Høydepunkter fra Microsoft Security User Group Norway
20. april 2022 var det duket for kick-off for Microsoft Security User Group Norway. Lillevik IT var på plass da dørene åpnet 16.30 og ble stengt 20.00 – tre og en halv time med noe av det viktigste vi kan drive med innen IT.
Møtet innfridde alle forventinger, som var godt oppskrudde på forhånd. Temaene var beskyttelse av brukerpålogginger i Azure Active Directory og administrasjon av privilegerte identiteter, samt sikring av nyttelaster på virtuelle maskiner i Azure. Hensikten med brukergruppen er å skape et nettverk, dele kunnskap, lære av hverandre, styrke fellesskapet og ta i bruk teknologier for en sikker og bærekraftig fremtid.
Initiativtakerne har en imponerende faglig tyngde og merittliste. For tiden har gruppen 357 medlemmer. Meld deg på her. Du knytter kontakter med dyktige personer som er ute etter å sikre sine Microsoft-miljøer på en forsvarlig måte. Sikkerhet skal ikke hindre folk i å utføre jobben, men sørge for at de kan arbeide trygt over et fiendtlig åpent Internett.
Personene bak
Sanna Diana Tomren (Cloud Expert i Accenture) er rangert som topp 5 av nasjonale talenter i Cyber Security 2022. Hun er grunnlegger og leder av Microsoft Security User Group Norway. Marius Sandbu (Cloud Evangelist i Sopra Steria) er tildelt den prestisjetunge Microsoft MVP-tittelen innen kategorien Microsoft Azure for 8. gang, som en av få individer i Norge. Linda Andersen – som dessverre ikke var til stede – er Security Talent Community Lead Norway i Avanade. Haflidi Fridthjofsson (Cloud & Infra Security hos Avanade) er teknisk arkitekt og hjelper kunder med å realisere sitt fulle potensial i Azure, sikkerhet og den moderne arbeidsplass. Craig Forshaw er teknisk løsningsarkitekt i Avanade.
Øyeblikksglimt og refleksjoner
Foredragene var for tankemettede og innholdsrike til å gjengi dem ordentlig. Her kommer bare små glimt av høydepunktene og noen tanker rundt dem.
Enkelte av temaene vil følges opp i kommende innlegg.
Utgangspunktet var Microsofts referansearkitektur for sikkerhet – Microsoft Cybersecurity Reference Architecture (MCRA). Den brevskriver og gir diagrammer over Microsofts cybersikkerhetsfunksjoner, som omfatter brukertilgang basert på Null tillit, multisky- og kryssplattform, sikkerhetsoperasjoner og -kontroller, operasjonelle teknologier (OT), samt organisasjonssikkerhet. Her nøyer vi oss med et utsnitt som om angår håndteringen av cyberdrapskjeder, som de fleste vil kjenne seg igjen i.
Her bør man legge merke til hvilken sentral plass Microsoft Sentinel inntar. Sikkerhet før i tiden var å gå gjennom miljøet én gang i året, sjekke konfigurasjoner og skanne for sårbarheter, eventuelt engasjere et Pen-team som gjennomførte kontrollerte angrep. Ansvarsområdet sluttet på et klart definert punkt – der kabelen gikk ut av huset. I dag anbefaler rammeverkene for cybersikkerhet – National Institute of Standards and Technology (NIST), Center for Internet Security (CIS) og Nasjonal sikkerhetsmyndighet (NSM) – kontinuerlig overvåking med logg-aggregering og automatisering.
Sikkerhetsbrudd
Vi fikk høre om voldsomme sikkhetsbrudd hos blant GoDaddy (over en million eksponerte kundekontoer) og Facebook (533 millioner lekkede personlige data). Vi kan plusse på: Stortinget angrepet for annen gang, 30 000 dokumenter på avveie i Østre Toten, Nortura utsatt for angrep som stanser mottak av dyr, Nordic Choice hacket, sentrale systemer hos Amedia satt ut av drift.
Identitetsbeskyttelse med betinget tilgang
Haflidi Fridthjofsson Craig Forshaw tok for seg fire grunnleggende regler du absolutt må aktivere med betinget tilgang: Krev multifaktor-autentisering (MFA) for alle brukere, krev MFA for administratorer, blokker eldre protokoller som ikke støtter moderne godkjenning, og blokker tilgang fra land og regioner hvor du vet at trafikk ikke skal komme fra. De første tre punktene som er markert med stjerne, kan du også sette opp med Sikkerhetsstandarder (Security Defaults).
Agendaen deres var videre og omfattet hvordan man konfigurerer administrasjon av privilegerte identiteter (Privileged Identity Management – PIM) uten å bli forvirret. De delte også erfaringer med leksjoner de hadde lært ved å bruke RBAC versus tilgangspolicyer med Azure Key Vault.
Sikre nyttelaster på virtuelle maskiner i Azure
Agendaen for Marius Sandbu (MVP) var lang, men sammenhengende: Maskinvare og kryptering, RBAC og tilgangsstyring, overvåking og logging, nettverkssikkerhet, administrasjon av konfigurasjoner, antivirus og bekjempelse av skadevare, sikkerhetsoppdateringer, kjøre skript og ekstensjoner, samt Defender for Servers og TVM. Og nok en gang fikk vi en bekreftelse på at det er satt nye sørgelige rekorder i 2021 og 2022. TVM står for Trust and Vulnerability Management – håndtering av trusler og sårbarheter – et vesentlig proaktivt moment i å hindre angrep.
Vi bet oss særlig merke i automatisk administrasjon av virtuelle servere i Azure, som kan utvides til å inkludere lokale maskiner med Azure Arc (innebygd støtte i Windows Server 2022). Her får vi full pakke med oppstarts diagnose, Defender for Cloud (tidl. Security Center), overvåking, patching, automatiseringskonto, sporing av endringer og inventar, konfigurasjonsstyring, logg-analyse og backup. Stort mer kan en infrastruktur-administrator ikke ønske seg.
Gjennomgangen av beskyttelsen mot tjenestenektangrep (DDoS) og Azure Firewall var minst like besettende interessant. Her har vi en tilstandsbevarende brannmur som opererer på lag 4 med hindring og forebygging av inntrenging (IPS/IDS) og TLS-inspeksjon av øst–vest-trafikk. I tillegg er det støtte for trussel-intelligens, som muligens burde kalles trussel-etterretning.
Fremtidig innhold
Vi fikk også et innblikk i temaene som vil bli dekket i de kommende brukergruppene - det er mye å glede seg til!
Identity in hybrid cloud environment innebærer brukerkontoer som er synkronisert fra Windows Active Directory (AD) til Azure AD. Det kan settes opp på tre ulike måter med Azure AD Connect.
Den anbefalte måten er synkronisering med passord-hash, som ikke lagrer passordet hos Microsoft, men en kryptert hash. Det legges til en til en salt-verdi (vilkårlig tall) som hashes ytterligere tusen ganger før det sendes til skyen. Gjennomgangsautentisering sender godkjenningsforespørselen videre til domenekontrollere, som foretar autentiseringen. Synkronisering med føderering støtter smartkort, sertifikater og tredjeparts MFA, men føderering i seg selv bør settes opp i Azure AD.
SIEM & SOAR kan ikke være annet enn Microsoft Sentinel, som også støtter UEBA, men kan omfatte Microsoft 365 Defender, som har en del av funksjonaliteten for rene skymiljøer.
Sentinel er Microsofts skyopprinnelige SIEM- og SOAR-løsning og representer en game changer. Den sørger for overvåking, deteksjon og varslinger av hendelser, sammen med en omfattende og sentralisert oversikt over sikkerheten i din IT-infrastruktur. Med SOAR får du sikkerhetsorkestrering, automatisering og respons. UEBA oppdager avvik i brukeratferd og pålogginger. Man trenger ingen krystallkule for å fastslå at Sentinel kommer til å oppleve en eksplosiv vekt i tiden fremover.
Secure IaC står for sikker infrastruktur som kode, også kjent som programvaredefinert infrastruktur. Med IaC konfigurerer og ruller du ut infrastrukturkomponenter raskere og mer konsistent. Det gjør det også mulig med repeterbare distribusjoner på tvers av miljøer. Utfordringen består i å ivareta sikkerheten i hele livssyklusen for utviklingen og deployeringen.
Network Security kan være mye og omfatte segmentering og mikrosegmentering med policyer og sikkerhetskontroller. Ansatsen må bli Null tillit (Zero Trust). Isolering og inneslutting (containment) av ressurser demmer opp for og begrenser virkningen av et angrep – en fremgangsmåte vi kjenner godt fra smittevern.
Container Security angår sikkerheten når du går over til å ta i bruk container-instanser og Kubernetes i Azure. Ved å benytte Azure Container Instances (ACI), kan du fokusere på å designe og bygge apper i stedet for å administrere infrastrukturen som kjører dem. Her er det en rekke utfordringer knyttet til sikkerhet, men også funksjoner som hypervisorisolasjon for å sikre at containere kjører isolert uten å dele en operativsystemkjerne.
EDR er Endepunktsdeteksjon og -respons. Den overvåker atferd og angrepsteknikker for å oppdage og svare på avanserte angrep og synlighet i hele sikkerhetsbruddet. Tidligere var aktører ute etter å se hva de kunne få til, hvor langt virus kunne spre seg, og hva de klarte ødelegge.
Dagens angripere er mer sofistikerte og har ofte spesifikke økonomiske og strategiske mål. De har langt flere ressurser, ettersom de kan være finansiert av nasjonalstater eller organisert kriminalitet. Antivirusløsninger som ser etter signaturer, gir ikke samme beskyttelse som før. Profesjonelle cyberkriminelle har for lengst utviklet metoder som trenger gjennom et signaturbasert forsvar. EDR, som inngår i Defender for Endpoint Plan 2 og Defender for Business, klarer å hamle opp med mye av dette.
Neste generasjons beskyttelse (Microsoft Defender AV t.v.) opererer på klienten med definisjoner, heuristikk, emulering og maskinlæring (ML). Klientsiden samarbeider med skyen. Mistenkelige filer analyseres basert på metadata, filklassifisering, omdømme og smarte regler. Et detonasjonskammer kan undersøke atferden til en fil i et beskyttet virtualisert miljø.
Endepunktsdeteksjon og-respons (t.h.) jobber også på klienten med overvåking av atferd og nettverk pluss skanning av minnet. Her er det atferdsbaserte maskinlæringsmoduler i skyen. AMSI-paret maskinlæring bruker klient- og skymodeller som er innlemmet i Antimalware Scan Interface (AMSI) for å utføre avanserte analyser av skriptatferd før og etter utføring for å fange opp avanserte trusler som filløse angrep og minne-angrep. Dette er en gjennomgang vi virkelig ser frem til.
Avsluttende ord
Målet med dette innlegget var å gi små glimt av høydepunktene fra foredragene, som var fullt på høyde med noe av det beste på Microsoft Ignite, samt inspirere til å arbeide med Microsoft-teknologier på en systematisk måte og praktisere det som på engelsk omtales som due diligence og due care med tanke på sikkerhet.
