Grunnprinsipper for IKT-sikkerhet med Microsoft-teknologier
Grunnprinsipper for IKT-sikkerhet er et rammeverk for cybersikkerhet som er utviklet av Nasjonal sikkerhetsmyndighet (NSM) og tilpasset hjemlige forhold. I Norge har vi stort sett små IT-avdelinger. Strukturen er ikke fullt så hierarkisk som i andre land, med færre nivåer og mer delegert myndighet. Vi er dessuten raskere med å innføre nye teknologier. Ved å holde seg til NSM blir avstanden kort mellom kompetansemiljø og organisasjon, og dokumentasjonen er på norsk. Grunnprinsippene er relevante for alle virksomheter - både offentlige og private, små og store.
NSM benytter seg av kunnskap og erfaringer de har opparbeidet ved rådgivning, kravutvikling og tilsyn, foruten inntrengingstester, utbedring av sikkerhetshendelser og innspill fra ulike instanser. De henter inspirasjon fra anerkjente standarder som US National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), Center for Internet Security (CIS CSC 20) og Den internasjonale standardiseringsorganisasjon (ISO/IEC 27002:2013). Her skal vi se på hvordan vi kan omsette NSMs retningslinjer, prosedyrer og kontroller i praksis med Microsoft-teknologier.
Oversikt over grunnprinsippene
Det er 21 grunnprinsipper, fordelt på fire kategorier med over hundre sikkerhetstiltak. Disse er ikke tenkt som en statisk prosess som utføres fra venstre mot høyre, men som en samling aktiviteter som iverksettes samtidig og kontinuerlig for å møte et skiftende trusselbilde.
Identifisere og kartlegge krever en forståelse av virksomhetens behov, prioriteringer og systemer. Det innbefatter strukturer og prosesser for sikkerhets- og risikostyring. Sentralt står en oversikt over enheter og programvare, sammen med ressurstilganger for brukere.
Beskytte og opprettholde ivaretar en forsvarlig sikring av IKT-systemer over tid, noe som krever gode prosesser for planlegging, anskaffelse, konfigurasjon, endringshåndtering og drift. Komponenter må herdes og angrepsflaten reduseres. Man bør forebygge spredning av angrep, beskytte data med kryptering og begrense eventuelle skader ved blant annet sikkerhetskopiering.
Oppdage omfatter å få øye på og fjerne trusler og sårbarheter for å avdekke avvik fra ønsket sikker tilstand. I hovedsak benyttes automatiserte verktøy for å kartlegge sårbarheter, oppdage og blokkere kjente trusler, overvåke sikkerheten og foreta inntrengningstester.
Håndtere og gjenopprette forbereder virksomheten på en (større) uønsket sikkerhetshendelse. Det krever en god forståelse av systemene og innarbeidede planer for å reagere så effektivt som mulig når en hendelse inntreffer. Like viktig er det å lære av den for å forbedre tiltakene.
Microsofts sikkerhetsteknologier
Microsofts sikkerhetsarkitektur bygger på en helhetlig Zero Trust-modell som er basert på avanserte mekanismer i Azure AD og en omfattende portefølje av sikkerhetsprodukter. Defender for Office 365 beskytter samarbeidsplattformen mot skadevare, farlige lenker og phishing. Defender for IoT (& OT) sikrer IoT-enheter og operasjonell teknologi. Betinget tilgang med multifaktor-autentisering (MFA) gir adgang til ressurser basert på statiske forhold; med Azure AD Identity Protection evalueres bruker- og sesjonsrisikoer dynamisk. Defender for Cloud Apps er en sikkerhetsmegler for trygg skytilgang.
Defender for Endpoint leverer endepunktsbeskyttelse på datamaskiner og mobilenheter. Defender for Cloud gjør det samme for servere, containere og databaser på tvers av lokale miljøer og flere skyer. Defender for Identity sikrer hybride identiteter og oppdager stadiene i en cyberdrapskjede. Microsoft Purview har en rekke funksjoner for databeskyttelse og hindring av innsiderisikoer. Microsoft Sentinel er selskapets skyopprinnelige SIEM/SOAR-løsning, som aggregerer logger fra hele ditt digitale miljø og hjelper deg med å håndtere sikkerhetshendelser.
Defender-familien har fått flere nye tilskudd som ikke er med i infografikken. Defender Threat Intelligence gir direkte tilgang til sanntidsdata fra Microsofts sikkerhetssignaler. Defender External Attack Surface Management avslører sårbarheter i Internett-eksponerte tjenester. Defender for DevOps gir omfattende kode-til-sky-kontekst for raskere utbedring og sikring av utviklingsprosjekter. Defender Cloud Security Posture Management gir innsyn i din nåværende sikkhetssituasjon og veiledning for å herde systemer.
Microsoft Intune er det nye navnet på den voksende produktfamilien for alt innen skyadministrasjon av endepunkter. Configuration Manager fortsetter å bestå for lokal administrasjon og i sameksistens med Intune, mens paraplyen Microsoft Endpoint Manager utgår.
Tre grupper sikkerhetstiltak
NSM har delt inn sine over hundre sikkerhetstiltak i tre prioritetgrupper og plassert ulike kontroller i dem. Gruppe 1 inneholder de 15 viktigste. Gruppe 2 bidrar med de 20 neste, som bør implementeres etter at man er ferdig med gruppe 1. Gruppe 3 omfatter de resterende sikkerhetskontrollene og skal settes opp etter at arbeidet med de første to gruppene er fullført. Alle henter elementer fra de fire kategoriene. Her ser vi på hvordan vi kan bruke Microsoft-teknologier på gruppe 1.
Sikkerhetstiltak i gruppe 1
1 (1.2.3) Kartlegg enheter i bruk i virksomheten. Enheter omfatter bærbare, stasjonære, mobil, nettbrett, servere og nettverksutstyr, samt virtuelle enheter.
Microsoft har ikke et eget dokumentasjonssystem for maskin- eller programvare. SharePoint egner seg for katalogisering og opplisting og kan utvides med automatisering. Visio er selvskreven for nettverksdiagrammer. Microsoft Operations Manager og Configuration Manager danner fortsatt gullstandarden for å forvalte lokal infrastruktur og gir gode rapporteringsmuligheter. Oversiktene og rapporteringen i Defender for Endpoint og Defender for Cloud bidrar til kartleggingen. Om dette ikke dekker dine behov, kan du kjøre avanserte spørringer med Kusto i Microsoft 365 Defender, Defender for Cloud og Microsoft Sentinel.
Alle enheter bør registreres i Intune for å konfigurere dem, kontrollere deres helsetilstand og la dem delta i autentisering og autorisering. Det hjelper deg også med å få kartlagt enheter.
Defender for Endpoint tar opp nettverks- og IoT-enheter i inventaret. For nettverksutstyr kan det i tillegg være lurt med programvare som FortiManager eller Cisco Prime. For tingenes Internett vil du antakelig plusse på med Azure IoT Central og Azure IoT Hub.
2 (1.2.4) Kartlegg programvare i bruk i virksomheten. Det gjelder for alle enheter og inkluderer operativsystemer, applikasjoner, plugins, biblioteker og fastvare på nettverksenheter (svitsjer og lignende).
De samme Microsoft-tjenestene som ovenfor kan anvendes for å kartlegge programvare. For fastvare trenger du dedikerte løsninger fra leverandørene. Et viktig moment er muligheten til å oppdage skygge-IT, skyapper ansatte selv har tatt i bruk uten IT-avdelingens vitende. Det får du med Defender for Cloud Apps.
3 (2.1.2) Kjøp moderne og oppdatert maskin- og programvare. Eldre IT-produkter bør fases ut siden disse ofte har sårbarheter, noe som er mest kritisk på klienter.
Microsoft selger et utvalg Surface 2-i-1-maskiner og bærbare med en utvidet serviceavtale på opptil tre eller fire år. Microsoft leverer ingen servere (bare en referansearkitektur). Skybasert programvare er «evig grønn», dvs. kontinuerlig oppdatert. For lokale installasjoner utgir selskapet månedlige feilrettinger og sikkerhetsfikser.
4 (2.1.9) Ta ansvar for virksomhetens sikkerhet også ved tjenesteutsetting. Kunden har ansvar for sikkerheten ved tjeneseutsetting. Om en virtuell maskin flyttes ut i skyen, må kunden likevel sørge for god tilgangskontroll, sikkerhetsoppdateringer, sikkerhetskonfigurering osv.
Ansvarsmodellen for sikkerhet mellom kunde og leverandør er delt. Med infrastruktur som tjeneste (IaaS) sikrer Microsoft bare fysiske komponenter; resten må du ta deg av. For plattform som tjeneste (PaaS) drifter selskapet også operativsystemer. Programvare som tjeneste (SaaS) utvider Microsofts ansvarsområde til å omfatte nettverkskontrollere og applikasjoner. Med Microsoft 365 – som er en SaaS-tjeneste – betyr det at du som kunde er involvert i å konfigurere identitets- og katalogtjenester. Samtidig er det utelukkende din oppgave å beskytte kontoer og ressurstilganger, samt enheter. Det er også ditt ansvar å styre og sikre alle dine data.
5 (2.2.3 ) Del opp virksomhetens nettverk etter virksomhetens risikoprofil. Del opp nettverk i soner og kontroller dataflyt mellom dem. Vurder nyere teknologi for nettverk, som mikrosegmentering, Zero Trust (Null tillit) eller software defined networking (SDN).
Mikrosegmentering gir virksomheten et høyere beskyttelsesnivå ved å definere tilgangsnivåer nøye og redusere spredningsområder ved et angrep. Segmentene eller sonene er atskilt via brannmurer og tilgangskontroller. Azure er basert på programvaredefinerte nettverk (SDN), som kan utvides til lokale miljøer med Azure Stack. VMware NSX og Palo Alto Prisma Cloud er også interessante i denne sammenheng.
6 (2.3.1) Etabler et sentralt styrt regime for sikkerhetsoppdatering. Oppdater all programvare – operativsystemer, applikasjoner, plugins – på klienter, servere og nettverksutstyr.
Tradisjonelt har virksomheter benyttet Windows Server Update Services (WSUS) for å distribuere de nyeste produktoppdateringene som utgis via Microsoft Update. WSUS kan brukes sammen med Configuration Manager og integreres i tredjepartsløsninger for å oppdatere andre enn selskapets produkter. Med Intune kan du holde Windows 10/11 og Office-apper oppdatert. Defender for Cloud har automatiserte funksjoner for å oppdatere Windows- og Linux-baserte servere, lokalt og i skyen.
7 (2.3.2) Konfigurer klienter slik at kun kjent programvare kjører på dem. Hensikten er å sikre at kun kjent programvare kan utføres på klienter. For noen klientplattformer kan bare programvare styrt av en applikasjonsbutikk eksekvere. De har som regel få utfordringer med skadevare. Andre plattformer har en mer liberal eksekveringsmodell, hvor man bør benytte hvitelisting av programvare.
Microsofts første fremstøt for Windows var Retningslinjer for programvarerestriksjoner (Software Restriction Policies). I dag bør man enten bruke Microsoft Defender Application Control (MDAC) eller AppLocker for å kontrollere klarert programvare. Med MDAC-konfigurasjonen i Intune er det bare tillatt å kjøre Windows-komponenter, Microsoft Store-apper og anerkjente apper definert av Intelligent Security Graph, mens PowerShell opererer i begrenset språkmodus. Du kan legge til andre tiltrodde apper manuelt. Hele oppsettet bør testes på en referansemaskin.
8 (2.3.3) Deaktiver unødvendig funksjonalitet. Det finnes mye ubrukt og unødvendig funksjonalitet som skaper sårbarheter, som unødvendige applikasjoner og plugins, samt sårbare protokoller. Disse bør avinstalleres eller deaktiveres. Sluttbrukere bør kun ha mulighet til åpne nyere Office-formater, som «.docx», og blokkeres for de eldre og mer sårbare formatene som «.doc».
I Defender for Endpoint og Defender for Cloud foretas det en kontinuerlig evaluering av sårbarheter, feilkonfigurasjoner og manglende oppdateringer på klienter og servere. Intune kommer med fire sikkerhetsgrunnlinjer som gjenspeiler Microsofts vurdering av beste praksis: Security Baseline for Windows 10 and later, Microsoft Defender for Endpoint Baseline, Microsoft Edge Baseline og Windows 365 Security Baseline. I tillegg kan du benytte Microsoft Security Compliance Toolkit. Exchange Online Protection kan hindre gamle filformater i å slippe gjennom som vedlegg. På Windows kan formatene blokkeres for Microsoft 365 Apps.
9 (2.3.7) Endre alle standardpassord på IKT-produktene før produksjonssetting. Standardpassord bør fjernes, passord må ha god kvalitet, eller man må gå over til multifaktor-autentisering (MFA).
Local Administrator Password Solution (LAPS) sørger for å endre lokale admin-passord på Windows-maskiner som er meldt inn i Active Directory (AD). Passord lagres i AD, og bare kvalifiserte brukere kan lese det eller be om tilbakestilling. For andre enheter må du se deg om etter tredjepartsløsninger eller foreta forandringene manuelt.
10 (2.6.4) Minimer rettigheter til sluttbrukere og spesialbrukere. Sluttbrukere og spesialbrukere med for mange og for vide rettigheter er ettertraktede mål for angripere. Fortsatt er det utbredt med brukere som er lokal administrator på klientmaskinen, en uheldig praksis som gjør jobben vesentlig enklere for angripere. Spesialbrukere, som utviklere og forskere, har ikke behov for tilgang til alle data eller for rettigheter til å foreta seg alt i systemene.
Ett av de tre grunnprinsippene for Zero Trust er prinsippet om minste privilegium. Med Endpoint Privilege Management, som lanseres i Intune til våren, trenger du ikke lenger å gjøre brukerne til lokale administratorer. I stedet kan dine ansatte ha standard kontorettigheter og dynamisk få admin-rettigheter for spesifikke administrator-godkjente oppgaver.
11 (2.6.5) Minimer rettigheter på driftskontoer. Unngå den vanlige feilen med å drifte for mye med domeneadministrator-rettigheter. De færreste vanlige driftsoppgaver trenger dét.
Microsoft har i tillegg gruppeadministrerte tjenestekontoer (Groups Managed Service Accounts – gMSAer), som tilbyr bedre sikkerhet for automatiserte, ikke-interaktive tjenester, applikasjoner eller prosesser som krever legitimasjon. I Azure er det videreført som administrerte identiteter – system-assigned og user-assigned – som benytter Azure Key Vault for å håndtere hemmeligheter, nøkler, legitimasjon og sertifikater som brukes til å sikre kommunikasjon mellom tjenester.
12 (2.9.1) Legg en plan for regelmessig sikkerhetskopiering av alle virksomhetsdata. Ha en plan for sikkerhetskopiering og test regelmessig at den fungerer. Det anbefales å ha offline-kopier fordi løsepengevirus ofte først ødelegger sikkerhetskopier for så å kryptere produksjonsfilene.
Microsoft 365 har nok mekanismer for sikkerhetskopiering og gjenoppretting av data til at enkelte mener det ikke er nødvendig med en dedikert backup-løsning. Med dagens menneskedrevne løsepengevare- og utpressingsangrep er dette feil. For Microsoft 365 må du se deg om etter tilbud fra tredjeparter, som vårt anbefalte Cloud Backup. Lokalt og i Azure er Azure Backup et godt valg. Det beskytter sikkerhetskopiene med en ekstra PIN-kode og oppbevarer slettede backuper i 14 dager.
13 (3.2.3) Avgjør hvilke deler av IKT-systemet som skal overvåkes. Finn ut hva du skal monitorere.
Microsoft har omfattende verktøy for å monitorere både lokale og skymiljøer. Det er utstrakte muligheter for logging og rapportering. Microsoft 365 Defender samler varsler fra de fire Defender-produktene i Microsoft 365 og omgjør dem til meningsfulle hendelser. Selskapets flaggskip, Microsoft Sentinel, kan overvåke hele ditt digitale miljø.
14 (3.2.4) Beslutt hvilke data som er sikkerhetsrelevant og bør samles inn. Informasjonssystemer behandler, lager og prosesserer store mengder data. Det er viktig å skille ut sikkerhetsrelevante data.
Datamengden eksploderer eksponentielt, og offentlige og bransjespesifikke krav til databeskyttelse øker. Microsoft Purview Information Protection hjelper deg med å oppdage, katalogisere, merke og beskytte data på tvers av hele miljøet ditt. Informasjonsbeskyttelsen omfatter forskjellige former for hindring av datatap (DLP), styringssett for data og avanserte løsninger som eDiscovery, behandling av innsiderisikoer, kommunikasjonssamsvar og Microsoft Priva (GDPR).
15 (4.1.1) Etabler et planverk for hendelseshåndtering. Ha en plan, fordel roller og ansvar, og øv på planen. Før eller senere skjer det noe galt. Da har man ofte dårlig tid og må være forberedt.
Dette er uhyre viktig, men ikke spesielt for Microsoft, annet enn at det hjelper med markedsledende verktøy som samarbeider tett med hverandre, og som lett kan integreres i eksisterende løsninger.
Avsluttende ord
Du trenger et solid rammeverk for å bygge opp en robust og motstandsdyktig IT-infrastruktur. Det er ingen grunn til å oppfinne hjulet på nytt – det tapper deg for tid og penger, mens resultatet høyst sannsynlig blir dårligere. Det er mange kloke hoder som har arbeidet med denne problematikken i en årrekke. I Norge er det naturlig å ta utgangspunkt i NSMs Grunnprinsipper for IKT-sikkerhet. Her søkte vi å antyde hvordan du kan gå frem med Microsoft-teknologier. For å komme helt i mål må du også ta i bruk løsninger fra tredjeparter.