<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1908464336105901&amp;ev=PageView&amp;noscript=1">

Aktuelle nyheter, tips og triks fra Lillevik IT, Bridge IT Solutions og IMEMO    

Blogginnlegg

Kategorier
Jon Alfred Smith
By
mars 31, 2022

Digital beredskap og Microsoft-teknologier – Del II

Første del tok for seg grunnleggende prinsipper for IKT-sikkerhet basert på råd fra Nasjonal sikkerhetsmyndighet (NSM). Det er viktig å kartlegge alle systemer, inkludert status for oppdateringer, sammen med nettverkskart og forgreninger til andre. Du bør ha testede og veldokumenterte rutiner for sikkerhetskopiering og gjenoppretting. Endelig er det et sentralt moment i forebyggende sikkerhet å redusere angrepsflaten.

 

Her går vi videre med en gjennomgang av identiteter og tilganger. Det gis anbefalinger om kontinuerlig overvåking av hele infrastrukturen. Ansatte må læres opp og få en bevissthet om sikkerhet. Håndtering av hendelser krever en beredskapsplan. Verditjenester og driftsutsetting bør inngå i vurderingen av tiltak. Økt bruk av skytjenester krever skjerpede kontroller og sikkerhetsbarrierer. NSMs anbefalinger er i kursiv.

 

Identiteter og tilganger

Brukere og tilganger må gjennomgås med jevne mellomrom. Fjern tillatelser for ansatte som ikke trenger dem lenger, og sørg for at ingen har adgang til flere tjenester enn nødvendig. Krev sterke passord og overfør dem kryptert. Bruk multifaktor-autentisering (MFA) der det er mulig. Pålogging via web-grensesnitt må skje via HTTPS.

 

db1

Azure Active Directory – neste generasjons katalogtjeneste for bruker- og tilgangsstyring – kommer i fire versjoner. Premium P1 lar deg rulle ut og kreve MFA ved hjelp av betinget tilgang, med utgangspunkt i statiske forhold som gruppetilhørighet, enheter og sted. Premium P2 tar dette et skritt videre ved å analysere dynamiske, adaptive betingelser som risikoer knyttet til brukere og pålogginger.

 

db2

 

Forutsetninger som styrer tilganger, er bruker og sted, enhet, applikasjon og sanntidsrisiko. Signalene evalueres samlet og bestemmer om adgang til ressurser skal tillates eller avslås. Eventuelt er det krav om MFA. Om Defender for Endpoint/Business oppdager at enheten er under angrep, vil det inngå i vurderingen for Windows, Android, iOS/iPadOS, men ikke for macOS ennå.

 

I dag anses det ikke som god praksis lenger å droppe MFA på interne bedriftsnettverk. I stedet forlenger man tidsintervallet for hvor lenge pålogginger med MFA huskes på klarerte enheter. Med Premium P2 anbefaler Microsoft at verdien settes til minst 90 dager. Det gir en best mulig brukeropplevelse. Ved faresignaler overstyres innstillingene. Da kan brukere bli bedt om å oppgi MFA eller om å tilbakestille passord.

 

db3

 

Jo lengre en ansatt har jobbet i en virksomhet, desto flere tilganger har vedkommende. Det er et kjent forhold og betegnes som authorization creep; tidligere godkjente tillatelser kryper og sniker seg sammen med brukere når de flyttes til andre avdelinger med nye roller og funksjoner. Det gjør denne type «standardbruker» til et utsatt mål for angripere, ettersom bruker i kraft av gruppemedlemskap kan ha uoverskuelige privilegerte rettigheter. Med ett blir angrepsradiusen mye større.

 

Azure Active Directory (AD) Premium P2 leverer omfattende verktøy for identitetsstyring (Identity Governance). De lar deg administrere gruppemedlemskap via selvbetjening eller administratorkontroll. Du kan foreta manuelle eller automatiserte gjennomganger av hvem som har behov for å være medlem. Tilgangsgjennomganger omfatter også adgang til apper og privilegerte rolletildelinger. Rapporter kan flagge mistenkelig aktivitet knyttet til Azure AD- eller Azure-ressursroller.

 

På den måten kan du enkelt rydde opp i grupper og unødige tilganger. Du får lettere øye på avanserte persistente trusler, inntrengere som beveger seg lavt og langsomt i nettverket ditt. NSM krever at passord må overføres kryptert, noe som eliminerer SMS – en metode som benyttes i mange virksomheter for å sende brukerlegitimasjon. Dessuten skal all tilgang til web bruke HTTPS, en selvfølge i Microsoft-skyen.

 

Sesjonsnøkler kan være et problem. Hvor lenge skal de være gyldige for autentiserte brukere? I Azure AD har et tilgangs-token en levetid på én time, med et oppfrisknings-token på åtte timer. Enkelte ganger er det nødvendig å stanse adgangen øyeblikkelig. En løsning er å aktivere Continuous Access Evaluation, som lar deg sperre en bruker i løpet av få minutter. For tiden fungerer det bare med et begrenset antall programmer, som Office og OneDrive, ikke med nettappene.

Sikkerhetsovervåking

Etabler forsterket overvåking av systemer og nettverk. Logg innkommende og utgående trafikk og videresend loggene til en sentralisert løsning. Utvid lagringstiden.

 

Eldre paradigmer for sikkerhet krevde ikke mer enn en periodisk vurdering av risikoer. Den kunne anse et IT-miljø for å være beskyttet om gjennomgangen var vellykket og det ikke ble gjort vesentlige funn. Bransjestandarden i dag anbefaler kontinuerlig overvåking. Dette er nedfelt i NIST Risk Management Framework (RMF), ISO 27000-serien av IT-standarder for sikkerhet og CIS – tidligere SANS Topp 20 veiledning for sikkerhetskontroller.

 

Vi elsker å sette opp logging for brannmurer, rutere og servere. I Microsoft 365 og Azure er det et vell av aktivitets- og revisjonslogger. Men vi tar oss sjelden tid til å gå dem igjennom. Det krever kunnskap og øvelse for å oppdage avvik og mulige trussel-indikatorer. Det vi trenger, er logg-aggregering kombinert med maskinlæring og grafisk visualisering. Mens trusselintelligens, basert på feeder fra Microsoft og tredjeparter, plasserer løse indikasjoner i en forståelig sammenheng. Først er vi ukjent med at vi er rammet av noe ukjent, så blir vi kjent med at noe ukjent pågår. Målet er å bli kjent med noe kjent.

 

db4

Microsoft 365 Defender gir en enkel glassrute inn i skymiljøet. Vi får en sikkerhetsvurdering med input fra identiteter, enheter og apper. Andre ruter viser om enheter er utsatt for skadevare eller er i samsvar. Trusler kan kreve handlinger, og OAuth-apper kan ha for høye tillatelsesnivåer. Blar vi oss lengre ned, ser vi om enkelte enheter eller brukere er i fare, og om det er noen aktive tilfeller som krever nærmere etterforskning.

 

Microsoft 365 Defender omfatter fire sikkerhetsprodukter: Defender for Office 365 (sikring av samarbeidsplattformen), Defender for Identity (hybrid identitetsbeskyttelse), Defender for Endpoint (beskyttelse av endepunkter) og Defender for Cloud Apps (trygg skytilgang og skygge-IT). Alle disse produktene sender varsler til sikkerhetsportalen som sammenfattes til hendelser. Enkelte av dem utbedres automatisert; andre må håndteres manuelt.

 

Vi kan drive med proaktiv og reaktiv jakt på tvers av sikkerhetsområdene, få øye på svakheter i konfigurasjoner og hvordan et angrep er i ferd med å utvikle seg. Vi kan legge til egendefinerte regler for å oppdage trusler. Mens Trusselanalyser viser en prioritert liste over angrep med løsepengevirus og phishing, samt utnyttelse av sårbarheter. Loggene har med ett fått mening, er plassert i en kontekst og sørger for effektiv sikkerhetsovervåking.

 

Men Microsoft 365 Defender har en alvorlig begrensning. Den gir bare et vindu inn i skymiljøet for Microsoft 365. I hybride konfigurasjoner trenger vi en enkel oversikt over hele IT-infrastrukturen, med servere og containere i Azure, vårt virtuelle VMware-miljø lokalt sammen med applikasjoner og nettverksutstyr. Det får vi med Microsoft Sentinel, som for øyeblikket har over 120 forhåndsdefinerte koblinger.

 

db5

 

Sentinel er en SIEM-løsning som sørger for overvåking, deteksjon og varslinger av hendelser, sammen med en omfattende og sentralisert oversikt over sikkerheten i din IT-infrastruktur. Den orkestrerer og automatiserer responser på sikkerhetshendelser. I tillegg flagger den aktiviteter som inngår i en cyberangrepskjede. Denne type programvare får stadig større utbredelse i hybride miljøer.

 

Opplæring og bevisstgjøring

Gjennomfør tiltak rettet mot medarbeidere for å styrke sikkerhetskulturen og en risikoforståelse. Det garderer mot nettfiske og andre former for sosial manipulasjon. Opplæringen bør understøttes av tekniske løsninger som filtre for søppelpost. Dette gjelder for e-post, tjenester for videomøter, digitale samarbeidsplattformer og sosiale medier.

 

db6

NSM har allerede vært inne på det. Trafikkdødeligheten har sunket drastisk. Det skyldes bedre veier, sikrere biler, men fremfor alt skjerpede krav til å ta lappen. Det svakeste ledd i IT-sikkerhet er ikke sluttbrukeren, men manglende systematisk opplæring i sikkerhet. Exchange Online Protection (EOP) Plan 2 kommer med Opplæring i angrepssimulering for å trene brukere i å forholde seg til forskjellige typer phishing-angrep.

 

EOP beskyter mot kjente virus, det meste av søppelpost og generelle former for nettfiske. Med Defender for Office 365 utvides beskyttelsen til å omfatte hele samarbeidsplattformen. Samtidig får du vern mot farlige koblinger, ukjent skadevare og avanserte phishing-angrep. Om et infisert vedlegg slipper igjennom, kan det oppdages av Defender for Endpoint eller Defender for Identity. Microsoft 365 Defender fungerer som et lagdelt dybdeforsvar.

 

Håndtering av hendelser

Utarbeid en beredskapsplan i tilfelle av et sikkerhetsbrudd. Planen bør være gjennomprøvd og til enhver tid oppdatert. Den må inneholde lister over kontaktpunkter blant relevant personell og mulige tjenestetilbydere innen hendelseshåndtering.

 

db7

Rammeverket for cybersikkerhet utformet av NIST, US National Institute of Standards and Technology, er inndelt i fem kategorier. Identifiser svarer til NSMs krav om å kartlegge alle systemer. Beskytt hindrer en risiko eller trussel i å materialisere. Dette er den proaktive siden. Oppdag angår alt du ikke kan blokkere; jo raskere det skjer, desto mindre er sjansen for at risikoen blir et problem og kan gjøre mer skade. Responder er siste forsvarslinje.

 

Responsstrategien bør bestå av tekniske løsninger og dokumenterte prosedyrer som effektivt begrenser eller slår ned på en trussel i miljøet ditt. Responsen kan gi utslag for betinget tilgang, tilgangskontrollen i Azure AD. Gjenopprett omfatter rutiner for å sikre forretningskontinuitet etter et alvorlig sikkerhetsbrudd. Alle disse tre reaktive aktivitetene bør testes, innøves og være del av en beredskapsplan.

 

Verditjenester og tjenesteutsetting

Leverandørkjeder representerer sårbarhetsflater og bør inngå i vurderingen av nødvendige tiltak for å øke beredskapen. Etabler en oversikt over dine leverandører av systemer, komponenter og tjenester, så du kartlegger avhengigheter og sikrer kontinuitet. Avhengig av løsninger virksomheten har valgt, gjelder tilsvarende beskyttelsestiltak for tjenesteutsetting.

 

Leverandørkjeder utgjør en trussel i den forstand at angripere kan være ute etter svakeste ledd og så arbeide seg oppover for å nå sitt endelige mål. Derfor er det viktig at det stilles krav til sikkerheten hos underleverandører og partnere, noe som bør dokumenteres ved at de benytter seg av anerkjente rammeverk for cybersikkerhet. Lillevik IT, Bridge IT og IMEMO har fått felles eier. Når de slås sammen til ett selskap, skal det bli ISO-sertifisert.

 

Forsterket beskyttelse av skytjenester

Skjerp tilgangskontrollene for skytjenester og sett opp sikkerhetsbarrierer siden de befinner seg utenfor virksomhetens infrastruktur.

 

Cybersikkerhet hviler på tre grunnprinsipper Confidentiality, Integrity og Availability (CIA) – konfidensialitet, integritet og tilgjengelighet. Det kjenner vi fra gamle dager, enkelte ganger omtalt som avsløring, modifikasjon og ødeleggelse av informasjon – den motsatte siden av triaden, dét vi ønsker å unngå. Nytt er den delte ansvarsmodellen mellom leverandør og kunde. Microsofts oppgave er å sikre skyen, mens vi sørger for sikkerhet i skyen. Slagordet i dag lyder: Nettverksperimetersikkerhet er avleggs, det nye kontrollplanet er identiteten.

 

Fullt så enkelt er det ikke, men det inneholder et grann av sannhet. Vi kan ikke lenger anta at vårt lokalnett med virksomhetens infrastruktur er klarert og gir nødvendig beskyttelse. Vi bør i flere henseender behandle alle aktiva der som om de befant seg på et åpent, fiendtlig Internett. Angrep foregår i stadig høyere grad internt med utgangspunkt i kompromitterte brukere. Det gjør at vi må sikre brukeridentitetene bedre.

Azure Active Directory (AD) gir oss passordbeskyttelse, MFA eller passordløs autentisering, selvbetjent tilbakestilling av passord og beskyttelse mot sårbare kontoer og risikofylte pålogginger. Med det følger omfattende logging og varsling. Tilgangskontroller kan settes opp på en finkornet måte og sikre at brukere får adgang til bare det de trenger. Det er fristende å snu på flisa. Små og mellomstore bedrifter (SMB) får ofte en bedre sikkerhet i skyen enn i lokal infrastruktur; dermed må sikkerhetsbarrierene der styrkes.

 

Avsluttende ord

Analyseselskapet Gartner vil ha det til at 99 prosent av alle sikkerhetsbrudd skal kunne tilskrives menneskelige feil i løpet av 2025. Men før det vil folk flest slite med å få ordentlig sikkerhet på plass i deres skymiljøer. Teknologiene er der og under kontinuerlig utvikling. Ta kontakt med din IT-partner – in casu Lillevik IT, Bridge IT Solutions eller IMEMO – som kan hjelpe deg med å sette opp nødvendige kontroller. Til sjuende og sist koker dette ned til lisensutgifter og omkostninger for konsulentbistand. Et angrep med påfølgende innbrudd kommer betydelig dyrere.

 

New call-to-action

 

 

 

Besøk våre nettsider her:
 
   
New call-to-action
 
New call-to-action
 
New call-to-action
 
 

Abonner på bloggen

Serverfri
New call-to-action
Sikkerhet

Legg igjen en kommentar