrechten

Zorg ervoor dat digitale inbrekers zo min mogelijk schade kunnen aanrichten, onder andere door de toegang tot data voor gebruikers te beperken. Een aanvaller heeft dan met een gekaapt account toegang tot slechts een beperkte hoeveelheid data, en niet tot alle data die beschikbaar zijn binnen de organisatie. Controleer wel regelmatig of de machtigingen nog actueel zijn, zodat autorisaties niet onnodig open blijven staan.

3. Leg ‘guest access’ aan banden

Het eenvoudig kunnen samenwerken met externen zoals klanten en partners is een belangrijk pluspunt van Teams. De rechten van deze gasten moeten dan wel tot een minimum worden beperkt. Ze moeten (net) genoeg rechten hebben om aan een videovergadering te kunnen deelnemen, maar het is natuurlijk niet de bedoeling dat ze door vertrouwelijke documenten kunnen struinen.

4. Denk na over de structuur

Wat mogen de teameigenaren? Welke apps zijn beschikbaar voor teamleden? En wie kunnen er allemaal teams opzetten? Door het opzetten van teams te beleggen bij een beperkt aantal mensen verklein je de kans op wildgroei en daarmee op ongelukken. Het is belangrijk om hier (samen met Ratho) goed over na te denken.

5. Maak gebruik van ‘sensitivity labels’

Organisaties hebben te maken met verschillende typen data, die soms minder gevoelig zijn en soms juist uiterst gevoelig. Dan is het belangrijk dat organisaties zich er bewust van zijn wat de belangrijkste data zijn, waar deze staan opgeslagen en wie toegang heeft tot deze data.

Ingebouwde Microsoft Information Protection (MIP)-labels helpen bij het classificeren en beschermen van gevoelige Teams-gegevens, zonder dat de gebruikers daar last van hebben. Als je bijvoorbeeld een Teams-groep als 'geheim' labelt, wordt deze automatisch versleuteld. Dat betekent dat mensen buiten de organisatie geen toegang hebben tot dat deel van Teams.

6. Zorg voor betrouwbare back-ups

Microsoft geeft een SLA op de beschikbaarheid van het platform maar niet op de beschikbaarheid van de data binnen het platform. Hier zijn organisaties zelf verantwoordelijk voor. Door zelf back-ups te maken - in de cloud of op een eigen NAS- of SAN-systeem - zorg je ervoor dat gegevens altijd weer zijn te herstellen. Ook na een versleuteling door ransomware.

7. Train de security-awareness

Zoals zo vaak geldt ook bij de beveiliging van Teams dat de gebruiker de zwakste schakel is. Het is uiteindelijk de gebruiker die een kwaadaardig bestand opent, zijn inloggegevens prijsgeeft of bij schermdeling per ongeluk ook gevoelige informatie deelt. Het versterken van de ‘menselijke firewall’ is een belangrijke stap. Train gebruikers hoe ze de functies van Microsoft Teams veilig kunnen gebruiken en hoe ze de risico’s beperken.

Microsoft biedt nog veel meer mogelijkheden om de securityteugels aan te halen, meer dan we hier kunnen bespreken. We helpen je natuurlijk graag bij het veilig inrichten van Microsoft Teams. Je mag mij bellen op 040 2370 426 of een e-mail sturen via cas@ratho.nl.