Dela känslig information mellan organisationer

Det är nu enklare än någonsin att dela skyddad information mellan organisationer. De flesta verksamheter har någon form av kontinuerligt samarbete med leverantörer, partners eller kunder. I många fall är det känslig information som delas i form av allt ifrån kundlistor till olika avtal.

Det har kommit en stor nyhet i Azure Information Protection! Verksamheten kan nu skapa en fördefinierad mall med olika rättigheter till olika samarbetspartners, vilket förenklar för våra slutanvändare. Mallen definierar vilka rättigheter som skall gälla för användare inom en viss domän och handlar det om samarbete med flera olika företag/organisationer kan vi definiera olika rättigheter per domän för att matcha verksamhetsbehoven. På samma sätt kan vi även automatisera med dessa mallar så känslig information skyddas med automatik baserat var det lagras eller skickas med samma mall.

Lösningen gör det inte bara enklare för vår egen verksamhet utan ger också möjlighet för samarbetspartnern att hantera informationen inom sin verksamhet. Har de tillräckligt med rättigheter för att exempelvis kunna vidarebefordra information kan de fortsätta kommunicera internt.
Den stora fördelen är också att den som applicerar skyddet hela tiden kan övervaka och spåra vilka inom respektive verksamhet som tagit del av informationen. Vid behov kan även tillgången till informationen dras tillbaka både av den som delat informationen ursprungligen. alternativt av de som administrerar lösningen.

Vi tar ett exempel!

I det här fallet har vi skapat mall för vår demoverksamhet som ger full behörighet för samarbete med alla på Onevinn, vi har även definierat att om det skickas till något på Microsoft har de även rättigheter att läsa innehållet. Där emot är det enbart Onevinn anställda som med denna konfiguration har rättighet att dela informationen via epost internt.

image

Slutanvändaren har en säkerhetsklassning som gör att den enkelt kan definiera klassning och därmed detta skydd oavsett fil. Precis som tidigare skyddas även eventuell bifogat office-dokument om man skyddar ett mail i Outlook.

Användaren väljer i detta fall informationsklassningen Secret och “Cooperation with Onevinn and Microsoft”. (Motsvarande kan även genomföras med automatik baserat på innehåll i mail eller bifogad fil)

image

En anställd på Microsoft som mottager det här mailet är begränsad att kunna vidarebefordra mailat och bifogat dokument är enbart tillgängligt för läsning.

image

Däremot har den på Onevinn som får detta mail fulla rättigheter att vidarebefordra mailet men det är enbart användare inom Onevinn som har rättigheter att läsa och ändra innehållet i dokumentet. Skulle någon vidarebordra mailet och bifogat dokument utanför Onevinn blockeras tillgången och försöket loggas.

image

Användaren kan sedan följa vilka som tagit del av detta dokument och vid behov även blockera tillgången till dokumentet.

image

Publicerat i Informationssäkerhet | Märkt , , | Lämna en kommentar

Rättighetskrav för att redovisa informationsklassning i Office

Att kunna redovisa för en mottagare av ett dokument vilken informationsklassning informationen har är viktigt. Att belysa om ett dokument är av publik karaktär eller säkerhetsklassat styr användarens betende både vad gäller redigering och hantering av dokumentet.

Med Azure Informations Protections plug-in förenklas en utrullning av RMS avsevärt tack vare den pedagogiska listen som beskriver informationsklassningen.

image

Som det ser ut i dagsläget så krävs det att ett RMS krypterat dokument ger mottagaren följande behörighet:

image

Om denna behörighet saknas kan listen i Office nämligen inte visas i nuläget (detta kan komma att förändras framöver i Office 2016 men inte i tidigare Office -versioner)

image

Som standard tillåts inte detta i RMS grundmall “Confidential View Only” utan alla Office dokument skyddade med denna och andra mallar baserat på “Viewer” kommer få ovanstående beteende där listen inte kan visas.

image

För att lösa detta modifiera därför de RMS mallar som är definierade som Viewer och manuellt lägg till de rättigheter som gäller, inklusive rättigheten “OBJMODEL”, beskrivs som “Allow Macros” i portalen.

image

Publicerat i Informationssäkerhet, RMS | Märkt , | Lämna en kommentar

Nyheter på ITSäkerhetsGuiden

En hel del förändringar kommer ske på ITSäkerhetsGuiden. Microsoft släpper konstant nyheter inom bl.a. säkerhetsområdet och mycket av det kan du läsa om här på  ITSäkerhetsGuiden.

För att enklare erbjuda aktuell och uppdaterad information kommer de statiska sidorna täcka aktuella områden och uppdateras succesivt.
Självklart kommer det fortsätta komma löpande bloggposter där det som vanligt är viktigt för dig som läsare att hålla koll på publiceringsdatum precis som på andra teknikbloggar runt om på nätet.

Först ut är Informationsskydd som beskriver lösningar som skyddar vår information. I dagsläget beskrivs teknikerna Azure Information Protection och Windows Information Protection.

All feedback är välkommet, trevlig läsning!

Publicerat i Okategoriserade | Lämna en kommentar

TechDays 2016

Missade du TechDays kan jag dessvärre inte göra något åt att du även missade de öl vi passade på att bjuda på under vår sista session strax innan den stora TechDays-festen. Där emot är det inget som hindrar att du själv häller upp en kaffe (eller öl) och avnjuter sessionen på egen hand.

Jag tillsammans med Jörgen Nilsson går under sessionen igenom den senaste tekniken runt Windows 10 och flera Azure-tjänster. Lösningar som skyddar både verksamhetens känsliga information, kritiska tjänster och själva Windows enheten.

Publicerat i Microsoft Event | Lämna en kommentar

Djup analys av nya filer med Defender – Block at first Sight

Det är en konstant fight mellan de goda och de onda när det kommer till att skydda sig mot attacker och skadlig kod. Att bekämpa skadlig kod och andra typer av attacker och intrång blir allt svårare. Signaturer och beteendebaserade lösningar har en utmaning när skadlig kod som ransomware och andra intrång nu använder sig av inbyggda tjänster och verktyg. Utmaningen för så kallad ”false positive” där man riskerar att blockera även legitima tjänster blir allt större.

Microsofts antimalware Windows Defender har nu en ny funktion kallad Block at first sight. Den här funktionen drar nytta av all big data, machine learning och analytics tjänster som Microsoft besitter, kallad Intelligent Security Graph.

Så fort en ny fil från en extern källa försöker exekveras kommer realtidskyddet i Windows Defender verifiera om den här filen är känd sedan tidigare. Filen identifierats genom att dess unika hash laddas upp och inom någon sekund verifieras filen. Om hashen är känd och godkänd, släpper Defender filen och den kan exekveras.

Om den inte är känd sedan tidigare, kommer en kopia av själva filen laddas upp och via machine learning och flera avancerad analytics-tjänster verifiera om filen är legitim eller ej. Om den anses som skadlig kommer filen blockeras, dels på den aktuella klienten men även på alla kommande klienter som försöker köra samma fil.

Detta innebär alltså att första gången en ny exekverbar fil påträffas kommer det ta en längre stund där ”Running security scan” visas under tiden som filen blockeras och en kopia laddas upp för analys. För alla resterande klienter som efter detta får samma fil, vet Defender inom någon sekund om den är klassificerad som legitim. Filen exekveras då utan märkbar fördröjning. Motsvarande om filen är skadlig kommer filen blockeras på alla övriga klienter som nyttjar denna ”Block at first sight” tjänst.

Hur aktiveras Block at first sight?

Block at first sight är aktiverat som standard om följande konfiguration är gjort:

· Microsoft MAPS (Microsoft Active Protection Service) är aktiverat

· Send file samples when further analysis is required är aktiverad och satt till antingen “Send safe samples” eller “Send all samples”

Verifiera en Windowsklient att Block at first sight är aktiverat

Under inställningar för Windows Defender verifiera att både Cloud-based Protection samt Automatic sample submission är satta till On enligt bilden nedan:

image

Publicerat i Endpoint Protection, Windows 10 | Lämna en kommentar

Skydda mail oavsett mottagare och enhet

Förändringsprocessen är alltid krävande för våra verksamheter och att anpassa en användare att förändra tidigare vanor kan vara så gott som omöjligt. Detta är en stor utmaning när man inför ett informationsskydd. Något jag ofta får höra när det kommer till att konsumera krypterade mail på mobila enheter är att “jag kommer inte byta ut min favorit-mailklient”. I de flesta fallen är det den inbyggda standardappen på både iPhone och Android, alternativt att användaren har hittat någon annan favorit som den vägrar gå ifrån. Tidigare har vi haft möjlighet att konsumera krypterade mail i Outlook appen (vilket är min favorit för mail och kalender på iPhone) men alla vill/kan/får inte byta ut sin nuvarande app för mail.

Det är av ännu större vikt att minska kraven på mottagaren av det krypterade meddelandet, i många fall är det komplexitet som till slut resulterar i att den känsliga informationen skickas utan kryptering.

Det finns nu en uppdaterad app i både Google Play Store och Apple App Store vid namn Azure Information Protection (AIP) Viewer (tidigare RMS Sharing App). Den största uppdateringen är att den nu kan öppna RPMSG filer, alltså RMS/AIP-krypterade mail.

Det här resulterar i att användarna kan använda precis vilken mail-klient de vill. När de får ett krypterat mail i formatet RPSMG kan de välja att öppna just detta mail med AIP Viewer och kan då konsumera innehållet.

 

image

Client-side kontra Server-side encryption

Tack vare ovanstående metod att dekryptera och konsumera krypterade mail på våra mobila enheter används det som kallas client-side encryption. Det här betyder att dekrypteringen sker på användarens enhet, vilket motsvarar samma metod som traditionellt används i Office och på våra Windows-enheter.

För att dekryptera mail via exempelvis webbläsaren i Outlook Web App eller Exchange ActiveSync där vi inte har möjlighet att “bootstrapa” användarens enheten (klicka för en djupare förklaring om hur krypteringen fungerar) används så kallad Server-side-encryption. I det här fallet är det Exchange som dekrypterar innehållet baserat på rättigheterna för den autentiserade användaren.

För att det här skall fungera behöver vi aktivera IRM-stöd i Exchange som i bakgrunden aktiverar en egen RMS motor i Exchange med en import av organisationsnyckeln. Inom en snar framtid kommer Exchange få stöd för HSM (BYOK konceptet) men idag saknas dess funktion och därmed kan inte Server-side encryption aktiveras om man kör BYOK/HSM. Det finns även organisationer som av policyskäl enbart tillåter client-side encryption och därmed inte tillåter server-side encryption vilket resulterar i att webbläsare och Active-syncbaserade mailklienter inte kan nyttjas för RMS/AIP-skyddade mail.

Tack vare Azure Information Protection Viewer kan

· Användaren och mottagaren använda vilken mail klient som helst

· Innehållet dekrypteras på enheten

· Organisationen använda BYOK

 

Vi kommer inom en snar framtid få fler funktioner för att kunna dela krypterad information utan några som helst krav på konto eller mailklient hos mottagaren. Vilket bland annat drar nytt av den teknik som redan idag finns i Office 365 vid namn Office 365 Message Encryption (OME) som också ger möjlighet att kryptera till vem som helst utan några krav på mottagaren. OME saknar dock den spårbarhets och revokeringsmöjlighet som Azure Information Protection idag har.

En spännande framtid väntar runt informationsskydd så följ ITSäkerhetsGuiden och missa inte TechDays om några veckor för att få reda på det senaste.

Publicerat i Azure, Informationssäkerhet, RMS | Lämna en kommentar

Informationsklassningen avgör valet mellan AD och Azure RMS

Flera verksamheter har krav att viss information skall vara krypterad med interna nycklar som skapas och tillhandahålls av verksamheten själv. Oftast baseras detta på en intern policy eller lagkrav.

I det här fallet är Active Directory Rights Management Services (AD RMS) en passande lösning där interna nycklar skapas och används. All övervakning och spårbarhet lagras lokalt oavsett var sedan information lagras eller flyttas.

De flesta verksamheter har dock behovet att kunna dela känslig information med en extern part som kunder eller samarbetspartner där Azure Rights Management löser denna utmaning. Till skillnad från AD RMS ger Azure RMS möjlighet att dela information på ett enkelt sätt med externa användare. Den som applicerar skyddet har även möjlighet att både spåra och återkalla information som delats både internt och externt med hjälp av Azure Rights Management.

Att kombinera dessa två tekniker har tidigare varit möjligt men har däremot varit krävande att införa och långt ifrån användarvänligt.

Azure Information Protection tillför stora fördelar

clip_image001Klassificera information, vilket är den viktigaste delen vid ett införande av informationsskydd. Klassificeringen redovisas tydligt för användaren dels via Office applikationen men även via märkning i själva dokumenten. Tydligheten främjar användarmedvetenheten vilket är en viktig del vid införande av en informationsklassning.

Det är av stor vikt att även klassificera vilken information som är publik (och därmed inte krypterad), vilket i många fall även det kan vara ett lagkrav.

Utifrån varje klassificering finns möjligheten att även applicera ett skydd av informationen som kan antingen baseras på Azure Rights Management alternativt AD RMS. Det här underlättar för verksamheten och dess användare som enbart klassificerar informationen. Vilken eventuell teknik som används för att skydda den aktuella informationen är inget de behöver ta hänsyn till, då detta sker i bakgrunden. 

Det gör det även enkelt att byta klassificering och den bakomliggande teknik som krypterar det aktuella dokumentet.

Automatisk klassificering

För att stötta verksamheten så mycket som möjligt går det även att skapa regler som baseras på innehållet i dokumentet. Antingen ord, meningar eller reguljära utryck så som personnummer, passnummer, kontonummer med mera. Varje gång dokumentet sparas genomförs det en kontroll av regelverket och identifieras någon information som en aktuell klassificering uppmanas användaren att ändra klassificering.

Klassificeringen i det här fallet skulle även kunna vara att krypteringen av dokumentet ändras till att skyddas av AD RMS och då också säkerhetsställa att ingen extern part kommer kunna nå informationen.

Förutom att klassificeringen ökar medvetenheten hos våra användare och vår verksamhet, underlättar även denna klassificering också att integrera med flera rättighetsmallar. Mallarna kan precis som i detta exempel kommer från både Azure RMS och AD RMS.

Det viktigaste under ett införande är en genomarbetad informationsklassning och design som automatiserar så mycket som möjligt åt användaren och verksamheten. Jag och mina kollegor på Onevinn har många års erfarenhet av RMS och informationssäkerhet så ta gärna hjälp av oss i ett tidigt skede för att inte råka ut för några fallgropar.

Publicerat i Azure, Informationssäkerhet, RMS | Märkt | Lämna en kommentar