Hopp til hovedinnhold

Beskytt deg mot 98 prosent av angrepene

Logo letter
Evelon AS
Jon-Alfred Smith
PC og passord

I Microsofts digitale forsvarsrapport for 2022 fastslår selskapet at de aller fleste vellykkede nettangrep kan forhindres ved bruk av grunnleggende sikkerhetshygiene. Den består i å aktivere multifaktor-autentisering (MFA), anvende Zero Trust-prinsipper, holde programvare oppdatert og beskytte data.

La oss konkretisere disse anbefalingene ved hjelp av teknologier i Microsoft 365.

Microsofts klokkekurve for cyberresiliens

I resiliens ligger motstandskraft, robusthet, evnen til å gjenopprette seg selv etter et angrep. Microsoft er i en enestående posisjon for å foreta en analyse av det globale trussellandskapet. I fjor syntetiserte de daglig 43 billioner signaler ved bruk av sofistikert dataanalyse og KI-algoritmer for å bedre forstå og beskytte mot digitale trusler og nettkriminell aktivitet. De blokkerte mer enn 70 milliarder e-post- og identitetsangrep. Til dags dato har Microsoft fjernet mer enn 10 000 domener brukt av cyberkriminelle og 600 benyttet av statlige aktører. Selskapet har over 8500 eksperter på trusseletterretning og sikkerhet som setter seg sammen av ingeniører, dataforskere, trusseljegere, geopolitiske analytikere, etterforskere og frontlinje-respondere i 77 land.

Multifaktor-autentisering (MFA)

Statistikken for bruk av MFA på verdensbasis er nedslående. Bare 26 prosent av brukere og 33 prosent av administratorer logger på med sterk autentisering. Det åpner for phishing, passordsprøyting og andre identitetsangrep med påfølgende løsepengevare og utpressing. Den beste beskyttelsen gir MFA.

Microsoft 365 eller rettere Azure Active Directory (AD) opererer med fire ulike autentiseringsmetoder. Bare brukernavn og passord gir for svak godkjenning. Tekstmeldinger og taleanrop som annen faktor kan fanges opp og avlyttes. Et bedre valg er engangspassord (one-time password – OTP) med en automatisk generert numerisk eller alfanumerisk streng. Best er passordløst. Bare to av alternativene i denne oversikten er phishing-resistente. Det er Hello for Business og FIDO2-sikkerhetsnøkler. Microsoft har dessuten utviklet sertifikat-basert godkjenning,som faller i samme kategori. Phishing-resistent MFA er immun mot forsøk på å kompromittere eller undergrave autentiseringen. Den krever at hver part fremlegger bevis på sin identitet og kommuniserer sin intensjon.

Til forskjell fra hva mange tror, er de andre formene for MFA ikke fullt så motstandsdyktig mot angrep. Men det viktigste er å sette opp MFA for alle, uansett om de logger på fra bedriftsnettverket eller over Internett. Microsoft anbefaler å benytte Hello for Business på Windows 10/11-maskiner og ellers Authenticator med nummermatching. Du får opp et tall på enheten og godkjenner det eksplisitt på mobilen. Samtidig ser du hvor forespørselen kommer fra geografisk. Der gir en helt annen trygghet enn bare å godkjenne med push-varsling, som kan føre til en godkjennelse man ikke selv har initiert.

Zero Trust-prinsipper

Zero Trust er en moderne sikkerhetsstrategi med et sett av teknologier og retningslinjer som tolkes ulikt av forskjellige leverandører, men er basert på tre felles grunnprinsipper. I stedet for å tro at alt på innsiden av bedriftens brannmur er trygt, antar Zero Trust-modellen sikkerhetsbrudd og verifiserer hver forespørsel som om den stammer fra et åpent, fiendtligsinnet nettverk: «Aldri stol på noe, alltid verifiser.»

Bekreft eksplisitt. Alle tilgjengelig datapunkter må alltid valideres. Hvem er bruker, og hvor logger hun eller han på fra? Er enheten som benyttes, registrert i organisasjonen og i samsvar med retningslinjene? Er det tegn som tyder på at den kan være infisert med skadevare? Hvilke tjenester eller nyttelaster ønsker bruker tilgang til? Er dataene som aksesseres, klassifisert som følsomme? Er det noe uvanlig ved påloggingen eller tilgangsforespørselen – som tidspunkt, sted og nettverk?

Bruk minste privilegerte tilgang. For å sikre data og produktivitet må brukertilgangen begrenses ved å gi tilgang akkurat i tide og bare nok for at brukere får jobben gjort. Risikobaserte adaptive policyer tilpasser seg skiftende forhold, som mistanke om kompromittert brukerkonto eller avvikende atferd. Data må beskyttes mot alternative og uforutsette tilgangsmetoder.

Anta sikkerhetsbrudd. Gå utfra at du alltid står under angrep, og at et brudd kan oppstå når som helst. Du bør minske spredningsradiusen og hindre angriperne i å bevege seg sidelengs. Segmentering av nettverk og tilganger fungerer på samme måte som vanntette skott forhindrer for store skader på skroget ved en grunnstøting. Samtlige sesjoner bør være kryptert. Sikkerhet krever kontinuerlig overvåking med analyser og trusseloppdagelse, som i neste omgang forbedrer forsvaret.

En gjennomført Zero Trust-arkitektur er et omfattende prosjekt. Det inkluderer identiteter, enheter, data, apper, infrastruktur og nettverk pluss overvåking og automatisering. Men her er vi ute etter Zero Trust-prinsipper, små skritt på reisen til en fullverdig implementering.

Det grunnleggende er at brukere logger på med én identitet og helst benytter biometriske kjennetegn som fingeravtrykk eller ansiktsgjenkjenning. Betinget tilgang fungerer som motor for å bestemme og håndheve sikkerhetspolicyer. Bruker- og sesjonsrisiko bør inngå i evalueringen (krever Azure AD P2 Identity Protection). Enheter med en vurdering av helsetilstanden deres bør delta i forutsetningene for autentisering og autorisering. Målet må være at bare godkjente brukere på tiltrodde endepunkter og klarerte apper får tilgang til bedriftsressurser, mens alle andre stenges ute allerede ved inngangsdøren.

Moderne endepunktsbeskyttelse

Tradisjonell antivirus har utspilt sin rolle. Angripere har for lengst lært seg å omgå et signaturbasert forsvar. Det som er nødvendig, er endepunktsbeskyttelse og respons (EDR), som har full oversikt over alt som foregår på enheter (prosesser, minne, nettverk, innlasting av apper osv.) og slår ned på avvik og uregelmessigheter. Defender for Business og Endpoint P2 dekker disse behovene (ikke P1, som følger med Microsoft E3). En ny egenskap er automatiserte angrepsavbrudd som med maskinhastighet isolerer infiserte enheter og blokkerer kompromitterte brukere under et pågående angrep. 

Som en forlengelse av EDR sørger XDR for utvidet deteksjon og repsons på tvers av angrepskjeder, både med tanke på innsiderisikoer og eksterne trusler.Defender-produktene, Azure AD Identity Protection og Microsoft Purview (databeskyttelse) samarbeider og kan gi en samlet beretning om et angrep i alle dets stadier.

Holde programvare oppdatert

Tradisjonelt bruker vi Windows Server Update Services (WSUS) med eller uten Configuration Manager for å rulle ut Microsoft-oppdateringer. For tredjepartsapper benytter vi i tillegg verktøy som Shavlik eller Secunia. Microsoft mangler fortsatt en ordentlig skybasert tjeneste for å holde programvare oppdatert. Intune kan gjøre det for Windows 10/11 og Microsoft 365 Apps og blokkere for at brukere slår av funksjonene for automatisk oppdatering på Mac.

Til gjengjeld inngår Trussel- og sårbarhetsadministrasjon i Defender for Endpoint/Business. Den viser hvilke programmer som bør oppgraderes, basert på prioritet, og samarbeider med Trusselanalyse, som viser hva som rører seg globalt, og hva du kan rammes av i din virksomhet. Trusseladministrasjonen avdekker også feilkonfigurasjoner og andre sårbarheter. For en enda grundigere gjennomgang kan du tegne en lisens på Defender Vulnerability Management add-on for Defender for Endpoint Plan 2.

Beskytte data

Databeskyttelse har utviklet seg til en egen disiplin. Du må ha kjennskap til dataene dine ved å forstå datalandskapet ditt og identifisere viktige data på tvers av hybridmiljøet ditt. Du må beskytte dataene dine med fleksibel kryptering, tilgangsbegrensninger og visuelle markeringer. Du må hindre datatap ved å oppdage risikoatferd og forhindre utilsiktet overdeling av sensitiv informasjon. Du må styre dataene dine, som betyr å oppbevare, slette og lagre data og poster automatisk i henhold til regler for samsvar.

Du definerer taksonomien for dataklassifiseringen, som danner forutsetningen for følsomhets- og oppbevaringsetiketter. De vil bli brukt på innholdet ditt og kan dukke opp i Microsoft 365 Apps, SharePoint-nettsteder, Teams-arbeidsområder og Exchange-e-poster. De kan benyttes manuelt av brukere eller automatisk av Microsoft 365. Du må også definere betingelser for klassifiseringspolicyer. Du må bestemme hvordan du skal finne og klassifisere dataene i miljøet ditt og mappe dem til taksonomien.

Opprett, test og distribuer etikettene og policyinnstillingene. Når du har bestemt deg for metodene du vil bruke for å beskytte og styre dataene dine, er det viktig å teste alt grundig før du distribuerer konfigurasjonen på tvers av organisasjonen. I løpende brukovervåker og utbedrer du oppsettet. Det er viktig å forstå hvordan dataklassifisering brukes og å sikre at retningslinjene dine er nøyaktige og oppnår ønskede resultater. Alt dette kan du foreta med mekanismer i Microsoft Purview.

Avsluttende ord

Vi behøver ikke henge oss opp i de 98 prosentene Microsoft opererer med, selv om denne statistikken ser ut til å være tuftet på solid grunn, med en telemetri og et analyseapparat de færreste selskaper har tilgang til. Usikkerhetsmomenter er hva som ligger i Zero Trust-prinsipper, hvor langt vi skal gå med dem. Beskyttelse av data er alt fra manuell klassifisering og merking til automatisk oppdagelse ved hjelp av følsomme datatyper og opplærbare klassifiserere – ikke å forglemme backuper som angripere ikke har tilgang til.

Microsofts funn samsvarer med blant annet hva Nasjonal sikkerhetsmyndighet (NSM) beskriver i rapporten Risiko 2023. Her anbefaler de femeffektive tiltak mot cyberangrep. NSM har i flere tiår utviklet sikkerhetstiltak forbeskyttelse av IKT-systemer. Ut fra disse erfaringeneser de at virksomheter kan stanse de flestedataangrep med følgende tiltak:

Installer sikkerhetsfikser så fort som mulig, og mest mulig automatisk

Ikke tildel administratorrettigheter til sluttbrukere

Ikke tillat bruk av svake passord, og bruk multifaktorautorisering der det er mulig

Fas ut eldre IKT-produkter

Tillat kun programvare som er godkjent av virksomheten eller enhetsleverandøren

Grafikken er fra Microsoft, skjermbildene fra eget miljø.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!