<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1908464336105901&amp;ev=PageView&amp;noscript=1">
Blogg med aktuelle nyheter, tips og triks

Blogginnlegg

Kategorier
Jon Alfred Smith
By
februar 11, 2021

Microsoft 365 – Corona og cyberforsvar

Det er noen slående likhetstrekk mellom måten vi bekjemper dagens pandemi på, og hvordan vi forsvarer oss mot angrep på nettet. Et umiddelbart berøringspunkt er datavirus, som ikke oppfører seg veldig forskjellig fra virkelige virus. Det er et stykke ondartet kode som infiserer programmer og filer og har evnen til å replikere, mutere og gjøre seg usynlig. Virusbeskyttelse er imidlertid bare ett moment i en overordnet strategi for å sikre brukere, enheter og data med Microsoft 365. Målet er å bygge opp et lagdelt dybdeforsvar som klarer å absorbere sofistikerte cyberangrep. Her kan den medisinske modellen for pandemibekjempelse muligens bidra til å kaste lys over utfordringene. Den består av fire faser: forebygging, kontroll, skadebegrensning og gjenoppretting.

 

 

Last ned e-bok: Slik får du et effektivt og sikkert hjemmekontor

Første fase – Forebygging

Corona1

Så lenge et utbrudd nesten utelukkende forekommer utenfor eget nasjonalt territorium, kan vi forsøke å hindre viruset i å komme inn i landet ved forebygging. Egnede tiltak inkluderer feber-screening av innreisende ved grensen, intervjuer og gransking av mistenkelige tilfeller. Det kan kreves at det forelegges en negativ test på infeksjonen. Som skarpeste reaksjon sperrer vi grenser, avviser folk eller setter dem i karantene om de kommer fra utbruddsområder for corona.

 

Nettverks- og e-postbeskyttelse

Et motstykke innen IT er tradisjonell nettverksbeskyttelse, med brannmurer og systemer for å oppdage og avverge innbrudd. En annen parallell er innkommende e-post, som er en opplagt smittekilde, den mest utbredte metoden for å innlede angrep. Exchange Online Protection filtrerer alle meldinger for organisasjonene i Microsoft 365 med tre antivirus-motorer. For å gjenkjenne virus trenger vi virussignaturer. Det tar tid fra et virus dukker opp til det er sekvensert eller gen-kartlagt.

 

 

Corona2

I tomrommet som oppstår, har vi det å gjøre med ukjent skadelig programvare, såkalte nulldagers trusler. Her får vi hjelp av Microsoft Defender for Office 365 (tidl. Office 365 ATP), som utvider den innebygde virusbeskyttelsen i Exchange. Beskyttelse mot phishing bruker avanserte modeller for maskinlæring til å oppdage forsøk på nettfisking fra tilsynelatende legitime avsendere. Klarerte vedlegg undersøker vedleggene som har klart seg gjennom viruskontrollen, i en virtuell maskin og fanger opp de fleste forekomstene av ukjent skadevare. Klarerte koblinger hindrer deg i å følge skadelige koblinger i det øyeblikket du klikker på dem – de kan være uskyldige idet du mottar dem.

 

Identitetsbeskyttelse

Corona3

 

 

Azure Active Directory (AD) har en rekke mekanismer for identitetsbeskyttelse, som betinget tilgang, selvbetjent tilbakestilling av passord og totrinnsverifisering (MFA). Azure AD Identity Protection bidrar med å begrense adgangen til Microsoft 365-organisjonen fra utbruddsområder. Som en mulig risiko flagger den pålogging fra enheter som har vært i kontakt med ondskapsfulle bot-servere – tjenester som koordinerer automatiserte angrep på datamaskiner i nettverk.

 

Beskyttelsen identifiserer IP-adresser der det er registrert et høyt antall mislykkede påloggingsforsøk på tvers av flere brukerkontoer over en kort periode. Suspekt er det dessuten om du kommer fra anonyme adresser eller oppholder deg på uvanlige steder. Hendelsene kan føre til automatiske responser: Blokker eller Tillat tilgang og krev valgfritt enten en passordendring eller MFA.

 

Endepunktsbeskyttelse

Corona4

 

 

Microsoft Defender for Endpoint er langt mer enn en vanlig antivirusløsning og oppdager blant annet om noen bruker hacker-verktøy som Mikatz og Mimikatz. Du kan kombinere MDE med betinget tilgang og Microsoft Intune og blokkere tilgangen til organisasjonen din inntil skadevaren er fjernet.

 

Annen fase – Kontroll

Hvis det etter forebygging forekommer smitte i landet som ikke er direkte relatert til innreise fra et kjent episenter – såkalte autoktone infeksjoner – har kontrollfasen begynt. Målet er da å identifisere smittekjeder så tidlig som mulig, isolere syke og sette kontaktpersoner i karantene. Fremgangsmåten går under betegnelsen TISK: testing, isolering, smittesporing og karantene. Til å begynne med var de færreste land godt nok forberedt og hadde for dårlig kapasitet. Det gjorde at vi måtte navigere på sikt i tetteste tåke i stedet for å bruke radar.

 

Microsoft Defender for Identity

Corona5

 

 

Internt i et Windows-nettverk trenger vi også synlighet. Microsoft Defender for Identity (tidl. Azure ATP) gir oss denne funksjonen. Tjenesten lærer seg atferden til hver enkelt bruker – hvilke enheter de logger på fra, nå de gjør det, og hvilke ressurser de skaffer seg tilgang til – og markerer avvik. Defender for Identity gjenkjenner også atferd som kjennetegner drapskjeden i et cyberangrep, som omfatter rekognosering, sidelengs bevegelse i lokalnettet og herredømmet over domenet.

 

 

Corona6

 

Her har hackere klart å bryte seg inn og lyktes med å gjette passord ved rå kraft. Uten egnede verktøy ser vi ikke sånne angrep. Så forsøker angriperne å eskalere privilegiene sine for til slutt å få rettigheter som domeneadministrator. Da oppretter de bakdører, kobler seg opp mot kontroll- og kommando-servere og henter ut data eller driver med andre former for ødeleggende virksomhet.

 

Tredje fase – Skadebegrensning

Om vi ikke lykkes med forebygging eller kontroll, når vi et vippepunkt. Med covid-19 anslås det til å være en dobling av registrerte tilfeller på to til tre dager, samt et høyt antall nye tilfeller som ikke er relatert til import eller kjente infeksjonskjeder. Omfattende tiltak hindrer viruset i å bevege seg fritt ved å begrense vår bevegelsesfrihet. Risikogrupper må beskyttes og helsetjenester ikke bryte sammen. Målet er å arbeide seg tilbake til fase to. Erfaringen så langt tilsier at det er mulig å drive effektivt smittevern i et relativt åpent samfunn med dynamisk tilpassede virkemidler.

 

Zero Trust – Ingen klarering

Corona7

 

 

Analogien mellom en corona-infisert verden og vår digitale virkelighet gir seg selv. Cyberangrep har for lengst antatt pandemiske dimensjoner på et fiendtlig Internett. For både å forebygge og begrense skader trenger virksomheter en ny sikkerhetsmodell som effektivt tilpasser seg kompleksiteten i vårt moderne miljø. Den må sikre mobilt arbeid og hjemmekontor. Den må beskytte mennesker, enheter, applikasjoner og data uansett hvor de befinner seg. Dette er kjernen i Zero Trust.

 

I stedet for å tro at alt bak bedriftens brannmur er trygt, antar Zero Trust-modellen sikkerhetsbrudd og opererer med prinsippet om minste privilegium. Den verifiserer hver forespørsel som om den stammer fra et ikke-klarert nettverk. Grunnprinsippet er: «Aldri stol på noe, alltid verifiser.» Det krever i praksis at brukere alltid logger på med MFA fra klarerte endepunkter og benytter klarerte apper for datatilgang. Nettverkssikkerhet definerer ikke lenger beskyttelsen for en virksomhet. Det er identiteten som er det nye sikkerhetsperimetret.

 

Data bør klassifiseres, merkes og krypteres basert på følsomhet. De må være trygge når de forlater enheter, applikasjoner, infrastruktur og nettverk som organisasjonen kontrollerer. Infrastruktur, enten lokalt eller skybasert, representerer en trusselvektor. Du må klare å oppdage angrep og avvik, ha verktøy på plass som flagger og automatisk blokkerer risikabel atferd og setter i verk beskyttende mottiltak. Nettverk skal være delt inn i områder og innbefatte dyp mikrosegmentering, med gjensidig autentisering mellom maskiner og ende-til-ende-kryptering. Overvåking og analyse er sentralt.

 

Identitet som sikkerhetsperimeter

 

Corona8

 

 

Perimetret er sikkerhetsgrensen som beskytter organisasjonens digitale eiendeler. En identitet er noen eller noe som kan verifiseres og godkjennes for det den utgir seg for. Det kan være brukere, programmer, enheter eller andre ting. De inngår i en identitetsinfrastruktur, som gir en omfattende og robust løsning for identitets- og tilgangsstyring og består av fire grunnfunksjoner.

 

Med Administrasjon oppretter, oppdaterer og sletter du identiteter. Autentisering (AuthN) angir hvor mye et IT-system må vite om en identitet for å ha nok bevis på at de er den de sier de er. Autorisasjon (AuthZ) behandler innkommende identitetsdata for å bestemme tilgangsnivået en autentisert person eller tjeneste skal ha i appen eller tjenesten den vil ha tilgang til. Revisjon sporer hvem som gjør hva – når, hvor og hvordan. Det inkluderer rapportering og varsling.

 

Fjerntilgang som tjeneste

Corona9

Med Azure AD Application Proxy kan du publisere interne webbaserte apper og applikasjoner med Remote Desktop Services til Internett. Du slipper VPN og får et sentralt administrasjonspunkt for brukertilgang med alle sikkerhetsmekanismer i Azure AD, så som identitetsbeskyttelse, betinget tilgang og MFA. Beskyttelsen forflyttes fra nettverksperimeter til en mer moderne identitetsdreven tilnærming. Løsningen krever ikke at du åpner porter for innkommende trafikk i brannmuren. Du unngår at potensielt infiserte eller kompromitterte enheter kommer inn i nettverket ditt.

 

Fjerde fase – Gjenoppretting

Så snart en vaksine er tilgjengelig, endres tiltakene fundamentalt en gang til. I gjenopprettingsfasen er hovedfokus rettet mot å vaksinere befolkningen så raskt og fullt som mulig, der medisinsk personale og risikogrupper har førsteprioritet. Samtidig vil det komme bedre medisiner.

Herde endepunkter

Corona10

 

En vaksine i egentlig forstand for endepunkter finnes neppe. Men det er mye vi kan gjøre for å styrke immunforsvaret. Trussel- og sårbarhetsadministrasjon i Defender for Endpoint identifiserer og vurderer svakheter på enheter, som kan utbedres med Intune. Angrepsflatereduksjon begrenser angrepsflaten på samme måte som sosial avstand, håndhygiene og masker. Behandling gis ved hjelp av Endepunktsdeteksjon og -respons, som overvåker atferd og angrepsteknikker for å oppdage og svare på avanserte angrep. Medisinen er Automatisert undersøkelse og utbedring, som automatisk analyserer varsler og garderer deg mot komplekse trusler på få minutter. Ved sykehusinnleggelse på intensivavdeling (katastrofalt angrep) kan du trekke inn Microsofts trussel-eksperter.

 

Verdens helseorganisasjon og Microsofts intelligente sikkerhetsgraf

Corona11Bilde fra Microsoft

 

Verdens helseorganisasjon (WHO) koordinerer innsatsen mot videre spredning av corona med råd og bistand. Samme rolle får Microsoft Intelligent Security Graph (ISG) for selskapets tre skyplattformer. WHO har samlet noen av verdens fremste eksperter på smittevern, Microsoft på sikkerhet. ISG gir unike innsikter, støttet av milliarder av signaler som analyseres ved hjelp av maskinlæring. Denne trusselintelligensen spiller en sentral rolle i alle tjenester som inngår i Microsoft 365 Defender. Som kunde får du innsyn i hvor i verden utbrudd foregår, hvor alvorlige de er, og hva du bør gjøre.

 

Omtalte produkter og lisenser

Utgangspunktet vårt er Microsoft 365 Business Premium, som kommer med en full lisens på Azure AD P1. Det gir betinget tilgang, selvbetjent tilbakestilling av passord og MFA. Defender for Office 365 følger med. Samme gjør Intune – Microsofts plattform for mobil enhets- og applikasjonsbehandling – Azure AD Application Proxy og Azure Information Protection Premium P1 for klassifisering og kryptering av dokumenter og e-post. Azure AD Identity Protection krever en tilleggslisens på Azure AD P2. Abonnementet på Defender for Identity må tegens separat og er et uunnværlig produkt for hver virksomhet med et lokalt Windows-domene. Defender for Endpoint fås også som tillegg til Microsoft 365 Business Premium.

 

Konklusjon

 

Corona12

 

Microsoft Defender for Endpoint er et så komplekst produkt at det enkelte ganger forklares med hvordan man sikrer en bygning mot industrispionasje: inngangssluser, begrensede adgangskort, kameraer, automatisert ansiktsgjenkjenning, vakter som går omkring, og eksperter som analyserer besøkslogger. I samme ånd har vi våget å vise til medisinske paralleller. Sikkerheten i Microsoft 365 er et minst like komplisert kapittel, samtidig som du knapt legger merke til at mekanismene er i bruk. Den omfatter beskyttelse av identiteter, endepunkter, skyapper og data. Utfordringen er å sette bitene på plass. Det kan forhåpentlig gjøres klarere ved å relatere dem til noe vi kjenner. Her legges lag på lag til dét vi var ute etter: et lagdelt dybdeforsvar mot cyberangrep.

 

Det innledende bildet er hentet fra Det medisinske fakultet ved Universitetet i Bergen.

Besøk vår hjemmeside

Abonner på bloggen

Serverfri
New call-to-action
Sikkerhet

Legg igjen en kommentar