door Peter Vos | 8 jul, 2025 | Blog |
Werken kan tegenwoordig overal: op kantoor, thuis, onderweg of zelfs op een zonnig terras. Super flexibel natuurlijk, maar het brengt ook risico’s met zich mee. Want hoe zorg je dat jouw medewerkers veilig kunnen werken, zonder dat ze verzanden in ingewikkelde wachtwoordprocedures, onhandige inlogschermen of beveiligingsregels waar niemand wat van snapt?
In deze blog nemen we je mee in hoe je een digitale werkplek veilig én gebruiksvriendelijk maakt. Inclusief slimme oplossingen die veel organisaties (nog) niet kennen.
Slimme Securitytools: Defender, Device Management & Conditional Access
Een veilige digitale werkplek begint bij goede beveiligingsgereedschappen. Gelukkig biedt Microsoft 365 hier al een schat aan mogelijkheden:
-
Microsoft Defender beschermt tegen virussen, ransomware en andere malware
-
Device Management zorgt dat alleen goedgekeurde apparaten toegang krijgen tot jouw bedrijfsdata
-
Conditional Access (voorwaardelijke toegang) bepaalt wie wanneer en vanaf welke locatie toegang krijgt tot apps en data
Het mooie? Dit kan allemaal volautomatisch geregeld worden. Zit je medewerker op kantoor? Dan kan hij zonder extra checks inloggen. Werkt hij ineens vanaf een onbekend apparaat op vakantie? Dan wordt extra authenticatie vereist. Met een slimme inrichting worden deze securitymaatregelen op de achtergrond geregeld. Gebruikers merken er weinig van, maar de beveiliging staat wél als een huis.
Phishing: De grootste bedreiging blijft de gebruiker (maar er is hoop!)
We kunnen het niet vaak genoeg zeggen: de zwakste schakel in cybersecurity is en blijft de gebruiker zelf. En dan vooral bij phishingaanvallen. Klikt een medewerker per ongeluk op een foute link? Dan kan dat grote gevolgen hebben, van datalekken tot complete bedrijfssabotage. Gelukkig zijn er steeds slimmere oplossingen om medewerkers bewust te maken van online gevaren. Lemontree heeft een AI-gedreven security awareness-training die zich automatisch aanpast aan het niveau en de dagelijkse taken van iedere gebruiker. De training:
-
Simuleert realistische phishingaanvallen
-
Geeft directe feedback en praktische tips
-
Maakt medewerkers steeds bewuster, zonder ze te overspoelen met theorie
Zo wordt securitytraining leuk, effectief en relevant.
Veilig Inloggen Zonder gedoe: SSO, MFA & OneDesk Mobile
Veilig inloggen is essentieel, maar niemand wil de hele dag gehannes met wachtwoorden en verificatiecodes. Gelukkig kan het tegenwoordig stukken slimmer. Met Single Sign-On (SSO) en Multi-Factor Authenticatie (MFA) via OneDesk Mobile loggen medewerkers in met hun Microsoft-account. Op basis van Conditional Access wordt automatisch bepaald welke extra stappen nodig zijn.
Het resultaat:
OneDesk Mobile regelt dit allemaal op de achtergrond. Gebruikers zien alleen de apps en tools die voor hen relevant zijn en kunnen zonder gedoe aan het werk. Alles veilig geregeld.
Veilig printen: Cloud Printing zonder stress
Printen lijkt misschien ouderwets, maar het is nog steeds een risico in veel organisaties. Documenten blijven liggen op printers, en voor je het weet heeft de verkeerde persoon een vertrouwelijk rapport in handen. Daarom hoort veilig printen ook bij een moderne werkplek. OneDesk Mobile integreert met slimme cloud printing-oplossingen:
-
Je printopdracht wordt pas uitgevoerd als je fysiek bij de printer staat
-
Je identificeert jezelf eenvoudig met je telefoon of badge
-
Documenten worden nooit onbeheerd achtergelaten
Dit voorkomt niet alleen datalekken, maar zorgt er ook voor dat printen naadloos past in een moderne digitale werkplek.
Aanvullende Security-eisen voor een Moderne Werkplek
Naast bovenstaande oplossingen zijn er nog enkele essentiële security-eisen voor een veilige werkplek anno nu:
-
Encryptie van data (zowel tijdens opslag als tijdens verzending)
-
Automatische software-updates op alle apparaten en apps
-
Zero Trust-beleid: standaard géén toegang, tenzij expliciet toegestaan
-
Monitoring & logging van verdachte activiteiten (bijvoorbeeld via Microsoft Sentinel)
-
Duidelijke exit procedures voor medewerkers die uit dienst gaan (directe intrekking van toegang)
Met deze maatregelen wordt jouw werkplek niet alleen veilig, maar ook compliant met alle belangrijke wet- en regelgeving, zoals AVG/GDPR en NIS2.
De conclusie: Slim werken is veilig werken
De tijd van ‘veiligheid versus gebruiksgemak’ is voorbij. Met slimme een slimme oplossing als OneDesk en AI-gedreven trainingen kun je veiligheid en gebruiksgemak perfect combineren.
Een veilige werkplek:
-
Beveiligt apparaten en toegang tot data automatisch
-
Helpt medewerkers slim om te gaan met phishing
-
Biedt inloggen zonder gedoe, maar mét controle
-
Maakt printen veilig én praktisch
-
Voldoe je direct aan de strengste security-standaarden
Preview op Deel 3
In deel 3 van deze serie duiken we dieper in:
-
De kracht van een goede bedrijfszoekmachine
-
Slim informatie terugvinden met OneDesk Mobile
-
Persoonlijke dashboards met Power BI-integraties
-
Praktijkvoorbeelden van productiviteitsslagen
Zo ontdek je hoe je écht álle informatie binnen handbereik krijgt en grip houdt op de digitale chaos.
Meer weten over OneDesk Mobile?
Wil je meer weten over OneDesk Mobile kijk dan eens op de OneDesk Mobile pagina of op de pagina met demo’s. Of maak gewoon een afspraak, wel zo leuk en dan laten we je heel graag zien wat je allemaal kunt met OneDesk Mobile.
Ga naar deel 3
door Peter Vos | 14 dec, 2021 | Nieuws |
Onderzoekers hebben aanvallen waargenomen waarbij aanvallers multifactorauthenticatie (MFA) weten te omzeilen door slachtoffers met pushnotificaties te bestoken totdat ze die accepteren, waarna er toegang tot het account wordt verkregen. Dat stelt securitybedrijf Mandiant in een analyse van een aanvalsgroep, die volgens de onderzoekers mogelijk van Russische origine is.
Bij multifactorauthenticatie moet de gebruiker naast een gebruikersnaam en wachtwoord nog één of meerdere andere factoren opgeven om toegang tot zijn account te krijgen. Het kan dan gaan om een code die via sms wordt verkregen, een via een app gegenereerde code of een pushnotificatie die op de telefoon moet worden bevestigd. Zelfs wanneer een aanvaller het wachtwoord van de gebruiker heeft moet hij ook de beschikking over de telefoon hebben om op het account in te kunnen loggen.
Bij de aanvallen die Mandiant waarnam hadden de aanvallers de inloggegevens van hun slachtoffers verkregen. De accounts waren echter door middel van MFA beveiligd. Wanneer de aanvallers probeerden in te loggen op het account kreeg het slachtoffer een pushnotificatie te zien met het verzoek om de inlogpoging goed te keuren. Volgens Mandiant bleven de aanvallers herhaaldelijk inloggen totdat de gebruiker de pushnotificatie accepteerde, waardoor de aanvaller toegang tot het account kreeg.
In de meeste gevallen probeerden de aanvallers, nadat ze toegang hadden gekregen, data te stelen die relevant voor de Russische belangen is, aldus Mandiant. In sommige gevallen werd de data gebruikt om op andere manieren toegang tot de omgeving van het slachtoffer te krijgen. Volgens het securitybedrijf waren de aanvallen tegen bedrijven en overheden wereldwijd gericht, maar verdere details over slachtoffers worden niet gegeven.
bron: security.nl
door Peter Vos | 30 nov, 2021 | Blog |
Wij zijn vanuit beveiligingsperspectief een groot voorstander van het inschakelen van Multi Factor Authenticatie (of afgekort MFA). Wachtwoorden zijn in de praktijk relatief eenvoudig aan te vallen en met MFA is de kans op inbraak met meer dan 99,9 procent verkleind. Voor de gemiddelde lezer niets nieuws onder de zon. Maar wat mogelijk wel nieuw is, is dat verouderde verificatie geblokkeerd moet worden om MFA te activeren. Dit komt omdat verouderde authenticatieprotocollen zoals POP, SMTP, IMAP en MAPI MFA niet kunnen afdwingen, waardoor ze de voorkeursingangen zijn voor kwaadwillenden die uw organisatie aanvallen. Het uitschakelen van verouderde authenticatie voor gebruikers is een must op uw checklist voor identiteitsbeveiliging.
Met ingang van 1 oktober 2022 gaat Microsoft de basisverificatie voor Exchange Online permanent uitschakelen in alle Microsoft 365-tenants, ongeacht het gebruik, behalve voor SMTP-verificatie.
De cijfers over legacy-authenticatie van een analyse van Azure Active Directory (Azure AD)-verkeer zijn grimmig:
- Meer dan 99 procent van de wachtwoordspray-aanvallen maakt gebruik van verouderde authenticatieprotocollen
- Meer dan 97 procent van de aanvallen op het vullen van inloggegevens maakt gebruik van legacy-authenticatie
- Azure AD-accounts in organisaties die legacy-authenticatie-ervaring hebben uitgeschakeld 67 procent minder compromissen dan die waar legacy-authenticatie is ingeschakeld
Stap 1: Inzicht in het gebruik van verouderde authenticatie in uw organisatie
De eerste plaats om te kijken bij het identificeren van het gebruik van verouderde verificatie in uw organisatie is de Azure AD-aanmeldingspagina, die beschikbaar is in de Azure Portal voor alle tenants. De aanmeldingslogboeken bieden een schat aan informatie, waaronder gebruiker, applicatie, client-app, apparaat en user-agent. Door te filteren op client-app kunt u aanmeldingen identificeren door middel van moderne en verouderde verificatie. Client-apps, waaronder browser- of mobiele apps en desktopclients, worden beschouwd als moderne authenticatie, terwijl andere, zoals IMAP, POP en MAPI, worden beschouwd als legacy-authenticatie.
Grotere klanten moeten deze gegevens samenvoegen tot een rapport of de gegevens analyseren met behulp van query’s om patronen van legacy-authenticatiegebruik volledig te begrijpen. Er zijn veel manieren om dit te doen met behulp van Azure Monitor (met Azure AD Workbooks of Log Analytics), Excel, Microsoft Graph API of een SIEM-systeem.
Stap 2: Beleid voor voorwaardelijke toegang maken in alleen-rapportmodus
Zodra u verouderde gebruikspatronen voor verificatie in uw organisatie heeft geïdentificeerd, is het tijd om verouderde verificatie te blokkeren. In de meeste organisaties kunt u legacy-authenticatie niet meteen voor iedereen blokkeren. We raden u aan om te beginnen met het blokkeren van verouderde verificatie voor alleen de groep gebruikers die het niet gebruiken. Naarmate u vooruitgang boekt bij het upgraden naar moderne verificatie en het uitschakelen van verouderde verificatie, kunt u de lijst met gebruikers in de groep uitbreiden.
Stap 3: Verouderde authenticatie in uw organisatie blokkeren
Verouderde verificatie blokkeren met voorwaardelijke toegang van Azure AD
Zodra u uw beleid een paar dagen in de alleen-rapportmodus heeft gecontroleerd en u de impact van het beleid begrijpt, bent u klaar om verouderde authenticatie te blokkeren. De eenvoudigste aanpak is om de status van het beleid te wijzigen van ‘Alleen rapporteren’ in ‘Aan’. Als u de impact van het blokkeren van verouderde verificatie in de alleen-rapportmodus wilt blijven controleren voor gebruikers die nog niet klaar zijn, kunt u een afzonderlijk beleid voor voorwaardelijke toegang maken dat het blokkeren van verouderde verificatie afdwingt voor de gebruikers die u in stap 2 hebt geïdentificeerd .
Blokkeren van legacy authenticatie
Naast voorwaardelijke toegang kunt u ook de verouderde authenticatie aan servicezijde of resourcezijde blokkeren. In Exchange Online kunt u bijvoorbeeld POP3 of IMAP4 uitschakelen voor de gebruiker. Het probleem hiermee is dat u geen protocollen wilt blokkeren die verouderde en moderne authenticatie kunnen uitvoeren (bijv. EWS, MAPI), omdat u ze mogelijk nog steeds nodig hebt. Om hierbij te helpen heeft Exchange Online een functie uitgebracht met de naam authenticatiebeleid, waarmee u legacy-authenticatie per protocol kunt blokkeren voor specifieke gebruikers of voor de hele organisatie. De protocolverbinding wordt geweigerd voordat de referenties worden gecontroleerd op Azure AD of ADFS, dus de handhaving wordt vooraf geverifieerd. Hopelijk heeft deze blogpost je nuttige informatie gegeven die je nodig hebt om aan de slag te gaan met het blokkeren van legacy-authenticatie in je organisatie. Meer informatie hierover kun je vinden op: New tools to block legacy authentication in your organization – Microsoft Tech Community en op: Block legacy authentication – Azure Active Directory | Microsoft Docs
