Styrk sikkerheten med Microsoft Secure Score

Microsoft Sikkerhetsvurdering – også kjent som Microsoft Secure Score – er kommet i en ny og kraftig oppdatert versjon. Den henvender seg ikke lenger bare til spesialister, men gir en enkel oversikt over hvor robust virksomhetens sikkerhetsstatus er, og hvor den kan styrkes. Fra et sentralisert dashbord kan du overvåke og forbedre sikkerheten for Microsoft 365-identiteter, data, applikasjoner, enheter og infrastruktur. Varslene inkluderer anbefalinger fra Azure AD, Intune, Cloud App Security, Azure Security Center og Microsoft Defender ATP. Tjenestene i skyen står aldri stille. Det neste produktet som skal innlemmes, er Azure ATP. Og i tiden fremover vil vi se andre utvidelser. Men allerede nå er det et effektivt verktøy for å herde sikkerheten.

Oversikt over Microsoft Sikkerhetsvurdering

Du finner Microsoft Sikkerhetsvurdering i sikkerhetssenteret for Microsoft 365, det nye stedet for å overvåke og administrere sikkerhet på tvers av skytjenester og lokal infrastruktur. Du kan gå direkte dit ved å følge koblingen https://security.microsoft.com/securescore. Vurderingen angir hvor godt du har sikret virksomheten din. En høyre poengsum viser at du har utført flere forbedringshandlinger. Ved å følge anbefalingene kan du ytterligere beskytte organisasjonen mot trusler. Verktøyet hjelper deg på disse måtene:

• Rapporter om organisasjonens nåværende sikkerhetsstatus.
• Forbedrer sikkerhetsstatusen gjennom synlighet, åpenhet, veiledning og kontroll.
• Aktiverer sammenlikninger med benchmarks og oppretter KPIer (Key Performance Indicators).

Du får tilgang til pålitelige visualiseringer av beregninger og trender, integrasjoner med andre Microsoft-produkter, en sammenlikning med tilsvarende organisasjoner og mye mer. Oversiktssiden gir et helhetsbilde. Vurderingen vises i prosent og oppnådde poeng. Verktøyet er fortsatt noe røft i kantene. Sånn har nedbrytningspunktene etter kategori ennå ingen data å vise på skjermbildet. Handlingene som skal gjennomgås, er inndelt i Regresjon, Til-adresse, Planlagt, Risiko er godtatt, Nylig lag til og Nylig oppdatert.

Regresjon viser en tilbakegang av status i løpet av de siste 90 dagene. Til-adresse er en noe uheldig oversettelse av To address, som i denne sammenheng betyr ‘ta fatt på, ordne opp i, gripe fatt i, gi seg i kast med, fikse’. Det er særlig dette vi skal se på i det følgende. Men la oss ta en kort omvei med hvordan utviklerne selv innledet da de presenterte Microsoft Sikkerhetsvurdering på Ignite 2019.

Behovet for en sikkerhetsvurdering

Stort vanskeligere er det ikke å gardere seg mot hovedtyngden av sikkerhetsbrudd. Dette er basert på en rapport fra Internet Society (2017), moderselskapet til Internet Engineering Task Force (IETF).

Og dette er forklaringen på hvorfor det er så vanskelig å administrere sikkerheten i en organisasjon. Det er fryktelig mye å holde styr på, med en rekke forskjellige verktøy. Det er her Microsoft Sikkerhetsvurdering kommer inn og gir en oversikt på et samlet panel med analyser og intelligente forslag til forbedring, basert på maskinlæring.

Implementerte sikkerhetstiltak

Det skal vises hvordan vi forbedrer beskyttelsen av en virksomhet. Men la oss for demonstrasjonens skyld først kaste et blikk på hvilke tiltak som allerede er satt opp i vår lille leier (tenant), hva slags uttelling de gir, og hvilke kategorier og produkter de tilhører. Det gir deg en idé om hva du kan foreta deg. Organisasjonen benytter Microsoft 365 Business Premium. Sikkerhetsvurderingen tar stor sett hensyn til lisensene du har. Et Microsoft 365 E5-abonnement hadde i tillegg gitt signaler fra Azure AD Premium P2 og Microsoft Defender ATP. I alt listes det opp 17 punkter. De øverste fire er ikke konfigurert og gjennomgås nedenfor. Tabellen viser rangeringene fra 5–17, som gir en sikkerhetsvurdering på 87,14 prosent med 61 av 70 oppnådde poeng.

Rang

Forbedringshandling

Innvirkning

Kategori

Produkt

5

Krev MFA for administrative roller

+14,29%

Identitet

Azure AD

6

Ikke sett utløpstid for passord

+11,43%

Identitet

Azure AD

7

Aktiver policy for å blokkere eldre autentisering

+10%

Identitet

Azure AD

8

Slå på policy for påloggingsrisiko

+10%

Identitet

Azure AD

9

Slå på policy for brukerrisiko

+10%

Identitet

Azure AD

10

Angi automatiserte varsler for nye OAuth-apper koblet til bedriftens miljø

+5,71%

Apper

MCAS

11

Bruk Cloud App Security for å oppdage unormal atferd

+4,29%

Apper

MCAS

12

Angi automatiserte varslinger for nye og trendende sky-apper i organisasjonen

+4,29%

Apper

MCAS

13

Lag en tilpasset aktivitetspolicy for å oppdage mistenkelige bruksmønstre

+2,86%

Apper

MCAS

14

Oppdag trender i bruk av skygge-IT-applikasjoner

+1,43%

Apper

MCAS

15

Opprett mer enn én global administrator

+1,43%

Identitet

Azure AD

16

Bruk begrensede administrative roller

+1,43%

Identitet

Azure AD

17

Fjern TLS 1.0 / 1.1 og 3DES-avhengigheter

+1,43%

Apper

Exchange

Forklaringer

MFA står for multifaktor-autentisering eller godkjenning med flere faktorer. Azure AD er Azure Active Directory, Microsofts skybaserte tjeneste for identitets- og tilgangsstyring. MCAS er Microsoft Cloud App Security, som blant annet lar deg oppdage skygge-IT (brukere som uten tillatelse tar i bruk sky-applikasjoner). Med tillatelsesprinsipper for apper kan du oppdage om åpen autorisasjon (OAuth) utnyttes i organisasjonen din. Transport Layer Security (TLS) 1.0 er en kryptografisk protokoll som i dag anses for å være usikker. Trippel DES (Triple Data Encryption Algorithm) har veket plassen for Advanced Encryption Standard (AES). Både 3DES og AES benyttes til å kryptere informasjon.

Omfattende research er kommet frem til at passord blir mindre sikre når de må endres med jevne mellomrom. Brukere har en tendens til å velge et svakere passord og varierer det litt for hver tilbakestilling. Hvis en bruker oppretter et sterkt passord (langt, sammensatt og uten gjengse ord) forblir det sterkt. Det er Microsofts offisielle sikkerhetsposisjon å ikke operere med passord som utløper periodisk. For å sikre identiteter anbefaler Microsoft at brukere benytter MFA og biometrisk pålogging. Anbefalt er Microsoft Godkjenner (Authenticator) og Windows Hello kombinert med en PIN-kode.

Sikkerhetstiltak som skal settes i verk

Sikkerhetsvurdering trekker frem fire punkter som fortsatt ikke er implementert. Så går vi gjennom én av dem i detalj –MFA, som reduserer faren for identitetstyveri med 99,9 prosent.

Rang

Forbedringshandling

Innvirkning

Kategori

Produkt

1

Ikke la brukere gi samtykke til ikke-administrerte applikasjoner

+5,71%

Identitet

Azure AD

2

Sørg for at alle brukere kan fullføre MFA for sikker tilgang

+12,86%

Identitet

Azure AD

3

Aktiver selvbetjent tilbakestilling av passord

+1,43%

Identitet

Azure AD

4

Slå på kundens lockbox-funksjon

+1,43%

Apper

Exchange

Forbedringshandlinger

Sånn ser det ut i Microsoft Sikkerhetsvurdering. Her ser vi at vi ikke kan slå på kundens lockbox-funksjon. Det krever Microsoft 365 E5-lisenser og skulle egentlig ikke ha dukket opp. Enkelte ganger må Microsoft inn i kundens data. Det kan foregå via en personlig lockbox, der en operatør får tidsbegrenset og loggført tilgang.

Fullføre MFA for sikker tilgang

Her har vi klikket på Ensure all users can complete multi-factor authentication for secure access (Sørg for at alle brukere kan fullføre MFA for sikker tilgang). Siden er inndelt i fire seksjoner.

• Øverst beskrives risikoen og hva du bør foreta deg for å utbedre denne svakheten. Her er det enkelte som allerede er satt opp med MFA. Du ser de oppnådde poengene, i dette tilfellet 6 av 9. Du kan klikke på loggen for å få frem en historikk over alle endringer i poengsummen for denne anbefalingen.
• Handlingsplanen lar deg angi hvordan du ønsker å håndtere forbedringshandlingen. Alternativene er fullført, til-adresse, planlagt, risiko er godtatt, løst gjennom tredjepart og løst gjennom alternativ reduksjon. Enkelte ganger kan det være smart å skrive notater.
• Her gis en oversikt, hvilken brukerinnvirkning forslaget har, og berørte brukere eller enheter.
• Siste ledd er implementering. Du får opplysninger om forutsetningene som er til stede og forslag til neste trinn for å rette på sikkerhetsbristen. Enten inngår det en henvisning til en bruksanvisning på en annen nettside, eller så får du en trinnvis beskrivelse.

Konfigurere MFA

Først får du vite (1): Multifaktor-autentisering (MFA) beskytter enheter og data som er tilgjengelige for disse brukerne. Å legge til flere autentiseringsmetoder – som Microsoft Authenticator-appen eller et telefonnummer – øker beskyttelsesnivået hvis en faktor er kompromittert. Handlingsplanen (2) burde være grei. Brukerinnvirkningen (3) sier: Når du registrerer og utfordrer brukerne dine for MFA, blir de bedt om å autentisere med en annen faktor for å få tilgang til en applikasjon eller annen ressurs. Berørte brukere er alle i Microsoft 365-organisasjonen.

Implementering (4) avklarer forutsetningene, her Azure AD Premium P1. Neste trinn kommer med forslag til fremgangsmåter. Standard-implementeringen går ut på: Hvis organisasjonen ikke har komplekse sikkerhetskrav, kan du aktivere sikkerhetsstandarder (security defaults) for å blokkere eldre godkjenning og kreve registrering og aktivering av MFA for alle brukere.

Sikkerhetsstandarder er en relativt ny funksjon i Microsoft 365 som erstatter de fire grunnlinje-policyene: (1) Krev MFA for administratorer, (2) blokker eldre autentisering, (3) beskyttelse av sluttbrukere og (4) krev MFA for tjenesteadministrasjon i Azure. Disse policyene for betinget tilgang er ikke anbefalt lenger.

Tilpasset implementering viser disse trinnene som bør utføres på siden for Conditional Access:

• Velg + Ny policy
• Skyapper > Alle skyapper (og ekskluder ikke noen apper)
• Betingelser > Klientapper > Konfigurer (Ja)
• Tillat > Krev multifaktorautentisering (og ingenting annet)
• Velg bare følgende: Nettleser, mobilapper og stasjonære klienter, moderne godkjenningsklienter, Exchange ActiveSync-klienter, andre klienter
• Aktiver policy > På
• Opprett

Det gis også opplysninger for virksomheter med Azure AD Premium P2: Du kan konfigurere en registreringspolicy for Azure MFA for å hjelpe deg med å administrere utrullingen av MFA i miljøet ditt. Konfigurer MFA-policyen i Azure-portalen ved å gå til MFA-registreringssiden. For å ta hensyn til kontoer som er satt opp for beredskap – uten MFA, så du ikke låser deg ute –anbefales det at du setter statusen din til «Risiko akseptert». Vær oppmerksom på at det kan ta minst ett døgn til ny status er oppdatert, ofte enda lengre tid.

Avsluttende ord

Eksemplet med MFA burde med all tydelighet vise at en innleid spesialist på område ikke kunne sagt det bedre. Men i enkelte tilfeller har intelligente innsikter og forslag basert på maskinlæring mer for seg. Microsoft Sikkerhetsvurdering inntar en så sentral plass i Microsoft 365 at det er rimelig å anta at tjenesten fremover vil gjennomgå en rivende utvikling. Ennå er den oversiktlig og lett å ta i bruk. Etter hvert som signaler fra flere produkter integreres, kan det være vanskeligere å komme i gang.

Derfor er det en god idé å kaste seg over verktøyet med det samme. Det styrker allerede nå sikkerheten i betydelig grad og vil avverge de mest alminnelige cybertruslene. Akkurat idet bloggen var ferdigskrevet, kom det inn en melding om at det rulles ut støtte for Azure Advanced Threat Protection (ATP) i løpet av august. Dette er en uunnværlig tjeneste for alle som fortsatt har lokal infrastruktur med Windows AD. Azure ATP beskytter mot kompromitterte brukerkontoer og bidrar til å oppdage innbrudd. Integrasjonen i Sikkerhetsvurdering sørger for at ATP er satt opp riktig.