Sentinel doet hier niets, het is een Microsoft-verhaal.
De ellende die Microsoft haar gebruikers op de hals gehaald heeft, is goed te zien bij de overgang van pagina 2 naar pagina 3 in een presentatie die Microsoft-medewerkers gaven op verzoek van de IBD, die je vanuit deze pagina:
https://www.informatiebeveiligingsdienst.nl/product/presentatie-2fa-webinar-door-microsoft/ kunt inzien of downloaden.
"Is de cloud wel zo'n goed idee" wilde destijds bijna niemand zich afvragen, en nu "kunnen we niet meer terug". Gelukkig heeft
Microsoft's een "oplossing": haar interpretatie van "Zero trust".
Terug naar de pagina die je noemde, daaruit:
Impersonation Protection can detect Account Takeovers based on many factors, including:
• Suspicious sign-ins
• Suspicious Inbox rules
• Suspicious internal emails
Deze "fuzzy" aanpak is gedoemd te mislukken, omdat (en/en):
• Dit tot false positives leidt (de tekst "false positives" komt letterlijk voor in die pagina): allerlei onzekere aannames kunnen ook tot lock-outs van legitieme accounts leiden:
https://www.theregister.com/2023/03/24/microsoft_geolocation_fail_uzbekistan/;
• Criminelen zich
altijd aanpassen als dat mogelijk is. Dit wordt net zo'n rat-race als met virusscanners: wel de lasten maar niet de lusten (sterker, je ziet dat Microsoft Defender steeds vaker genoemd wordt in publicaties van MS gerelateerd aan authenticatie - nog meer vendor-lock-in);
• De signalen komen
uit het systeem (dat noodzakelijkerwijs generiek is omdat het voor alle MS klanten moet werken) en zijn grotendeels contextloos voor jouw organisatie, of gaan mogelijk vergezeld van enorme bergen onduidelijke logs waar je doorheen moet spitten en conclusies moet trekken (in een web GUI natuurlijk, niks grep - dit is géén uitdagend werk meer, en slimme mensen ga je hier niet meer voor strikken);
• Het is
nooit af en er wordt aan gesleuteld op momenten die jou totaal niet uit kunnen komen. En waarvoor je, als beslisser of een "user" echt is of nep, steeds weer diep in inconsistente en/of achterlopende informatie moet duiken. Microsoft webpagina's veranderen aan de lopende band zonder dat er een historie wordt bijgehouden van wie wat wanneer gewijzigd heeft.
Succes ermee...
Door Anoniem: Telefonische persoonlijke verificatie met een help desk medewerker werkt vaak direct.
Cybercriminelen hebben dat uitstekend in de gaten. Precies daarom zijn SIM-swaps zo eenvoudig. Bovendien zijn telefoon-opnemende medewerkers met verstand van zaken duur: de trend is ZHLZU (Zoek Het Lekker Zelf Uit):
https://learn.microsoft.com/en-us/azure/active-directory/authentication/tutorial-enable-sspr - een natuurlijk niet te misleiden systeem met niet te misleiden gebruikers (die iets niet kunnen en gehaast zijn).
Door Anoniem: Vroeger deed men dat met additionele vragen zoals "Wat is het geboortejaar van uw moeder?".
Dat zal alleen bekend zijn bij degene die de ware identiteit bezit en niet bij de hacker, die zich als zodanig voordoet.
Als er iets eenvoudig te achterhalen is (met een beetje social engineering) is het dat wel. En het is niet "vroeger", als halve zool kun je er nog steeds voor kiezen - uit laatstgenoemde pagina:
You can enable other authentication methods, like Office phone or Security questions, as needed to fit your business requirements.
Details daarover (inclusief vooraf gedefinieerde vragen waar je uit kunt kiezen, naast zelfbedachte vragen zoals "hoe heet onze CEO"):
https://learn.microsoft.com/nl-nl/azure/active-directory/authentication/concept-authentication-security-questions.
Grappig ook uit de Sentinel pagina die je noemde:
Handling a New Account Takeover Alert
[...]
5. When prompted, change the account password. This will keep unauthorized users out of the compromised account.
Huh? Microsoft zet zwaar in op "sterkere" authenticatiemethodes dan (slechts) een wachtwoord, zelfs "passwordless", gebruikt helemaal niemand dat of zo? Wat als een Yubikey met pincode is gestolen, of een private key van een client certificaat?
Als er één partij is die de komende jaren keihard onderuit zou moeten gaan op authenticatie, is het Microsoft. Binnen lokale netwerken hebben zij dit hopeloos verwaarloosd met "Full Trust" protocollen die o.a. "Pass the Hash" mogelijk maken, en andere crap zoals WPAD, LLMNR, NBT-NS, MDNS, zeer veel op het netwerk naar iedereen luisterende services (ook op "workstations" draait by default een "server service") en ga zo maar door. Anders gezegd, een Microsoft LAN lijkt, qua beveiliging, sterk op de CAN-bus in "moderne" auto's:
https://arstechnica.com/information-technology/2023/04/crooks-are-stealing-cars-using-previously-unknown-keyless-can-injection-attacks/.
Op pagina 13 van de presentatie voor IBD liegt Microsoft nog "Multi-factor authentication prevents 99.9% of identity attacks" terwijl verderop staat "
MFA reduces compromise by 99.99%" (het verbetert as we speak). Waarom je al die andere maatregelen dan nog zou moeten nemen, ontgaat me.
En als je dan extra maatregelen neemt, loop je onmiddellijk tegen "beta" meuk aan, of het werkt gewoon niet, uit
https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-system-preferred-multifactor-authentication#known-issue:
Known issue
FIDO2 security keys on mobile devices and registration for certificate-based authentication (CBA) aren't supported due to an issue that might surface when system-preferred MFA is enabled. Until a fix is available, we recommend not using FIDO2 security keys on mobile devices or registering for CBA. To disable system-preferred MFA for these users, you can either add them to an excluded group or remove them from an included group.
Als er
iets een recept is voor phishing, is dat eindgebruikers aanleren dat een webpagina met iets als het volgende volstrekt normaal is: "Op dit moment kunt u niet met een FIDO2 hardware key of een client certificaat inloggen. Gebruik tijdelijk een andere authenticatiemethode, zoals een wachtwoord - eventueel aangevuld met SMS, Voice of een code uit de Microsoft Authenticator app".
Microsoft en haar klanten zakken steeds dieper in een veel te complexe slangenkuil.