Forsvar mot menneskedrevne løsepengeangrep – del 2 av 2
Null tillit (Zero Trust) er en moderne sikkerhetsstrategi med et sett av teknologier og retningslinjer som tolkes ulikt av forskjellige leverandører. For enkelte fortoner den seg mer som en filosofi, en grunnholdning, noe som stadig er i bevegelse. Det gjelder også Microsoft. Samtidig har de utviklet Zero Trust til en helhetlig og sammenhengende modell som innlemmer avanserte funksjoner i Azure AD og en omfattende familie av sikkerhetsprodukter. Null tillit er ment å beskytte hele ditt digitale miljø og kan bidra til å forsvare deg mot de mest sofistikerte angrep.
Første del tok for seg løsepengevirus som tjeneste med en ny type oppdrags- eller delingsøkonomi som har ført til en faretruende økning av trusler, blant dem menneskedrevne utpressingsangrep. Zero Trust ble introdusert som en nødvendig sikkerhetsmodell for å levere effektiv og proaktiv beskyttelse, i sitt vesen et lagdelt dybdeforsvar. Dette ble illustrert med identiteter og enheter. Nå skal denne tilnærmingen anvendes på applikasjoner, nettverk, infrastruktur og data. Endelig er det viktig med overvåking med automatisering og orkestrering.
Identiteter, enheter og tilganger
Mange har det nok fortsatt i bakhodet at vi kan stole på tradisjonell nettverkssikkerhet. Men allerede på slutten av 1990-tallet viste det seg å være utilstrekkelig, med angrep som omgikk brannmurer. Det avstedkom noen år senere Jericho-forumets tanker omkring de-perimeterisering, sikkerhet innenfor og utenfor nettverksperimetere. Går vi enda lengre tilbake i tid, ser vi at problemene egentlig begynte med designet av det opprinnelige militære forskningsnettverket ARPAnet, senere Internett. Det var ikke utformet med tanke på konfidensialitet og integritet, men kun på tilgjengelighet (CIA) – våre tre nøkkelbegreper innen informasjonssikkerhet.
Vi sliter fortsatt med å hindre uvedkommende i å få tilgang til, endre og slette verdifulle data, som er baksiden av CIA-triaden – i vår sammenheng kriminelle som krypterer og henger ut ofrenes data for å drive utpressing. Det vi er ute etter, er en sikkerhetsarkitektur som gir bedre beskyttelse og minker skadeomfanget når vi utsettes for brudd. Det får vi med Zero Trust, som langt på vei gjør privilegerte bedriftsnettverk overflødige. Tilgang bør utelukkende bestemmes av enhets- og brukerlegitimasjon, uavhengig av nettverksplassering. Adgang til bedriftsressurser må være fullstendig autentisert, fullt autorisert og kryptert basert på enhetsstatus og brukerlegitimasjon.
Første del av innlegget viste hvordan Betinget tilgang fungerer som policymotor som styrer adgangen til apper og data. Den treffer og håndhever beslutninger for tilgangs- og kjøretidskontroll basert på virksomhetens policyer. Evalueringene foretas i sanntid. Elementer som inngår, er statiske størrelser som bruker og sted, enhetstilstand, applikasjoner og datasensitivitet. Dynamisk vurderes til enhver tid bruker- og sesjonsrisikoer. Reaktivt blokkeres enheter når de viser tegn til å være infisert av skadevare. Enheter med Windows, macOS og Linux bør trekkes inn i prosessen med å godkjenne brukere og autorisere tilganger. Hjemmemaskiner må avvises før de kommer til inngangsdøren.
For mobilenheter med Android og iOS/iPad stiller det seg imidlertid annerledes. De kan være private, for de kan få en multi-identitet – strengt avgrensede områder med forvaltede apper som aksesserer bedriftsdata, holdt atskilt fra personlige apper for brukernes egne data. Du kan hindre at data lagres eller kopieres på tvers av grensene. Strengt tatt behøver du ikke å innrullere enhetene i Intune; du kan nøye deg med mobil applikasjonsbehandling. Du publiserer apper til brukere, konfigurerer og sikrer dem og holder dem oppdatert. Betinget tilgang knyttes til bedriftsappene. Det er fortsatt et fåtall som støtter funksjonaliteten, men flere av de viktigste, som Edge, Outlook, Office og Acrobat.
Skygge-IT og tilgang til applikasjoner
Skygge-IT – applikasjoner ansatte selv tar i bruk – kan skape sikkerhetsproblemer, men også innovasjon og vekst. Sørg for kontinuerlig oppdagelse og risikovurdering av ikke-autoriserte apper. Skyapper krever detaljerte tilgangskontroller som må være policystyrte. Alle disse funksjonene inngår i Defender for Cloud Apps, en sikkerhetsmegler for trygg skytilgang som gjenkjenner og bekjemper datatrusler på tvers av skytjenester. Den lar deg oppdage og få kontroll over skygge-IT, basert på en vurdering av over 26 000 apper med mer enn 90 risikofaktorer. Apper kan godkjennes og avvises.
Du kan beskytte følsomme data hvor som helst i skyen ved hjelp av retningslinjer og automatiserte prosesser. Du kan avdekke uregelmessig atferd for å identifisere løsepengevirus, utsatte brukere og programmer med for høye privilegier.
Defender for Cloud Apps kontrollerer om skyapper overholder regler og standarder som er gyldige i virksomheten din. Den lar deg administrere tilgangen til ressurser, undersøke sikkerhetsstatusen i organisasjonen, tette igjen hull og gir deg anbefalinger om sikre konfigurasjoner. Sikkerhetsmegleren fungerer som et forstørrelsesglass inn i skymiljøet ditt. Den gir synlighet på flere nivåer, kontroll over datatrafikk og omfattende analyser. Det muliggjør trygt eksternt arbeid med kontroller i sanntid som gir trusselbeskyttelse for alle berørte tilgangspunkter i skyen.
Utfordringen med applikasjoner er ikke bare apper som er i bruk, men også hvordan tilgangen er satt opp. I grafikken er identiteter klargjort fra HR-systemer og miljøet hybrid med brukerkontoer som er synkronisert til Azure AD fra Windows AD. Det sentrale er at du bare bør bruke én enkelt identitet når du kobler sammen brukere og apper for å gi tilgang til ressurser. Det gir forbedret kontroll og synlighet. Angrepsflaten for identiteter blir redusert. Ansatte trenger bare ett sett med legitimasjon.
Microsoft anbefaler at vi går bort fra VPN-løsninger for sluttbrukere. Det er også noe av det første store konserner avvikler på sin Zero Trust-reise. Det er en rekke sikkerhetsutfordringer med VPN. Det benyttes enkelte ganger med kun brukernavn og passord, ellers som regel med bare grunnleggende multifaktor-autentisering (MFA). Det mangler innebygd støtte for eksplisitt å undersøke integriteten til brukere og enheter, kombinert med trusselintelligens, adaptive faresignaler knyttet til pålogginger og endepunktsdeteksjon og respons (EDR). VPN gir som regel full nettverkstilgang hvor som helst på lokalnettet, noe vi ønsker å unngå.
Det første og enkleste trinnet er å konfigurer Azure AD for VPN-autentisering, med all de fordeler det gir med uttrykkelig validering av sterk brukerautentisering og integrering av enhetssignaler fra Intune og Microsoft Defender for Endpoint. Det vil gjøre det betydelig vanskeligere for kriminelle å utføre et angrep. Med integrerte tjenester i Microsoft 365 blir det enklere å overvåke fjerntilgangen.
Neste trinn er å publisere lokale apper til Internett med Azure AD Application Proxy, så de kan nås direkte via nettadresser (URLer) eller i My Apps-portalen. Dette gjør det mulig for brukere enkelt å få tilgang til applikasjonene uten at de behøver være på bedriftsnettet. Det reduserer også skaden en angriper med stjålen brukerlegitimasjon kan påføre virksomheten. VPN og Application Proxy kan operere side om side mot de samme applikasjonene, så du kan få til en smidig rullende overgang.
Nettverkskontroller og segmentering
Fra gammelt av deler vi inn nettverk i internt bedriftsnettverk som vi oppfatter som trygt, en DMZ som er mindre trygg, og Internett som er utrygt. Det er denne modellen vi skal bort fra. Vi må ytterligere inndele nettverkene i soner med segmentering og mikrosegmentering. Det sikrer ressurstilganger bedre, gjør det vanskeligere for angripere å bevege seg sidelengs og begrenser skadeomfanget ved et angrep.
Segmentering med logisk isolerte miljøer er lettere å få til med virtuelle eller programvaredefinerte nettverk, som i Azure. Men sånn får vi sikker tilgang til data. Nettverkskontroller er kritiske for å forbedre synlighet og dempe virkningen av angrep, sammen med trusselbeskyttelse i sanntid, ende-til-ende-kryptering, overvåking og analyser. Foreta logiske inndelinger av nettverkene i distinkte segmenter ned til individuelle nyttelaster. Definer sikkerhetskontroller og lever tjenester for hvert segment. Ovenfor vises komponentene i denne arkitekturen.
En moderne flerlagsapplikasjon i Azure kan illustrere mikrosegmentering. Webservere, forretningslag og SQL-serverne er på egne subnett, atskilt med brannmurer som bare slipper gjennom trafikk på bestemte porter. Det samme gjelder Bastion (VM for administrasjon) og domenekontrollerne. Nettlaget kommuniserer bare med forretningslaget, ikke med SQL Server. Et vitne er nødvendig for SQL Server Always On i tilfellet av failover.
Infrastruktur med avviks- og atferdsanalyse
Infrastruktur omfatter lokale eller skybaserte servere, containere eller mikrotjenester. Alle sammen representerer en kritisk trusselvektor. Vurder versjon, konfigurasjon og akkurat-i-tide-tilgang for å herde forsvaret. Bruk telemetri for å oppdage angrep og uregelmessigheter. Blokker automatisk og flagg risikoatferd. Iverksett beskyttende handlinger.
I Azure har det lenge vært gode verktøy for å overvåke og beskytte ressurser med anbefalinger om beste praksis og vurderinger av samsvarsstatus i lys av offentlige reguleringer og bransjestandarder. Med Defender for Cloud (tidl. Azure Security Center) har Microsoft utvidet funksjonaliteten til å omfatte Amazon Web Services (AWS), Google Cloud Platform (GCP) og lokal infrastruktur. Det er all grunn til å vurdere Azure Hybrid, skytilkoblede datasentre, uten at du flytter servere og tjenester opp i skyen, men holder dem der de er og nyter mange av fordelene med skyteknologi.
I Windows AD-basert infrastruktur trenger du Defender for Identity. Den overvåker og analyserer brukeraktiviteter og informasjon på tvers av infrastrukturen, som tillatelser og gruppemedlemskap. Så oppretter den en grunnlinje for hver brukers atferd og avdekker avvik og uregelmessigheter som kan tyde på at brukeridentiteten er kompromittert. Selv om brukeren en angriper benytter, fremstår som legitim, vil den oppføre seg annerledes. Den vil blant annet foreta rekognosering og forsøke seg på identitetstyveri.
Defender for Identity benytter adaptiv innebygd intelligens som gir deg innsikt i mistenkelige aktiviteter og hendelser og avslører avanserte trusler. Den avdekker stadiene i en cyberdrapskjede, gir deg innsikter i identitetskonfigurasjoner og anbefalte sikkerhetsrutiner. Gjennom rapporter og brukerprofilering reduserer Defender for Identity drastisk organisasjonens angrepsflate.
Databeskyttelse med klassifisering og kryptering
Data er livsnerven for de fleste virksomheter, deres intellektuelle eiendom. Det er data vi til sjuende og sist ønsker å beskytte og håndtere på en forsvarlig måte. Informasjonsmengden organisasjoner skaper og deler med kunder og partnere, vokser eksponentielt. Samtidig er det en stadig økende trussel fra cyberkriminelle miljøer som har til hensikt å enten stjele bedriftskritisk informasjon eller kryptere den og be om løsepenger. Spørsmålene står i kø: Hvor er alle data lagret, hvem har tilgang, og har vi kontroll over hvilke data vi må bevare og hvilke vi er pålagt å slette?
Med Microsoft Purview Information Protection kan du klassifisere, merke og kryptere data, i tillegg til automatisk oppdage. Du begrenser tilgangen basert på sensitive informasjonstyper og andre attributter. Beskyttelsen forblir knyttet til dataenes levetid uansett hvor de lagres. Målet med en Zero Trust-strategi er å gjøre organisasjonen din i stand til å beskytte data i transitt, hvile og i bruk. Dette gjøres ved å identifisere dataene dine på riktig måte, men også ved å sikre at du kan kontrollere og verifisere all tilgang til dem og ha effektiv forebygging av datatap på plass.
Følsomhetsetiketter gir ytterligere datapunkter som kan brukes til å ta sikkerhetsbeslutninger om tilgang til ressurser. Organisasjonen kan automatisk bruke etiketter for å flagge elementer, som eksempel filer og e-postmeldinger med sensitiv informasjon. Sånn kan organisasjonen håndheve Zero Trust-prinsippet bruk minst privilegert tilgang fordi bare autoriserte brukere har tilgang til elementer. Du kan håndheve bekreft eksplisitt-prinsippet fordi etiketter brukes til å bekrefte om brukere har tilgang til elementer.
E-post og proaktiv beskyttelse
E-post inngår forunderlig nok ikke i Microsofts Zero Trust-arkitektur, til tross for at beskyttelsen oppfyller alle kriterier for Ikke stol på noe, alltid verifiser og Anta sikkerhetsbrudd. Uansett utgjør e-post fortsatt hovedangrepsvektoren. Exchange Online Protection sammen med Defender for Office 365 setter opp en massiv mur mot innkommende e-post. Meldinger passerer gjennom mange beskyttelseslag før de ender opp i innboksen. For hvert lag de passerer, blir det færre og færre (ondsinnede) meldinger igjen å behandle.
Overvåking med automatisering og orkestrering
Synlighet, automatisering og orkestrering på tvers av miljøet øker din sikkerhet, gir bedre data for å ta tillitsbeslutninger. Siden hvert av de individuelle områdene genererer sine egne relevante varsler, trenger vi en integrert metode for å håndtere den resulterende tilstrømningen av logger for å forbedre forsvaret mot trusler og validere tilliten til transaksjoner. Microsoft 365 Defender fyller denne funksjonen for Microsoft 365-miljøer. Den samler varsler og organiserer dem til hendelser på tvers av trusselområder som lar deg forfølge en angrepskjede. Den viser også sikkerhetsstatusen for virksomheten og kommer med forslag til forbedring.
Avsluttende ord
Zero Trust er verken et produkt eller en ferdig sikkerhetsmodell. Men grunnprinsippene er klare: Ikke stol på noe, alltid verifiser; bruk minste privilegium; anta sikkerhetsbrudd. Og Microsoft har tuftet hele sitt rammeverk for cybersikkerhet på denne strategien med et imponerende arsenal av sikkerhetsmekanismer og -produkter. Om du tar teknologiene i bruk, står du sterkt rustet til å forebygge og avverge menneskedrevne løsepengeangrep og andre trusler.
Med ett unntak er alle grafikker fra Microsoft, fornorsket i PowerPoint og Visio. Meldingsflyten for innkommende e-post er hentet fra Microsoft 365 Security for IT Pros (2022), som er standardverket for å sikre miljøet.
