Sådan øger du sikkerheden i Office 365 Henrik Larsson, Senior Security Consultant, Dubex A/S Søborg, den 12. april 2016
Hvad skal vi have ud af dette indlæg? Mine mål med dette indlæg: 1. Give dig nogle tanker så du fremover tænker på sikkerhed ved brug af Office 365. 2. Give nogle bud på hvordan du kan forbedre sikkerheden i dit Office 365 miljø. 3. Give dig nogle konkrete værktøjer så forretningen kan benytte Office 365 uden at forøge risici. Disclaimer: Dette er ikke en facitliste. I løbet af de næste 25 minutter når vi højst at skrabe en lille smule i overfladen.
En golf bold er 4 cm i diameter Jordens diameter er 12.742 km
Udfordringen Det er muligt at man mister indsigt i den samlede løsning når den flyttes til skyen. Derfor kan det være svært at opdage skadelige mønstre eller datatab uden brug af de rigtige værktøjer. Mange virksomheder skal give adgang til Office 365 på mange forskellige typer af enheder i flere tilfælde også enheder som virksomheden ikke selv har kontrol over. Selvom Microsoft har muligheder for sikkerhed og kontrol i Office 365, er det ikke sikkert at disse lever op til de krav der tidligere har været stillet i forbindelse med en lignende on-premise løsning.
Identity & Access Management
Hvordan vil du tillade adgang til Office 365? Sikker adgang til Office 365 er en grundsten til en sikker løsning. Er brugernavn og password nok? 2-faktor godkendelse? Forskellige krav til adgang for forskellige brugere? Er der brug for PAM løsninger til f.eks. administratorer? Skal samme framework bruges både on-premise som i skyen?
2 faktor godkendelse Skal det gælde alle eller kun administratoren? Token, grid card, certifikat eller SMS?
Adaptive access control Kræve forskellige metoder for login ud fra definerede parametre: Hvornår logger brugeren ind? Hvorfra logger brugeren ind? Fra hvilken enhed logger brugeren ind?
Multi-Factor Authentication er allerede en del af Office 365 Er begrænset til kode via SMS, App eller opkald. Virker kun med Office 365.
Entrust IdentityGuard
IdentityGuard integration User authenticated Open app Re-direct to ADFS 2FA challenge
Malware Visibilitet
Adgang til log i Office 365 Microsoft tilbyder forskellige muligheder for at få adgang til log data : - Office 365 Management Activity API - Office 365 Reporting Web service - Office 365 Service Communications API
3. parts log løsning - Holde øje med administrative handlinger - Indsamling og korrelation af log - Overvågning af log ind og tilladelser - Log af bruger adgang herunder unormal adfærd
CASB Cloud Access Security Broker Holde øje med cloud tjenester på tværs af løsninger Opdage Shadow IT Detektere farlig brugeradfærd Cloud politikker DLP beskyttelse Kryptering og tokens Monitorering og log analyse
Malware
Malware er unikt YOU RE ABSOLUTELY UNIQUE JUST LIKE EVERYONE ELSE Consistent with some other recent vendor reports, we found that 70 to 90% (depending on the source and organization) of malware samples are unique to a single organization. There s another lesson here worth stating: Receiving a never-before-seen piece of malware doesn t mean it was an advanced or targeted attack. It s kinda cool to think they handcrafted a highly custom program just for you, but it s just not true. Get over it and get ready for it. Special snowflakes fall on every backyard.
Malware er brug og smid væk A quick look at the types of malware being used shows they are overwhelmingly opportunistic and relatively short-lived. Even though we looked at data over just a six-month period, 95% of the malware types showed up for less than a month, while four out of five didn t last beyond a week.
Gartner om Exchange Online
Exchange Online Anti-Malware FAQ / Virus detection in Share Point Online Q: How often are the malware definitions updated? A: Each server checks for new malware definitions from our anti-malware partners every hour. Q: Where does malware scanning occur? A: Malware scanning is performed on messages sent to or received from a mailbox. Malware scanning is not performed on a message accessed from a mailbox because it should have already been scanned. If a message is re-sent from a mailbox, it s rescanned. Office 365 can help protect your environment from malware by detecting viruses in files that users upload to SharePoint Online. Files are scanned for viruses after they are uploaded. If a file is found to be infected, a property is set so that users can't download the file from the browser or sync the file in the OneDrive for Business client. Note that files larger than 25 MB in size are not scanned. Office 365 uses a common virus detection engine. The engine runs asynchronously within SharePoint Online, and scans files when they are uploaded. When a file is found to contain a virus, it's flagged so that it can't be downloaded again. Kilde: https://technet.microsoft.com/en-us/library/jj200664%28v=exchg.150%29.aspx Kilde: https://support.office.com/en-us/article/virus-detection-in-sharepoint-online-e3c6df61-8513-499d-ad8e-8a91770bff63
Hvor meget nyt malware? 16.000 nye malware filer i timen
Hvorfor er blokerering af executables ikke løsningen? 60% Kilde: TrendLabs 2014 Targeted Attack Campaign Report
Antivirus is dead - Long live antivirus Anti-malware signaturer kan ikke stå alene. On-access eller planlagt skanning er vigtig da ny malware ikke findes ved første forsøg. Man kan typisk ikke blokere sig ud af problemet med filtyper. Sandboxing kan være en mulighed. Anti-malware er ikke død, men løsningerne har udviklet sig i takt med angriberne. Husk at din løsning også skal opdateres.
Gartner omkring sandboxing Implement sandboxing technology if you need to improve perimeter-based inbound malware detection capabilities. If your organization is budget-constrained or looking for a quick path to add sandboxing, first evaluate adding sandboxing as a feature from one of your current security vendors [ ] It's likely that this approach will be the most cost-effective option, because it utilizes existing infrastructure to feed suspicious objects to the sandbox. If budget permits, or when targeted malware is identified as a high risk, evaluate stand-alone sandboxing solutions. Stand-alone sandboxes typically include more advanced functionality [ ] The increased cost should come with recognized additional benefits such as higher detection rates and a lower number of false positives. Kilde: Gartner Market Guide for Network Sandboxing - Published: 2 March 2015
Hvad er sandbox?
Producenter
Mobile Management
Krav til styring af mobile brugeres adgang til Office 365? Hvilke enheder må tilgå data? Hvilke krav er der til enheden? Hvor nemt skal det være at slette data på en enhed? Hvilke platforme skal understøttes? Skal platformen kun understøtte Office 365 eller skal den også understøtte andre apps?
Gartner om Enterprise Mobile Management
Sikker distribution af Apps Give mulighed for en Enterprise App Store som vises på medarbejderens mobile enhed. Sikker konfiguration af evt. allerede eksisterende Apps, f.eks. mail klient, kalender og kontakter.
Beskyttelse af data på enheden Autorisation Kryptering Konfiguration DLP beskyttelse Bruger godkendelse Sletning af data
Beskyttelse af data i bevægelse Fuld synlighed over hvilke enheder opretter forbindelse til ActiveSync til e-mail-adgang. Mulighed for at definere politikker, så uautoriserede eller mobile enheder der ikke overholder gældene krav - ikke kan få adgang til back-end email eller apps tjenesterne. Løsningen bør være i stand til at beskytte forbindelsen mellem mobile enheder og back-end-tjenester mod et man-in-the-middleangreb.
MobileIron App security model Distribute Office 365 apps securely Configure the native email and PIM apps on mobile devices so they can connect to Office 365. Securely distribute Office 365 apps to mobile devices through the MobileIron Apps@Work enterprise app store. Protect Office 365 data-at-rest on the device Enforce operating system containerization controls such as data separation, Open In restrictions, and selective wipe to protect Office 365 data on the mobile device. Protect Office 365 data-in-motion to the Microsoft Cloud Securely tunnel data from the device to the cloud through MobileIron Tunnel per app VPN. Block rogue devices and browsers from accessing Office 365 by using Microsoft Active Directory Federation Services (ADFS) to limit authentication paths
Mine anbefalinger
Er cloud sikkert at bruge? Måske Hvem har ansvaret for din it-sikkerhed i cloud? Kan du opnå den ønskede sikkerhed og hvordan? Hvem kan og må tilgå dine data? Hvor vigtigt er det for dig at vide, hvor dine data befinder sig? Kan du overholde gældende compliance-krav? Sæt dig grundigt ind i udfordringer og begrænsninger i den enkelte løsning. Cloud er ikke en silver bullet i sig selv.
Cloud is not evil just because it s cloud Betragt ikke cloud som hverken et onde eller et nødvendigt onde, men tænk den ønskede sikkerhed ind i løsningen fra starten. Sikkerhed i cloud er Shared Responsibility
Hvad skal du gøre når du kommer hjem? Ud fra en konkret vurdering, bør der defineres krav til f.eks. anti-malware, Identity- og Privileged Access Management, log håndtering og visibilitet samt kryptering. Find ud af om de muligheder som Microsoft tilbyder i deres løsning er tilstrækkelige i forhold til den ønskede sikkerhed. Hvis der mangler funktioner for at opnå den ønskede sikkerhed, så kig på 3. parts alternativer i stedet for at acceptere et lavere niveau af sikkerhed. Implementer de krævede funktioner ved brug af de indbyggede funktioner i Office 365 sammen med evt. 3. parts produkter.
Husk! Om data bliver stjålet eller systemer bliver kompromiteret fra en on-premise Exchange eller Exchange Online er uden betydning. Du mister data eller tid lige meget hvad.
Tak! Læs mere om Dubex på www.dubex.dk