CISA ber nå amerikanske virksomheter hardne endpoint-styring etter cyberangrepet mot Stryker 11. mars. Varslet peker spesielt på misbruk av Microsoft Intune-funksjoner som kan gi svært stor effekt dersom angripere får admin-tilgang.
Bakgrunnen er et angrep der aktører skal ha utnyttet en kompromittert administratorkonto og opprettet en ny Global Administrator-konto. Deretter ble Intune sin innebygde wipe-funksjon brukt i stor skala, noe som ifølge flere rapporter rammet titusenvis av enheter.
CISA anbefaler tre umiddelbare grep: minstemulige rettigheter (RBAC), phishing-resistent…
CISA anbefaler tre umiddelbare grep: minstemulige rettigheter (RBAC), phishing-resistent MFA for privilegerte handlinger, og «multi-admin approval» for høy-risikoendringer som wipe, skript og rolleendringer. Dette er i tråd med Microsofts nye Intune-veiledning publisert denne uken.
For norske og europeiske virksomheter er signalet tydelig: endpoint management må behandles som kritisk infrastruktur. Intune, Entra-roller og godkjenning av høy-risikohandlinger bør gjennomgås nå, ikke etter et avvik.
Nyhetsverdien ligger i at en amerikansk myndighet kobler en konkret hendelse til et bredt hardeningskrav, med tiltak som også er direkte relevante for private virksomheter og offentlig sektor utenfor USA.