Ikke stol på noen tilgangsforespørsel uten å verifisere den, bruk prinsippet om minste privilegium for adgang til ressurser, og anta at du er utsatt for sikkerhetsbrudd. Dette er mantraen i Zero Trust. Det bidrar til en moderne sikkerhetsarkitektur på tvers av identiteter, endepunkter, apper, infrastruktur, nettverk og data i kombinasjon med økt synlighet. Her vises det hvilke muligheter du har med Microsoft 365-teknologier, Azure og Microsoft Sentinel. Koblingene gir mer detaljert informasjon.
Åpenbare fordeler med Zero Trust
Zero Trust sørger for bedre sikkerhet og samsvar, enklere og mer tilgjengelige sikkerhetsanalyser og raskere trusseloppdagelse og utbedring. Du får en oversikt over hele skymiljøet og lokal infrastruktur med presist og detaljert innsyn. Det gir god kontroll ved sikkerhetsbrudd, frigjør sikkerhetsteam og minker behovet for administrativ innsats. Du reduserer omkostninger på grunn av lavere risiko for brudd på informasjonssikkerhet og identitetstyveri. Zero Trust beskytter kundedata og gir forenklede sikkerhetstiltak med dynamisk tilpassede tilgangskontroller, noe som fører til økt produktivitet for ansatte med enkel pålogging og sikker bruk av hjemmekontor.
Innføring av Zero Trust
Målet er å innføre Zero Trust for alle risiko-områder. Men organisasjoner starter gjerne forskjellige steder med ulike prioriteringer. Her følger en topp-tre-liste for identiteter, endepunkter, apper, nettverk, infrastruktur og data – samt automatisering og orkestrering. Anbefalingene er basert på Microsofts erfaringer, satt i kursiv. Sterk godkjenning for identiteter konfigureres vanligvis først, mens verktøy for trusseloppdagelse er et klart valg innen infrastruktur.
Identiteter
Konfigurer multifaktor-autentisering eller passordfri godkjenning. Sett opp adaptive retningslinjer for å regulere tilgangen til ressurser. Foreta en automatisert oppdagelse og utbedring av risikoer.
Sterk godkjenning
I sterk godkjenning ligger at du plusser på med ytterligere én faktor i forhold til brukernavn/passord. Bekreftelse via tekstmelding eller taleanrop ansees ikke som like sikkert som via en dedikert enhet. Passordløs pålogging er best og konfigureres i forlengelse av multifaktor-autentisering (MFA). Med betinget tilgang i Azure Active Directory (AD) setter du opp regler om at alle må bruke MFA, men at pålogginger kan huskes et gitt antall dager fra enhetene som benyttes, så brukere ikke går lei og i vanvare godkjenner forespørsler de selv ikke har initiert. Eldre protokoller uten støtte for moderne autentisering skal blokkeres. Da har du redusert sjansen for identitetstyveri med over 99 prosent.
Adaptive retningslinjer
Faste størrelser – som bruker/gruppe, enhet, sted og app – deltar i avgjørelsen om og hvordan du får adgang til bedriftsressurser. Enheten bruker logger på fra, vurderes ved eksplisitt å verifisere om den er i samsvar med organisasjonens retningslinjer i Intune. Det inkluderer en bekreftelse på at ingen skadelige aktiviteter er oppdaget av Defender for Endpoint. Azure AD Identity Protection undersøker tegn som kan tyde på at brukers legitimasjon er kommet på avveie. Betinget tilgang evaluerer alle disse signalene mot policyer du har konfigurert.
Kombinasjonen av statiske retningslinjer og dynamisk sanntidsinformasjon – som trusselintelligens og sesjonskontekst – gir en adaptiv tilnærming til å håndtere risikoer under kontinuerlig endrede forhold. For apper som benytter betinget tilgang, skjer policyvalideringen for hver tilgangsforespørsel og når tokenet (tilgangsbeviset) oppdateres for å forlenge utløpstiden. Exchange Online, SharePoint Online og Teams støtter kontinuerlig tilgangsevaluering for å gi rask respons på endrede risikoforhold i nær sanntid og eventuelt blokkere tilgangen.
Automatisert oppdagelse og utbedring
Sikkerhetsteam har bedre ting å gjøre enn til enhver tid håndtere brukere. Policyen for å utbedre en risikabel konto bør tillate tilgang, men kreve passordendring når Azure AD Identity Protection vurderer det som identitetslekkasje. En policy for påloggingsrisiko krever at bruker benytter MFA, selv om den huskes på enheten. Det omfatter pålogginger fra Oslo i det ene øyeblikk, i neste fra Beijing (umulig reise), fra atypiske steder, anonyme nettverk og mulig infiserte enheter. Selvbetjent tilbakestilling av passord må være satt opp for alle brukere.
Endepunkter
Registrer enheter i Microsoft Endpoint Manager (MEM). Sett opp policyer for samsvar og kontroller for hindring av datatap. Foreta en risikoevaluering av enheter i sanntid og en kontinuerlig oppdagelse av endepunktstrusler.
Innrullering i Intune
Alternativt benytter du Configuration Manager i et Co-Management-scenario. Intune lar deg forvalte enheter og rulle ut og holde programvare oppdatert. Samsvarspolicyer bestemmer om du godtar pålogging fra dem. Det kan være krav om kryptert lagring, brannmur og at de er frie for skadevare. Sånn slipper bare klarerte brukere på klarerte enheter inn i virksomheten. Alle andre stenges ute allerede ved inngangsdøren. Tilgang til bedriftsressurser fra mobilenheter kan sikres med policyer for appbeskyttelse uten at de er innrullert i Intune.
Hindring av datatap
Brukere oppretter og jobber med følsom informasjon lokalt, som de kan dele fra maskinene sine. Dette kan du kontrollere med Endpoint DLP og sette begrensinger for utgående trafikk og blokkere ikke-tillatte apper. Du kan hindre at data lastes opp til skylokasjoner, kopieres til utklippstavlen, USB-brikker og delte nettverksområder, samt skrives ut eller overføres via Bluetooth. Selvfølgelig kan du også sette opp regler for hindring av datatap for hele samarbeidsplattformen.
Risikoevaluering og endepunktstrusler
Defender for Endpoint forebygger, oppdager og utbedrer trusler. Trussel- og sårbarhetshåndtering bidrar til å rette på sårbarheter i programvare og feilkonfigurasjoner. Angrepsflatereduksjon styrker immuniteten mot typiske tekniker som benyttes ved cyberangrep. Neste generasjons beskyttelse sørger for avansert virus- og trusselbeskyttelse basert på virusdefinisjoner, samt lokal og skybasert analyse og maskinlæring. Endepunktsdeteksjon og respons overvåker kontinuerlig enhetene og lar deg identifisere vedvarende trusler og fjerne dem fra miljøet. Automatisert etterforskning og utbedring jobber døgnet rundt og bekjemper angrep ved hjelp av kunstig intelligens, noe som reduserer varslingsvolumet.
Applikasjoner
Sørg for kontinuerlig oppdagelse og risikovurdering av skygge-IT (applikasjoner ansatte selv tar i bruk). Skyapper krever detaljerte tilgangskontroller. Disse må være policystyrte.
Alle disse funksjonene inngår i Defender for Cloud Apps, en sikkerhetsmegler for trygg skytilgang som gjenkjenner og bekjemper datatrusler på tvers av skytjenester. Den lar deg oppdage og få kontroll over skygge-IT, basert på en vurdering av over 26 000 apper med mer enn 90 risikofaktorer. Du kan beskytte følsomme data hvor som helst i skyen ved hjelp av policyer og automatiserte prosesser. Du kan avdekke uregelmessig atferd for å identifisere løsepengevirus, utsatte brukere og programmer med for høye privilegier.
Defender for Cloud Apps kontrollerer om skyapper overholder regler og standarder som er gyldige i virksomheten din. Den lar deg administrere tilgangen til ressurser, undersøke sikkerhetsstatusen i virksomheten, tette igjen hull og gir deg anbefalinger om sikre konfigurasjoner. Sikkerhetsmegleren fungerer som et forstørrelsesglass inn i skymiljøet ditt. Den gir synlighet på flere nivåer, kontroll over datatrafikk og omfattende analyser. Det muliggjør trygt eksternt arbeid med kontroller i sanntid som gir trusselbeskyttelse for alle berørte tilgangspunkter i skyen.
Nettverk
Sett opp sikre tilgangskontroller for å beskytte nettverk. Du trenger trusselbeskyttelse og -filtrering med kontekstbaserte signaler. All trafikk skal være kryptert.
Teknologiene her glir over i hverandre. Utgangspunktet er mikrosegmentering, som logisk deler inn datasenteret i distinkte segmenter ned til individuelle arbeidsbelastningsnivåer, og så definerer sikkerhetskontroller og leverer tjenester for hvert unike segment. Ovenfor vises de grunnleggende kontrollene du kan bruke til å utføre nettverkssegmentering i Azure. For din lokale infrastruktur må du se deg om etter tredjepartsløsninger.
Kryptering i transitt
Trafikk til og fra Microsofts skyplattformer benytter Transport Layer Security (TLS) 1.2. Windows har innebygd støtte for Internet Protocol Security (IPsec), som er en protokollpakke for sikring av Internet Protocol (IP)-kommunikasjon ved å autentisere og kryptere hver IP-pakke i en sesjon.
Infrastruktur
Sikkerhetsteam trenger verktøy for trusseloppdagelse. De må beskytte hybrid infrastruktur og flere skyplattformer. Tjenestene bør sørge for detaljert innsyn og tilgangskontroll for alle nyttelaster (virtuelle servere, lagringskontoer, databaser osv.).
Du vil se lite eller ingenting av de aktivitetene hackerne utfolder når de først er inne i lokalnettet ditt hvis du ikke har verktøy som oppdager det, så som Defender for Identity. Her har noen hacket min datters konto. Så har andre klart å få tak i en brukerkonto med administrative rettigheter. Neste steg er herredømme over domenet, data-eksfiltrering og menneske-plantede løsepengevirus.
Lokal infrastruktur og skyplattformer
Defender for Cloud gir kontinuerlig sikkerhetsanbefalinger og verifiserer samsvar med regulatoriske standarder. Den bidrar med å herde nyttelaster som kjører i Azure, hybrid sky og flersky-miljøer. Beskyttelsen inkluderer endepunktsdeteksjon og -respons for servere og sårbarhetsskanning. Den gir avansert trusselbeskyttelse for plattform-tjenester som lagringskontoer og SQL-servere.
Data
Tilgangsbeslutninger må styres av en egen motor for sikkerhetsretningslinjer. Data bør klassifiseres og merkes. De mest sensitive filene skal alltid beskyttes med kryptering.
Tilgangsbeslutninger
Motoren for tilgangsbeslutninger til ressurser er betinget tilgang som følger med Azure AD Premium. Tilgjengelige betingelser er bruker og sted, enhet, applikasjon og en analyse av sanntidsrisiko. Dette er signaler som vurderes samlet og bestemmer om tilgangen skal tillates eller blokkeres. Eventuelt er det krav om MFA. Om Defender for Endpoint fastslår at enheten er under angrep, vil det også være medbestemmende for Windows, Android, iOS/iPadOS, men dessverre ikke for macOS ennå.
Klassifisering, merking og rettighetsstyring
Microsoft Information Protection (MIP) sørger for dataklassifisering og kommer med over 200 forhåndsdefinerte sensitive informasjonstyper, som kredittkort og personnummer. Du kan opprette tilpassede typer basert på regulære uttrykk, ordbøker, fingeravtrykk for skjemaer, samt eksakt datamatch. I tillegg kan du ta i bruk maskinlæring for å trene klassifiserere. Disse datatypene danner utgangspunktet for å automatisere oppdagelsen av viktig materiale.
Følsomhetsetiketter lar deg merke data og beskytte områder. Etikettene kan legge til vannmerker og topp- eller bunntekster. De kan også kryptere og rettighetsstyre dokumenter og e-post. Defender for Cloud Apps beskytter dokumenter i tredjeparts applikasjoner. AIP Scanner skanner data i din lokale infrastruktur. Om du skal stoppe datalekkasje via e-post, kryptere filer i transitt og hvile eller bruke etiketter for å beskytte innhold via policyer, omfatter Microsoft Information Protection et vell av løsninger som kan bidra til å sikre data som ligger i Microsoft 365 eller deles med verden utenfor.
Automatisering og orkestrering
Du trenger ende-til-ende-synlighet basert på en sentralisert plattform for etterforskning og respons. Den må samle inn og analysere trusseldata fra alle risiko-områder (identiteter, endepunkter, apper, nettverk, infrastruktur). Den bør håndtere automatiserte undersøkelser og svar.
Microsoft Sentinel
Microsoft Sentinel er selskapets neste-generasjons skybaserte SIEM- og SOAR-løsning. Den sørger for overvåking, deteksjon og varsling av hendelser, sammen med en omfattende og sentralisert oversikt over sikkerheten i din IT-infrastruktur. SOAR gir sikkerhetsorkestrering, automatisering og respons. Sentinel samler inn data i skyskala fra alle typer brukere, enheter, apper og infrastruktur – lokalt og i flere skyer. Den avdekker tidligere uoppdagede trusler og minimerer falske positiver ved hjelp av analyser og trusselinformasjon fra Microsoft. Den etterforsker trusler med kunstig intelligens (KI) og søker etter mistenkelige aktiviteter ved å dra nytte av flere tiår med arbeid innen cybersikkerhet hos Microsoft. Sentinel lar deg reagere raskt på hendelser med innebygd iverksetting og automatisering av vanlige oppgaver.
Microsoft 365 Defender-portalen
I én forstand er Microsoft 365 Defender-portalen en slags SIEM- og SOAR-løsning for skymiljøer. I tillegg beskytter Defender-porteføljen mot identitetsangrep og cyberdrapskjeder i hybride miljøer. Portalen inneholder administrasjonssentre for Exchange Online Protection og Defender for Office 365 (sikring av samarbeidsplattformen) og Defender for Endpoint (endepunktsbeskyttelse). Microsoft 365 Defender mottar varsler fra alle fire sikkerhetsprodukter i suiten, som i tillegg omfatter Defender for Identity (identitetsbeskyttelse i hybride miljøer) og Defender for Cloud Apps (trygg skytilgang).
Varslene analyseres med maskinlæring og samles til hendelser på tvers av trusselområder som lar deg forfølge en angrepskjede. Den kan starte med et infisert e-postvedlegg som utfolder seg om en trojaner på endepunkter, oppretter en forbindelse til kommando- og kontrollservere og foretar rekognosering og laterale bevegelser i bedriftsnettverket. Det er mekanismer for automatisert etterforskning og utbedring. Microsoft 365 Defender gir en enkelt glassrute med utsyn over miljøet, lar deg foreta proaktiv trusseljakt og kommer med forbedringsforslag for å øke sikkerheten.
Lisensiering
Microsoft Sentinel og Defender for Cloud må lisensieres separat. De andre sikkerhetsproduktene inngår i Microsoft 365 E5. Microsoft 365 E3 + E5 Security gir deg alt unntatt automatiserte mekanismer for dataklassifisering med kryptering og Endpoint DLP. Avanserte samsvarsfunksjoner krever en tilleggspakke som heter Microsoft E5 Information Protection and Governance. Om man trenger begge tillegg, er det mer regningssvarende å velge Microsoft 365 E5 med det samme.
Microsoft 365 Business Premium kommer med Defender for Office 365 og Defender for Business – endepunktsbeskyttelse i verdensklasse. Pakken har ikke Azure AD Premium 2 med Azure AD Identity Protection. Cloud App Discovery er en beskåret versjon av Defender for Cloud Apps og beskytter bare mot skygge-IT. Med en hybrid infrastruktur er Defender for Identity uunnværlig. Du kan tegne tilleggslisenser for manglende sikkerhetsmekanismer. Samsvarsfunksjonene er bare manuelle.
Avsluttende ord
Dette var vår – eller rettere Microsofts – tre-på-topp-liste for hvert av de seks områdene du må konsentrere deg om. Du er ikke ferdig med Zero Trust, men godt i gang på en reise som neppe tar slutt. Sikkerhetsprodukter skyller over markedet. Microsofts produkter er ikke nødvendigvis alltid best i klassen (best-in-breed). Men selskapet har en tett integrert portefølje som skårer høyt i Gartners vurderinger. Det gir et helhetlig forsvar (best-in-suite) på tvers av trusselområder og angrepskjeder, med en høy grad av smidighet, hastighet og beskyttelse.
En konsolidert produktpakke som Microsoft 365 Defender med Sentinel og tjenester i Azure gjør det lettere for sikkerhetsteam å opparbeide kompetanse. Det fører til en enklere hverdag for bedrifter som har knepent med ressurser internt. Ulempen kan være økt sårbarhet og mangel på fleksibilitet. Zero Trust dreier seg uansett ikke om hvilke separate teknologier som velges. Det er en samlet strategi og tilnærming for å behandle hver brukerressurs som ikke-klarert før den kan verifiseres – både i og utenfor nettverket. Her var det om å gjøre å vise hvor langt du kommer med Microsoft.