De Stryker/Handala aanval bewees het: één admin-account in Intune was genoeg om 80.000 apparaten remote te wipen. Geen malware. Geen zero-day. Geen waarschuwing. Weet u of uw configuratie bestand is?
Gebaseerd op CISA Endpoint Management Hardening Alert en CIS Benchmarks voor Intune/Jamf.
Stryker / Handala maart 2026
De EDR detecteerde niets. De SIEM meldde niets. Alle acties verliepen via legitieme Intune API-calls exact zoals een beheerder dat zou doen.
Via phishing of credential stuffing verkreeg Handala toegang tot een account met Intune Global Admin rechten. MFA-bypass via session hijacking.
Credential theftHet account had permanente admin-rechten zonder PIM, zonder second approval, zonder scope-beperking. Geen alerts bij ongewone inlogtijden.
Privilege escalationDuizenden wipe-opdrachten via Intune API. Geen second approval vereist. EDR op de endpoints zag geen malware het waren gewoon beheeracties.
Destructive actionProductiestilstand, handmatig herstel van duizenden apparaten, weken downtime. Geen MDM-specifiek incident response playbook voorhanden.
Total endpoint lossCISA Alert 18 maart 2026: "Organizations should implement multi-administrator approval for destructive MDM actions and restrict global administrator privileges to prevent mass endpoint compromise scenarios."
Secure Score vs. onafhankelijke assessment
Secure Score meet compliance met Microsoft's eigen aanbevelingen. Dat is niet hetzelfde als security.
Wat wij onderzoeken
Ons assessment dekt elk aspect van uw MDM-beveiliging van admin-accounts tot incident response playbooks.
Wie heeft admin- of global admin-rechten in Intune/Jamf? Welke accounts zijn niet-MFA, service accounts of slapend? Permanente vs. JIT-rollen.
Zijn alle platforms afgedekt? Loopholes via legacy auth, onbeheerde devices, gast-accounts? Cross-platform gaps tussen Intune en Jamf?
Zijn noodaccounts beveiligd, gemonitord en getest? Weten de juiste mensen wat het playbook is bij een MDM-outage?
Zijn rollen least-privilege ingericht? Kunnen medewerkers meer dan ze nodig hebben? Delegatie zonder scope-beperkingen?
Vereisen destructieve acties (wipe, retire) een tweede goedkeuring? Is dit geconfigureerd voor alle admin-rollen en scopes?
Worden MDM-audit logs daadwerkelijk geïngested in uw SIEM? Worden bulk-acties gealerteerd? Valt MDM buiten uw standaard monitoring?
Worden non-compliant devices geblokkeerd of alleen geflagged? Zijn grace periods te lang? Hoe worden BYOD-devices behandeld?
Wat is het playbook als Intune gecompromitteerd is? Kunt u een mass-wipe stoppen? Hoe snel kunt u 5.000 endpoints reprovisionen?
Hoe het werkt
Volledig remote, minimale impact op uw team. 3-5 werkdagen afhankelijk van uw omgeving.
Inventarisatie van uw MDM-platforms, omvang, compliance-eisen en specifieke aandachtspunten. Technische onboarding voor remote toegang.
Dag 1Grondige analyse van admin-accounts, RBAC, policies, audit logs en configuratie. Validatie vanuit aanvallersperspectief.
Dag 2-3Bevindingen worden geanalyseerd, geprioriteerd op risico en voorzien van concrete remediatiestappen. Executive summary voor bestuur.
Dag 4Bevindingen gepresenteerd aan uw team. Remediatieplan besproken. Prioriteiten vastgelegd. Uw team weet exact wat er moet gebeuren.
Dag 5Wat u ontvangt
Concrete, direct bruikbare inzichten voor uw security-, IT- en managementteam.
Boardroom-ready overzicht: risicoscore, top-5 bevindingen, en aanbevolen prioriteiten. Bedoeld voor CISO, CTO en bestuur.
Gedetailleerde bevindingen per aandachtsgebied, CVSS-achtige risicobeoordeling per bevinding, en concrete remediatiestappen voor uw IT-team.
Geprioriteerd plan: quick wins (24-48 uur), korte termijn (2-4 weken), en structurele verbeteringen (1-3 maanden). Met tijdsinschatting per stap.
Uw configuratie afgezet tegen CIS Benchmarks voor Intune/Jamf en CISA Endpoint Management Hardening Guidelines. Inclusief compliance-status.
Hands-on sessie met uw security- en IT-team. Bevindingen doornemen, vragen beantwoorden, en remediatie-aanpak bepalen.
Aanbevelingen voor uw incident response playbook specifiek voor MDM-compromis scenario's inclusief mass-wipe containment en recovery procedures.
Hands-on implementatiesessie na de assessment: samen de kritieke bevindingen direct remediëren in uw Intune-omgeving. Inclusief configuratie van Multi Admin Approval, PIM-setup en RBAC-scoping.
NIS2 verplicht organisaties tot passende technische maatregelen voor de beveiliging van netwerk- en informatiesystemen. MDM-platforms beheren uw gehele endpoint-infrastructuur en vallen daarmee direct onder de NIS2-scope. Bestuurders zijn persoonlijk aansprakelijk voor naleving. Een MDM Security Assessment levert het bewijs dat u actief handelt.
Veelgestelde vragen
Een onafhankelijke evaluatie van uw MDM-platform (Intune, Jamf, Workspace ONE) op kwetsbaarheden die aanvallers kunnen misbruiken. Gebaseerd op CIS Benchmarks, CISA-richtlijnen en real-world aanvalspatronen zoals Stryker/Handala.
MDM heeft volledige controle over alle endpoints. Een aanvaller met admin-toegang kan duizenden apparaten wipen via legitieme API-calls die uw EDR niet detecteert. De Stryker-aanval en CISA-alert van maart 2026 bevestigen dit als actieve dreiging.
Secure Score meet compliance met Microsoft's eigen aanbevelingen niet weerstand tegen aanvallen. Het controleert niet of bulk-acties een second approval vereisen, of admins PIM/JIT gebruiken, of uw RBAC correct gescoped is. Dit zijn exact de punten die Stryker blootlegde.
Ja. DEFION's assessment is vendor-neutraal en dekt Intune, Jamf, Workspace ONE en andere platforms. Organisaties met een gemengde Windows/macOS-omgeving hebben vaak gaps op het raakvlak tussen platforms.
Ja. NIS2 vereist passende technische maatregelen voor endpoint-infrastructuur. MDM-platforms vallen direct onder die scope. Onze rapportage is direct bruikbaar als onderbouwing voor NIS2-compliance en bestuurlijke verantwoording.
De investering is €8.000 tot €15.000, afhankelijk van scope en platform-mix. Doorlooptijd is 3-5 werkdagen. Optioneel: Intune Hardening Workshop (+€3.000) voor directe remediatie na de assessment.
Ja, beperkte read-only toegang tot uw MDM-console is vereist voor de assessment. De scope en toegangsrechten worden vooraf schriftelijk vastgelegd. Alles verloopt conform strikte geheimhoudingsprotocollen.
Dat is voor veel organisaties het geval en precies waarom de assessment ook IR-readiness dekt. U ontvangt concrete aanbevelingen voor uw playbook, inclusief containment-procedures voor een mass-wipe scenario.
Ontvang een vrijblijvend voorstel. Wij bespreken uw omgeving, stellen de juiste scope voor en komen terug met een concreet plan.
