Identitetsskydd på plats

ITSäkerhetsGuiden fortsätter att utvecklas och för de uppmärksammade är ännu en statisk sida på plats, nu för identitetsskydd.

På motsvarande sätt som informationsskydd når du en sammanfattning som kommer uppdateras frekvent med betydande nyheter nu även inom identitetsskydd:
https://itsakerhetsguiden.se/identitetsskydd/

Framöver planerar jag även att komplettera med klientskydd och skydd av lokal infrastruktur. Med allt ifrån nya tjänster så som Advanced Threat Protection, Advanced Threat Analytics till klassiska lösningar som Applocker, Defender, SDI m.m. (som fortfarande är avgörande för att skydda vår infrastruktur mot dagens attacker).

All feedback är välkommet

Publicerat i Generell Säkerhet | Lämna en kommentar

Upplev TechX säkerhetsdag i efterhand

Missade du Microsoft TechX för någon vecka sedan? Eller va du där och såg min session och även den bugg som påträffades och därmed vill se hur det fungerar även utan demospöke?

techx

Allt spelades in och kan ses här (inklusive ett kort klipp där jag visar hur Windows Information Protection skall fungera i skarp version till skillnad från den bugg i en tidig Preview version som identifierades under sessionen)

 

 

 

 

 

Publicerat i Advanced Threat Analytics, Endpoint Protection, Informationssäkerhet, Microsoft Event, RMS | Märkt | Lämna en kommentar

Dela känslig information mellan organisationer

Det är nu enklare än någonsin att dela skyddad information mellan organisationer. De flesta verksamheter har någon form av kontinuerligt samarbete med leverantörer, partners eller kunder. I många fall är det känslig information som delas i form av allt ifrån kundlistor till olika avtal.

Det har kommit en stor nyhet i Azure Information Protection! Verksamheten kan nu skapa en fördefinierad mall med olika rättigheter till olika samarbetspartners, vilket förenklar för våra slutanvändare. Mallen definierar vilka rättigheter som skall gälla för användare inom en viss domän och handlar det om samarbete med flera olika företag/organisationer kan vi definiera olika rättigheter per domän för att matcha verksamhetsbehoven. På samma sätt kan vi även automatisera med dessa mallar så känslig information skyddas med automatik baserat var det lagras eller skickas med samma mall.

Lösningen gör det inte bara enklare för vår egen verksamhet utan ger också möjlighet för samarbetspartnern att hantera informationen inom sin verksamhet. Har de tillräckligt med rättigheter för att exempelvis kunna vidarebefordra information kan de fortsätta kommunicera internt.
Den stora fördelen är också att den som applicerar skyddet hela tiden kan övervaka och spåra vilka inom respektive verksamhet som tagit del av informationen. Vid behov kan även tillgången till informationen dras tillbaka både av den som delat informationen ursprungligen. alternativt av de som administrerar lösningen.

Vi tar ett exempel!

I det här fallet har vi skapat mall för vår demoverksamhet som ger full behörighet för samarbete med alla på Onevinn, vi har även definierat att om det skickas till något på Microsoft har de även rättigheter att läsa innehållet. Där emot är det enbart Onevinn anställda som med denna konfiguration har rättighet att dela informationen via epost internt.

image

Slutanvändaren har en säkerhetsklassning som gör att den enkelt kan definiera klassning och därmed detta skydd oavsett fil. Precis som tidigare skyddas även eventuell bifogat office-dokument om man skyddar ett mail i Outlook.

Användaren väljer i detta fall informationsklassningen Secret och “Cooperation with Onevinn and Microsoft”. (Motsvarande kan även genomföras med automatik baserat på innehåll i mail eller bifogad fil)

image

En anställd på Microsoft som mottager det här mailet är begränsad att kunna vidarebefordra mailat och bifogat dokument är enbart tillgängligt för läsning.

image

Däremot har den på Onevinn som får detta mail fulla rättigheter att vidarebefordra mailet men det är enbart användare inom Onevinn som har rättigheter att läsa och ändra innehållet i dokumentet. Skulle någon vidarebordra mailet och bifogat dokument utanför Onevinn blockeras tillgången och försöket loggas.

image

Användaren kan sedan följa vilka som tagit del av detta dokument och vid behov även blockera tillgången till dokumentet.

image

Publicerat i Informationssäkerhet | Märkt , , | 1 kommentar

Rättighetskrav för att redovisa informationsklassning i Office

Att kunna redovisa för en mottagare av ett dokument vilken informationsklassning informationen har är viktigt. Att belysa om ett dokument är av publik karaktär eller säkerhetsklassat styr användarens betende både vad gäller redigering och hantering av dokumentet.

Med Azure Informations Protections plug-in förenklas en utrullning av RMS avsevärt tack vare den pedagogiska listen som beskriver informationsklassningen.

image

Som det ser ut i dagsläget så krävs det att ett RMS krypterat dokument ger mottagaren följande behörighet:

image

Om denna behörighet saknas kan listen i Office nämligen inte visas i nuläget (detta kan komma att förändras framöver i Office 2016 men inte i tidigare Office -versioner)

image

Som standard tillåts inte detta i RMS grundmall “Confidential View Only” utan alla Office dokument skyddade med denna och andra mallar baserat på “Viewer” kommer få ovanstående beteende där listen inte kan visas.

image

För att lösa detta modifiera därför de RMS mallar som är definierade som Viewer och manuellt lägg till de rättigheter som gäller, inklusive rättigheten “OBJMODEL”, beskrivs som “Allow Macros” i portalen.

image

Publicerat i Informationssäkerhet, RMS | Märkt , | Lämna en kommentar

Nyheter på ITSäkerhetsGuiden

En hel del förändringar kommer ske på ITSäkerhetsGuiden. Microsoft släpper konstant nyheter inom bl.a. säkerhetsområdet och mycket av det kan du läsa om här på  ITSäkerhetsGuiden.

För att enklare erbjuda aktuell och uppdaterad information kommer de statiska sidorna täcka aktuella områden och uppdateras succesivt.
Självklart kommer det fortsätta komma löpande bloggposter där det som vanligt är viktigt för dig som läsare att hålla koll på publiceringsdatum precis som på andra teknikbloggar runt om på nätet.

Först ut är Informationsskydd som beskriver lösningar som skyddar vår information. I dagsläget beskrivs teknikerna Azure Information Protection och Windows Information Protection.

All feedback är välkommet, trevlig läsning!

Publicerat i Okategoriserade | Lämna en kommentar

TechDays 2016

Missade du TechDays kan jag dessvärre inte göra något åt att du även missade de öl vi passade på att bjuda på under vår sista session strax innan den stora TechDays-festen. Där emot är det inget som hindrar att du själv häller upp en kaffe (eller öl) och avnjuter sessionen på egen hand.

Jag tillsammans med Jörgen Nilsson går under sessionen igenom den senaste tekniken runt Windows 10 och flera Azure-tjänster. Lösningar som skyddar både verksamhetens känsliga information, kritiska tjänster och själva Windows enheten.

Publicerat i Microsoft Event | Lämna en kommentar

Djup analys av nya filer med Defender – Block at first Sight

Det är en konstant fight mellan de goda och de onda när det kommer till att skydda sig mot attacker och skadlig kod. Att bekämpa skadlig kod och andra typer av attacker och intrång blir allt svårare. Signaturer och beteendebaserade lösningar har en utmaning när skadlig kod som ransomware och andra intrång nu använder sig av inbyggda tjänster och verktyg. Utmaningen för så kallad ”false positive” där man riskerar att blockera även legitima tjänster blir allt större.

Microsofts antimalware Windows Defender har nu en ny funktion kallad Block at first sight. Den här funktionen drar nytta av all big data, machine learning och analytics tjänster som Microsoft besitter, kallad Intelligent Security Graph.

Så fort en ny fil från en extern källa försöker exekveras kommer realtidskyddet i Windows Defender verifiera om den här filen är känd sedan tidigare. Filen identifierats genom att dess unika hash laddas upp och inom någon sekund verifieras filen. Om hashen är känd och godkänd, släpper Defender filen och den kan exekveras.

Om den inte är känd sedan tidigare, kommer en kopia av själva filen laddas upp och via machine learning och flera avancerad analytics-tjänster verifiera om filen är legitim eller ej. Om den anses som skadlig kommer filen blockeras, dels på den aktuella klienten men även på alla kommande klienter som försöker köra samma fil.

Detta innebär alltså att första gången en ny exekverbar fil påträffas kommer det ta en längre stund där ”Running security scan” visas under tiden som filen blockeras och en kopia laddas upp för analys. För alla resterande klienter som efter detta får samma fil, vet Defender inom någon sekund om den är klassificerad som legitim. Filen exekveras då utan märkbar fördröjning. Motsvarande om filen är skadlig kommer filen blockeras på alla övriga klienter som nyttjar denna ”Block at first sight” tjänst.

Hur aktiveras Block at first sight?

Block at first sight är aktiverat som standard om följande konfiguration är gjort:

· Microsoft MAPS (Microsoft Active Protection Service) är aktiverat

· Send file samples when further analysis is required är aktiverad och satt till antingen “Send safe samples” eller “Send all samples”

Verifiera en Windowsklient att Block at first sight är aktiverat

Under inställningar för Windows Defender verifiera att både Cloud-based Protection samt Automatic sample submission är satta till On enligt bilden nedan:

image

Publicerat i Endpoint Protection, Windows 10 | Lämna en kommentar