Microsoft: in 7 stappen naar een geslaagde MFA-implementatie
Multifactorauthenticatie (MFA) is één van de krachtigste middelen voor het verbeteren van de security. Het succes is echter sterk afhankelijk van het implementatietraject. Microsoft schetst in 7 stappen de road to success.
1. Overtuig medewerkers van het nut en de noodzaak
MFA verandert onvermijdelijk de manier waarop medewerkers hun dagelijkse werkzaamheden uitvoeren. Draagvlak is dan ook belangrijk voor een succesvolle uitrol. Benader de transitie naar MFA dan ook als een marketingcampagne. Overtuig medewerkers van het nut en zorg voor voldoende training. Dit voorkomt dat zij MFA gaan zien als een verplichte maatregel zonder toegevoegde waarde.
2. Start met de admin-accounts
Admin-accounts hebben de meest verregaande rechten op het netwerk. Een hack van die accounts kan dan ook de meeste schade aanrichten. Het is dan ook verstandig op zijn minst deze accounts met MFA te beschermen en hier de implementatie te starten. Dit is ook een goed moment om van alle accounts te bekijken welke rechten ze hebben en of die wel noodzakelijk zijn.
Inventariseer ook welke medewerkers veel gevoelige informatie verwerken. Vaak zijn dat C-level managers als CEO’s en CFO’s. Ook voor hen heeft MFA prioriteit. Gebruik de ervaringen uit deze pilotgroepen in de bredere uitrol.
3. Plan voor een bredere implementatie
Inventariseer de systemen en applicaties waar gebruikers op inloggen en waarbij MFA-beveiliging mogelijk is. Die kunnen naast in de cloud ook on-premises staan.
Zoek ook uit bij welke systemen een MFA-implementatie meer werk vereist. Het gaat daarbij bijvoorbeeld om systemen die SAML-authenticatie gebruiken. Zeker kwetsbare toepassingen die geen enkele andere authenticatie kennen dan wachtwoorden verdienen speciale aandacht. Denk aan oudere line-of-business-applicaties, maar bijvoorbeeld ook e-mailsystemen als MAPI, POP, SMTP, EWS, SMTP of IMAP4. Update, of beter: upgrade deze waar mogelijk. Gaat dat niet, overweeg dan het gebruik van deze oplossingen enkel toe te staan vanuit het bedrijfsnetwerk.
4. Doe testruns met applicaties
Maak testaccounts zonder adminrechten aan in met MFA beveiligde applicaties en test de gebruikerservaring, zelfs wanneer de verwachte impact minimaal is. Ga ook na of het registreren bij de MFA-oplossing zelf vlekkeloos verloopt.
Het is mogelijk een MFA-registratie te combineren met een self-service wachtwoordreset (SSPR) in een ‘onestopshop’. Het is wel belangrijk om gebruikers snel te laten registreren zodat aanvallers hen niet voor zijn en zogenaamd MFA-bescherming claimen op een gekaapt account. Zeker als het gaat om applicaties die ze vaak gebruiken. Voor nieuwe medewerkers moet MFA-registratie onderdeel zijn van het onboardingproces.
5. Maak MFA zo gebruiksvriendelijk mogelijk
MFA vereist altijd een extra handeling, maar er zijn diverse mogelijkheden die de gebruikerservaring zo soepel mogelijk maken. Denk aan het gebruik van biometrische opties of FIDO2-compliant tokens. Ook smartphone-gebaseerde oplossingen zoals de Microsoft Authenticator-app zijn goede oplossingen. Medewerkers krijgen daarbij bij iedere inlogpoging een code gepusht naar een speciale app op hun smartphone. Zijn medewerkers regelmatig op plekken zonder internetverbinding, dan zijn de lokaal gegenereerde OATH-verificatiecodes een goede keuze.
6. Zorg voor een supportplan
Besteed ook aandacht aan de afwikkeling van mislukte inlogpogingen en geblokkeerde accounts. Zelfs getrainde, legitieme gebruikers kunnen problemen ervaren met inloggen. U moet het hen gemakkelijk maken om hulp in te schakelen.
Zorg ook voor duidelijke procedures bij zoekgeraakte MFA-devices. Medewerkers moeten een verloren apparaat eenvoudig en zonder schaamte kunnen melden, zodat het device zo snel mogelijk geblokkeerd en het account gemonitord kan worden. Tip: MFA-devices met biometrische mogelijkheden zoals een vingerafdrukscanner zijn duurder in aanschaf, maar in verkeerde handen onbruikbaar. Het is verstandig reserveapparaten voor handen te hebben zodat een medewerker in het geval van diefstal of verlies toch gewoon zijn of haar werk kan doen.
Tip: overweeg ook om MFA-devices met biometrische mogelijkheden zoals een vingerafdrukscanner aan te schaffen. Die zijn duurder, maar in verkeerde handen onbruikbaar.
7. Meten is weten
Tijdens het implementatieproces is het verstandig de impact op de productiviteit en veiligheid te monitoren. Op die manier kunt u policy’s tijdig bijstellen of bijvoorbeeld investeren in betere hardware, mocht dat de bottleneck blijken.
Meetgegevens als mislukte inlogpogingen, geblokkeerde phishingaanvallen en privilege-escalaties zijn belangrijke indicatoren. Controleer ook helpdesktickets, loggegevens en auditopties om te zien of gebruikers er langer over doen om in de systemen te komen. Wellicht stellen ze belangrijke taken uit omdat ze MFA als obstakel ervaren, of zijn de prestaties van MFA-devices ondermaats.
MFA is geen knop die u even snel indrukt; het past binnen een werkwijze waarbij u de beveiliging continu beoordeelt en verbetert. Maar als u het op de juiste manier benadert, is het ook de meest effectieve stap die u kunt nemen om de beveiliging te verbeteren.