Logger du deg på i Oslo – og én time senere fra New York? Tar du deg plutselig inn i virksomheten din fra ukjente steder og til andre tider enn vanlig? Skjules påloggingen bak anonyme IP-adresser? Alt dette kan være relativt sikre tegn på at passordet ditt er kommet på avveie og kontoen din er kompromittert. Samtidig er det fryktelig vanskelig å oppdage og gardere seg mot uten skikkelig identitetsbeskyttelse.
Bakgrunnen for identitetsbeskyttelse
De aller fleste data-innbrudd skjer som følge av identitetstyveri. Angriperne skaffer seg tilgang til et miljø ved å stjele brukernes påloggingsinformasjon. Med Azure Active Directory Identity Protection klarer du effektivt å hindre dette. Du kan avdekke mulige sikkerhetsproblemer som påvirker brukeridentitetene. Du kan konfigurere automatiserte svar på mistenkelige handlinger knyttet til kontoene. Du kan undersøke tvilsomme hendelser og sette i verk passende tiltak for å løse dem.
Microsoft har sikret skybaserte identiteter i over et tiår. Nå får du tilgang til samme teknologi for å trygge brukerkontoene i virksomheten din. Løsningen gir deg en høy grad av synlighet, med kontroll over kontoer og pålogginger du neppe har hatt tidligere. Samtidig får du tettet igjen noen av dine mest graverende sikkerhetshull. Krav til lisenser er Azure AD Premium P2, som kan tegnes frittstående; de inngår også i Microsoft 365 E5 og Enterprise Mobility + Security E5.
Hensikten med Azure AD Identity Protection
Azure AD Identity Protection har tre mål: oppdage sårbarheter i brukerkontoer, respondere på mulige sikkerhetsbrudd og undersøke risikohendelser.
- Identitetsbeskyttelsen oppdager utsatte kontoer. Den vurderer faresignaler ved påloggingen, bedømmer risikonivåene for brukerne og kommer med anbefalinger for å bedre sikkerheten.
- En automatisk respons kan kreve at brukere må endre passord eller registrere seg for multifaktor-autentisering. Det kan også føre til at kontoer midlertidig blir stengt.
- Risikable hendelser vurderes i sammenheng med konteksten og undersøkes ved at relevant informasjon trekkes inn.
Risikohendelser
Azure AD Identity Protection opererer med seks typer risikohendelser. Hendelsene kan tyde på at angripere har klart å stjele passord og bruker dem til å bryte seg inn i virksomheten din.
Lekket legitimasjon
Cyber-kriminelle publiserer oversikter over stjålne brukernavn med passord på offentlige og mørke nettsteder eller omsetter dem på svartebørsen. Microsoft har en tjeneste som skanner disse listene og sammenholder opplysningene med gyldig påloggingsinformasjon i Azure Active Directory. Ved en match flagges legitimasjonen som lekket.
Pålogginger fra anonyme IP-adresser
Brukere logger seg på via en anonym proxy-adresse som skjuler enhetenes IP-adresser. Aktiviteten kan være legitim – som ved en VPN-forbindelse – men benyttes ofte av folk ute i ondsinnet ærend.
Umulig reise til atypiske steder
Fysisk er det ikke mulig å logge på i Oslo og ett øyeblikk senere fra Islamabad. For å hindre åpenbare blinde alarmer går systemet gjennom en innledende læringsperiode på 14 dager. Sånn kartlegges VPN og steder som regelmessig benyttes av andre brukere i organisasjonen din.
Pålogging fra infiserte enheter
Hendelsen registrerer pålogginger fra muligens infiserte enheter som er eller har vært i kontakt med ondskapsfulle bot-servere – tjenester som koordinerer automatiserte angrep på datamaskiner i nettverk.
Pålogging fra IP-adresser med mistenkelig aktivitet
Risikohendelsen identifiserer IP-adresser hvorfra det er registrert et høyt antall mislykkede påloggingsforsøk på tvers av flere brukerkontoer over en kort periode. Dette er en sterk indikator på at kontoer enten er eller er i ferd med å bli kompromittert.
Pålogging fra ukjente steder
Azure AD Identity Protection går gjennom en læringstid på 30 dager og kartlegger de stedende du vanligvis logger på fra. Risikohendelsen utløses når påloggingen skjer fra et område som ikke allerede er i listen over kjente steder.
Oppdagelsestyper og ventetid for rapportering
Anonyme IP-adresser og uvanlige steder oppdages i nær sanntid (5–10 minutter). For de andre fire risikohendelsene – lekket legitimasjon, umulig reise, infiserte enheter og suspekte IP-adresser – må det foretas en del bakgrunnsanalyser som gir en tidsforsinkelse på mellom 2 og 4 timer.
Risikonivåer
Risikonivået – høy, middels og lav – må ses i sammenheng med hvor sannsynlig det er at du faktisk har å gjøre med et sikkerhetsbrudd. Så må du naturlig nok vurdere alvorlighetsgraden.
Risikohendelser og klassifisering
Lekket legitimasjon er den eneste risikofaktoren som klassifiseres som høy. Her er det en klar indikasjon på at brukernavn og passord er tilgengelig for en angriper. Et middels eller lavt risikonivå er ikke ensbetydende med faren brukerne dine kan være utsatt for. Her er det all grunn til å undersøke nærmere. Den noe mer forsiktige klassifiseringen bunner i muligheten for falske positiver: Brukere reiser, prøver andre enheter eller benytter et nytt VPN.
Betinget tilgang og identitetsbeskyttelse
Policyer i Azure AD Identity Protection vil overstyre regelsett i Azure AD eller Microsoft Intune. Selv om du logger på med en enhet som er i samsvar med policyene i Intune, kan det kreves at du må benytte multifaktor-autentisering når du oppholder deg på et ukjent sted.
Mot denne bakgrunn er det på tide å se nærmere på hvordan vi i praksis kan få øye på for dårlig konfigurerte brukerkontoer, automatisk svare på mulige faresignaler og analysere risikohendelser.
Aktivere Azure AD Identity Protection
Først må du aktivere Azure AD Identity Protection. Logg på Azure-portalen: https://portal.azure.com. Klikk på Dashboard og Marketplace. Velg Identity og klikk på Azure AD Identity Protection.
Klikk på Create. Du får opp et nytt blad som viser katalogen, her familien Smith. Klikk nok en gang på Create. Velg All services og legg den til på favoritter for senere tilgang.
Oversikt over Azure AD Identity Protection
Oversikten viser at det er fire brukere som er markert som risikable, og det er tre risikohendelser.
- Under General er det også et punkt for Getting started med koblinger til dokumentasjonen.
- Investigate viser detaljer for flaggede brukere, risikohendelser og sårbarheter.
- Configure lar deg registrere brukere for multifaktor-autentisering og konfigurere risikopolicyer for brukere og pålogging.
- I Settings kan du sette opp varsler og et ukentlig sammendrag.
Vi kunne rullet ut MFA herfra, men kombinasjonen av funksjonene i Azure AD og Intune gir oss muligheter til å angi flere betingelser. La oss i stedet konsentrere oss om å sette opp to risikopolicyer. Men først trenger vi en oversikt over brukere som kan være i fare.
Utsatte brukere
Her får vi en oversikt over brukere som er klassifisert som utsatt. Min hustru og jeg har foretatt en pålogging via anonymitetsnettverket Tor (The Onion Router).
For min bruker er det to risikohendelser. Til sammen flagges jeg med en høy risiko.
Risikopolicyer for brukere og pålogging
Azure AD Identity Protection får øye på risikohendelser som tyder på mulige kompromitterte identiteter. Mens risikopolicyer lar deg definerer automatiserte svar på resultatet av funnene:
- Med risikopolicyen for pålogging kan du konfigurere en respons på hendelser i sanntid som ble oppdaget under brukers pålogging.
- Med risikopolicyen for brukere kan du konfigurere en respons på alle aktive brukerrisikoer som er oppdaget for en bruker over tid.
Nå skal vi sette opp en brukerrisiko-policy som krever at brukerne må endre passord ved en risikohendelse klassifisert som middels, og en påloggingsrisiko-policy for hendelser rangert som høy som krever MFA.
Konfigurere en brukerrisiko-policy
Gå ned til User risk policy. Her er allerede to brukere valgt, Julies og min.
Betingelsen er middels og høyere. Det innebærer alle risikohendelser minus infiserte enheter.
Ved én eller flere av disse risikohendelsene har vi fortsatt tilgang, men vi må skifte passord.
Konfigurere en påloggingsrisiko-policy
Her går vi frem på samme måte som ovenfor, med to forandringer. Påloggingsrisikoen er satt til høy (lekket legitimasjon). Tilgangskontrollen krever multifaktor-autentisering.
Brukeropplevelsen
Bruker får beskjed om at kontoen er i fare og må bekrefte identiteten med multifaktor-autentisering. Etter at hun har angitt koden, må hun oppdatere passordet. Dette er en fullstendig automatisert respons som ikke krever en innsats fra administrators side. Uten identitetsbeskyttelsen hadde vi antakelig ikke oppdaget noe som helst og heller ikke foretatt oss noe. Da kunne vi hatt en angriper på innsiden. Selv med bare en vanlig hacket brukerkonto er det relativt enkelt å få tilgang til viktige virksomhetsressurser.
Avslutning og konklusjon
Azure AD Identity Protection er langt mer enn et overvåkings- og rapporteringsverktøy. Det sørger for å beskytte organisasjonen mot konfigurasjonsproblemer, identitetsangrep og kompromitterte kontoer. Du får en konsolidert visning av identitetstrusler og sårbarheter. Du mottar detaljert varsling om nye risikoer knyttet til identitetene. Du kan ta i bruk anbefalte botemidler og automatisere responser basert på påloggings- og brukerrisikopolicyer.
Informasjonsbeskyttelsen bruker såkalte adaptive maskinlæringsalgoritmer og heuristikk til å oppdage mistenkelige handlinger relatert til brukerens identiteter. Her kan Microsoft bygge på et rikt materiale i form av flere milliarder pålogginger i måneden. Egne sikkerhetsteam som har alliert seg med forskere, er involvert. Sammen med myndighetene i USA bekjemper Microsoft aktivt kriminalitet på nettet, noe som gir dem førstehåndskunnskap om metodene som benyttes ved data-innbrudd. Samtidig videreutvikler de kontinuerlig Azure AD Identity Protection. Gjenkjenningen av eksisterende risikohendelser vil få en høyere grad av nøyaktighet, og det legges til nye typer risikohendelser fremover. Et nødvendig sikkerhetsprodukt blir bare enda mer uunnværlig.
To av figurene er i endret form hentet fra Paul Cunninghams Pluralsight-kurs Configuring and Managing Office 365 Security.
Koblinger
Er passordet ditt lett å gjette?
