<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1908464336105901&amp;ev=PageView&amp;noscript=1">

Aktuelle nyheter, tips og triks fra Lillevik IT, Bridge IT Solutions og IMEMO    

Blogginnlegg

Kategorier
Jon Alfred Smith
By
mars 24, 2022

Digital beredskap og Microsoft-teknologier – Del I

Trusselnivået har økt. Små og mellomstore bedrifter (SMB) er like utsatt som større konserner. I SMB henger fruktene lavere; sikkerheten er dårligere. Angrep mot dem kan skyldes rene tilfeldigheter; de står laglig til for hugg. De kan være del av en leverandørkjede og danner bare det innledende målet. I prinsippet bestemmer forretningskravene nødvendige sikkerhetstiltak, basert på en analyse av alle aktiva sammen med en vurdering av risikoer og virksomhetens risikotoleranse.

 

Men det er visse sikkerhetskontroller som alltid må være på plass, helst først som sist. Nasjonal sikkerhetsmyndighet (NSM) har fra før av utarbeidet grunnprinsipper for IKT-sikkerhet; nå har de satt opp en sjekkliste over prioriterte tiltak for en skjerpet sikkerhetssituasjon. Her ser vi på hvordan du kan iverksette dem med Microsoft-teknologier pluss enkelte tredjepartsløsninger. NSMs anbefalinger er sammenfattet og satt i kursiv.

 

Grunnprinsipper for IKT-sikkerhet

Beredskapsplan1

NSMs anbefalte strakstiltak er en undergruppe av grunnprinsippene for IKT-sikkerhet, som fint glir inn i anerkjente rammeverk utviklet av National Institute of Standards and Technology (NIST), Center for Internet Security (CIS) eller Den internasjonale standardiseringsorganisasjon (ISO). Dermed kan man arbeide seg frem til en strukturert og bred tilnærming til informasjonssikkerhet. I tiltakene for skjerpet sikkerhet kan man særlig savne en større vektlegging av dataene som skal beskyttes.

 

Bruken av skytjenester har ført til at vi er gått bort fra infrastruktur-orientert databehandling til å være tjeneste- og data-sentrert. I grunnprinsippene finner det nedslag i 2.5 Kontroller dataflyt og 2.7 Beskytt data i ro og i transitt. Data må sikres i løpet av hele livssyklusen – fra de opprettes, lagres og brukes til de deles, arkiveres og slettes. Med Microsoft Information Protection leverer selskapet omfattende tjenester for å klassifisere, merke og rettighetsstyre dokumenter, e-post og andre data. Her inngår også egress-monitorering (hindring av datatap) og oppbevaringspolicyer, samt rettslig sperre og eDiscovery.

 

Kartlegging av systemer

Du må ha en fullstendig oversikt over alle systemer og programvaren i virksomheten din, som også omfatter oppdateringsstatus. Et nettverkskart skal vise sammenkoblingen mellom segmenter i tillegg til forgreninger mot andre organisasjoner.

 

Større virksomheter har ofte egne systemer for konfigurasjons- og endringshåndtering. Rutinene kan være automatisert med agenter som fanger opp opplysninger. Men du kommer langt på vei ved å opprette et gruppenettsted i SharePoint der du samarbeider med IT-avdelingen om å dokumentere hele IT-miljøet.

 

Beredskapsplan2

En god begynnelse for SMB er å sørge for at alle enheter er registrert i Intune, Microsofts plattform for mobil enhets- og applikasjonsbehandling. De bør være i samsvar med retningslinjer du har satt opp, som OS-versjoner, kryptert lagring, brannmur osv. For mobilenheter ruller du ut klarerte apper og setter dem opp med policyer for appbeskyttelse. Det er bare disse som skal få tilgang til bedriftsressurser.

 

Det gir en full oversikt over mobilapper som benyttes i jobbsammenheng og lar deg fjernslette dem sammen med bedriftsdata ved behov, uten at det går utover privat innhold. Helt samme muligheter har du ikke med datamaskiner. Men du kan i det minste distribuere programvare med Intune og hode den oppdatert. Rapporter viser oppdateringsstatus. Men det kan gjøres enda bedre ved å benytte deg av Defender for Endpoint/Business.

 

Beredskapsplan3

 

Microsoft Defender for Endpoint (MDE) forebygger trusler og sikkerhetsproblemer ved å gjøre deg oppmerksom på sårbarheter og gir veiledning i hvordan du retter dem opp. Her vises programvare som må oppdateres. Du får informasjon om feilkonfigurasjoner og svakheter i oppsettet på enheter, så du får redusert angrepsflaten. Endelig gir MDE et fullt inventar over installerte programmer.

 Beredskapsplan4

Intune håndterer ikke servere. Det enkleste er å innlemme dem i Microsoft Defender for Cloud (MDC), uansett om de kjører lokalt, i Azure, Google Cloud Platform (GCP) eller Amazon Web Services (AWS). Det gir en oversikt over alle servere med råd om oppdateringer og konfigurasjoner basert på beste praksis. (Windows Server 2022 var nettopp installert.) Et alternativ for større organisasjoner er System Center Operations Manager, som også gir synlighet til nettverksenheter.

 

Og så bør du naturligvis dokumentere alle aktiva i SharePoint med utgangspunkt i bunnlinjer. Servere i dag må herdes som om de befant seg i en DMZ vendt mot Internett. Det betyr å fjerne unødvendige kontoer, stenge for overflødige porter, deaktivere tjenester som ikke trengs. Dermed har du satt opp grunnleggende tiltak som gjør det lettere å håndtere sikkerhetshendelser når de inntreffer.

 

Sikkerhetskopier

Sørg for velprøvde rutiner for sikkerhetskopiering og gjenoppretting. Det må jevnlig verifiseres at det er mulig å gjenopprette systemer og datasett. Kopiene bør lagres isolert for å beskytte mot tilsiktet og utilsiktet sletting, manipulering og uthenting.

 

De fleste, om ikke alle, hybride miljøer har en lokal backup-løsning. Skjønt egentlig har man først backup når den er testet ettertrykkelig; det er ikke alltid tilfellet. En annen sak er at kopiene må lagres forsvarlig utenfor huset og være lett tilgjengelige. Vår anbefaling er å se nøye på Azure Backup. Den lar deg sikkerhetskopiere lokale Windows-maskiner direkte til Azure eller via en backup-server som Data Protection Manager (DPM) eller Azure Backup Server (MABS). Lagringsalternativene er robuste og sikre, med lokalt redundant, soneredundant eller georedundant lagring.

 

For data i Microsoft 365 stiller det seg noe annerledes. En rekke erfarne administratorer mener at det strengt tatt ikke er nødvendig å ta backup av dataene her. Microsoft selv lager bare begrensede sikkerhetskopier for SharePoint Online og overhodet ingen for Exchange Online, Teams, Planner, Yammer eller andre applikasjoner. Andre er av den oppfatning at man trenger backup i skyen for å ha en metode for å gjenopprette bruker- og konfigurasjonsdata. Andre grunner er:

  • Behovet for å gå tilbake til et spesifikt tidspunkt i tilfelle en tenant er infisert med løsepengevirus eller påføres andre skader som gjør data utilgjengelige.
  • Regulatoriske regler eller revisjonskrav for å ha flere kopier av viktige bedriftsdata utenfor kontrollen av en enkelt leverandør.
  • Muligheten til å gjenopprette fra administratorfeil. Kategorien inkluderer også handlinger fra personer som forlater selskapet og er ute etter å skade virksomheten.

Vi slutter oss til at det er nødvendig å ta sikkerhetskopier av data i Microsoft 365, selv om det kan få et visst preg av buksesele og belte. Vår anbefaling er SkyKick Cloud Backup. Den tar opptil seks snapshots daglig av dine skylagrede data. Det har lenge vært støtte for Exchange, SharePoint og OneDrive; nå kan Cloud Backup også gjenopprette Teams-kanaler og chatter sammen med Microsoft 365-grupper. Cloud Backup lar deg som kunde hente tilbake slettede data, samtidig med at vi som IT-partner kan utføre operasjonen for deg. Noen av egenskapene er:

  • Lettvint brukergrensesnitt og gjenoppretting med få museklikk
  • Gjenoppretter direkte til postboksene og opprettholder mappestrukturen
  • Gjenoppretter rett til SharePoint og OneDrive uten å overskrive filer
  • Forenklet visning av forskjellige versjoner av samme fil
  • Ubegrenset datakapasitet og oppbevaringstid

Men det skal ikke hindre deg i å vurdere andre løsninger. Bruker du for eksempel Veeam lokalt, bør du også se nærmere på Veeam for Microsoft 365. Årsaken til at diskusjonene rundt backup i Microsoft 365 aldri har tatt slutt, er alle innebygde funksjoner for å beskytte og berge data. Det omfatter muligheten til å gjenopprette hardslettede elementer i Exchange, forskjellige måter å berge dokumenter på i SharePoint (som også omfatter OneDrive), samt oppbevaringspolicyer og rettslig sperre, som hindrer slettede data i å bli borte for godt. Se Microsoft 365 – Sikkerhetskopiere skydata.

 

Sårbarhetsflater

Sørg for å ha kontroll over tjenester som er eksponert mot Internett og patch dem straks det foreligger sikkerhetsoppdateringer. Benytt Allvis NOR eller en annen sårbarhetsskanner. Fas ut eldre utstyr og løsninger som uansett skal avvikles. Begynn med tjenester som ikke har muligheten for multifaktor-autentisering (MFA). Foreta en fornyet gjennomgang av bruk av privat eller annet medbrakt utstyr (BYOD), noe som også gjelder hjemmekontor. Et konkret tiltak for å redusere sårbarheter er å ikke tillate makroer i dokumenter som kommer fra eksterne kilder.

 

Allvis NOR er et godt gratis tilbud for virksomheter som er underlagt sikkerhetsloven, og som eier eller forvalter samfunnsviktig infrastruktur eller tjenester. Tjenesten kjøres av NSM med en automatisert sårbarhetskartlegger. Den får tak i hvilke tjenester som eksponeres mot Internett og foretar en rekke tester. Skanningen gjøres jevnlig og oppdateres på bakgrunn av sårbarheter som NSM er kjent med. Allvis NOR har sin begrensning i at du ikke får skannet systemer i ditt interne nettverk. Det finnes en rekke kommersielle sårbarhetsskannere fra tredjeparter, som beSECURE og GFI Languard og Nessus. En ekte nerd vil velge Nmap, som er gratis og basert på åpen kildekode.

 

Beredskapsplan5

En måte å forlenge livet til foreldede applikasjoner på, er å benytte Azure AD Application Proxy, som sørger for sikker tilgang til interne applikasjoner fra Internett. Det er støtte for:

  • Nettapper som bruker integrert Windows-autentisering
  • Nettapper med hode- eller formbasert autentisering
  • Applikasjoner som publiseres via Remote Desktop Gateway

Brukere logger på via web med samme brukernavn som i Microsoft 365 og kan benytte en HTML-basert klient. Du får integrert engangspålogging (SSO – single sign-on). Alle sikkerhetsmekanismer i Azure AD er tilgjengelige, så som betinget tilgang, passord- og identitetsbeskyttelse pluss overvåking. Du behøver ikke tilpasse applikasjonene. Det er ingen åpne porter ut mot Internett fordi trafikken initialiseres fra innsiden. Løsningen er lett å sette opp, administrere og vedlikeholde.

 

BYOD-kulturen oppsto før bruken av skytjenester for alvor tok av. Søkelyset på sikkerhet var ikke like sterkt som det er i dag. På mobilenheter med iOS/iPadOS og Android kan man lett etablere et skille mellom bedriftsapplikasjoner og personlige apper. Med det følger at data kan holdes separert og selektivt fjernslettes. Om dette settes opp riktig, kan man opprettholde bruken av denne typen personlige enheter på jobben. Men det bør ikke tillates med Windows og macOS. Windows 10 og 11 kommer riktig nok med noe som kalles Windows Information Protection, men det gir ikke samme atskillelse og beskyttelse. På Mac-enheter er funksjonaliteten fraværende.

 

Beredskapsplan6

NSM anbefaler at man sperrer for makroer fra fremmede kilder i Office-programmer. Dette kan gjøres betydelig bedre med Regler for reduksjon av angrepsoverflaten. Det krever ikke Defender for Endpoint, men den har gode rapporteringsfunksjoner. Reglene stenger for smutthull hackere utnytter. De blokkerer blant annet at innhold kan kjøres fra Outlook, hindrer Office-apper i å opprette underordnede prosesser og kjørbare filer. De setter en stopper for at JavaScript eller VBScript kan utføre nedlastet innhold. De eliminerer faren for å kjøre uforståelige (obfuskerte) skript. I alt er det en 15–16 av disse reglene som bidrar til å redusere angrepsflaten.

 

Avsluttende ord

Neste del vil omfatte disse emnene: Gjennomgang av identiteter og tilganger. Det gis anbefalinger om sikkerhetsovervåking med en forsterket monitorering av systemer og nettverk. Bevisstgjøring og opplæring av ansatte er viktig for å styrke sikkerheten og en risikoforståelse. Håndtering av hendelser krever en beredskapsplan. Verditjenester og tjenesteutsetting bør inngå i vurderingen av nødvendige tiltak. Endelig krever den økte bruken av skytjenester skjerpede kontroller og sikkerhetsbarrierer.

 

 

Kontakt oss

 

 

Besøk våre nettsider her:
 
   
New call-to-action
 
New call-to-action
 
New call-to-action
 
 

Abonner på bloggen

Serverfri
New call-to-action
Sikkerhet

Legg igjen en kommentar