Djup analys av nya filer med Defender – Block at first Sight

Det är en konstant fight mellan de goda och de onda när det kommer till att skydda sig mot attacker och skadlig kod. Att bekämpa skadlig kod och andra typer av attacker och intrång blir allt svårare. Signaturer och beteendebaserade lösningar har en utmaning när skadlig kod som ransomware och andra intrång nu använder sig av inbyggda tjänster och verktyg. Utmaningen för så kallad ”false positive” där man riskerar att blockera även legitima tjänster blir allt större.

Microsofts antimalware Windows Defender har nu en ny funktion kallad Block at first sight. Den här funktionen drar nytta av all big data, machine learning och analytics tjänster som Microsoft besitter, kallad Intelligent Security Graph.

Så fort en ny fil från en extern källa försöker exekveras kommer realtidskyddet i Windows Defender verifiera om den här filen är känd sedan tidigare. Filen identifierats genom att dess unika hash laddas upp och inom någon sekund verifieras filen. Om hashen är känd och godkänd, släpper Defender filen och den kan exekveras.

Om den inte är känd sedan tidigare, kommer en kopia av själva filen laddas upp och via machine learning och flera avancerad analytics-tjänster verifiera om filen är legitim eller ej. Om den anses som skadlig kommer filen blockeras, dels på den aktuella klienten men även på alla kommande klienter som försöker köra samma fil.

Detta innebär alltså att första gången en ny exekverbar fil påträffas kommer det ta en längre stund där ”Running security scan” visas under tiden som filen blockeras och en kopia laddas upp för analys. För alla resterande klienter som efter detta får samma fil, vet Defender inom någon sekund om den är klassificerad som legitim. Filen exekveras då utan märkbar fördröjning. Motsvarande om filen är skadlig kommer filen blockeras på alla övriga klienter som nyttjar denna ”Block at first sight” tjänst.

Hur aktiveras Block at first sight?

Block at first sight är aktiverat som standard om följande konfiguration är gjort:

· Microsoft MAPS (Microsoft Active Protection Service) är aktiverat

· Send file samples when further analysis is required är aktiverad och satt till antingen “Send safe samples” eller “Send all samples”

Verifiera en Windowsklient att Block at first sight är aktiverat

Under inställningar för Windows Defender verifiera att både Cloud-based Protection samt Automatic sample submission är satta till On enligt bilden nedan:

image

Publicerat i Endpoint Protection, Windows 10 | Lämna en kommentar

Skydda mail oavsett mottagare och enhet

Förändringsprocessen är alltid krävande för våra verksamheter och att anpassa en användare att förändra tidigare vanor kan vara så gott som omöjligt. Detta är en stor utmaning när man inför ett informationsskydd. Något jag ofta får höra när det kommer till att konsumera krypterade mail på mobila enheter är att “jag kommer inte byta ut min favorit-mailklient”. I de flesta fallen är det den inbyggda standardappen på både iPhone och Android, alternativt att användaren har hittat någon annan favorit som den vägrar gå ifrån. Tidigare har vi haft möjlighet att konsumera krypterade mail i Outlook appen (vilket är min favorit för mail och kalender på iPhone) men alla vill/kan/får inte byta ut sin nuvarande app för mail.

Det är av ännu större vikt att minska kraven på mottagaren av det krypterade meddelandet, i många fall är det komplexitet som till slut resulterar i att den känsliga informationen skickas utan kryptering.

Det finns nu en uppdaterad app i både Google Play Store och Apple App Store vid namn Azure Information Protection (AIP) Viewer (tidigare RMS Sharing App). Den största uppdateringen är att den nu kan öppna RPMSG filer, alltså RMS/AIP-krypterade mail.

Det här resulterar i att användarna kan använda precis vilken mail-klient de vill. När de får ett krypterat mail i formatet RPSMG kan de välja att öppna just detta mail med AIP Viewer och kan då konsumera innehållet.

 

image

Client-side kontra Server-side encryption

Tack vare ovanstående metod att dekryptera och konsumera krypterade mail på våra mobila enheter används det som kallas client-side encryption. Det här betyder att dekrypteringen sker på användarens enhet, vilket motsvarar samma metod som traditionellt används i Office och på våra Windows-enheter.

För att dekryptera mail via exempelvis webbläsaren i Outlook Web App eller Exchange ActiveSync där vi inte har möjlighet att “bootstrapa” användarens enheten (klicka för en djupare förklaring om hur krypteringen fungerar) används så kallad Server-side-encryption. I det här fallet är det Exchange som dekrypterar innehållet baserat på rättigheterna för den autentiserade användaren.

För att det här skall fungera behöver vi aktivera IRM-stöd i Exchange som i bakgrunden aktiverar en egen RMS motor i Exchange med en import av organisationsnyckeln. Inom en snar framtid kommer Exchange få stöd för HSM (BYOK konceptet) men idag saknas dess funktion och därmed kan inte Server-side encryption aktiveras om man kör BYOK/HSM. Det finns även organisationer som av policyskäl enbart tillåter client-side encryption och därmed inte tillåter server-side encryption vilket resulterar i att webbläsare och Active-syncbaserade mailklienter inte kan nyttjas för RMS/AIP-skyddade mail.

Tack vare Azure Information Protection Viewer kan

· Användaren och mottagaren använda vilken mail klient som helst

· Innehållet dekrypteras på enheten

· Organisationen använda BYOK

 

Vi kommer inom en snar framtid få fler funktioner för att kunna dela krypterad information utan några som helst krav på konto eller mailklient hos mottagaren. Vilket bland annat drar nytt av den teknik som redan idag finns i Office 365 vid namn Office 365 Message Encryption (OME) som också ger möjlighet att kryptera till vem som helst utan några krav på mottagaren. OME saknar dock den spårbarhets och revokeringsmöjlighet som Azure Information Protection idag har.

En spännande framtid väntar runt informationsskydd så följ ITSäkerhetsGuiden och missa inte TechDays om några veckor för att få reda på det senaste.

Publicerat i Azure, Informationssäkerhet, RMS | Lämna en kommentar

Informationsklassningen avgör valet mellan AD och Azure RMS

Flera verksamheter har krav att viss information skall vara krypterad med interna nycklar som skapas och tillhandahålls av verksamheten själv. Oftast baseras detta på en intern policy eller lagkrav.

I det här fallet är Active Directory Rights Management Services (AD RMS) en passande lösning där interna nycklar skapas och används. All övervakning och spårbarhet lagras lokalt oavsett var sedan information lagras eller flyttas.

De flesta verksamheter har dock behovet att kunna dela känslig information med en extern part som kunder eller samarbetspartner där Azure Rights Management löser denna utmaning. Till skillnad från AD RMS ger Azure RMS möjlighet att dela information på ett enkelt sätt med externa användare. Den som applicerar skyddet har även möjlighet att både spåra och återkalla information som delats både internt och externt med hjälp av Azure Rights Management.

Att kombinera dessa två tekniker har tidigare varit möjligt men har däremot varit krävande att införa och långt ifrån användarvänligt.

Azure Information Protection tillför stora fördelar

clip_image001Klassificera information, vilket är den viktigaste delen vid ett införande av informationsskydd. Klassificeringen redovisas tydligt för användaren dels via Office applikationen men även via märkning i själva dokumenten. Tydligheten främjar användarmedvetenheten vilket är en viktig del vid införande av en informationsklassning.

Det är av stor vikt att även klassificera vilken information som är publik (och därmed inte krypterad), vilket i många fall även det kan vara ett lagkrav.

Utifrån varje klassificering finns möjligheten att även applicera ett skydd av informationen som kan antingen baseras på Azure Rights Management alternativt AD RMS. Det här underlättar för verksamheten och dess användare som enbart klassificerar informationen. Vilken eventuell teknik som används för att skydda den aktuella informationen är inget de behöver ta hänsyn till, då detta sker i bakgrunden. 

Det gör det även enkelt att byta klassificering och den bakomliggande teknik som krypterar det aktuella dokumentet.

Automatisk klassificering

För att stötta verksamheten så mycket som möjligt går det även att skapa regler som baseras på innehållet i dokumentet. Antingen ord, meningar eller reguljära utryck så som personnummer, passnummer, kontonummer med mera. Varje gång dokumentet sparas genomförs det en kontroll av regelverket och identifieras någon information som en aktuell klassificering uppmanas användaren att ändra klassificering.

Klassificeringen i det här fallet skulle även kunna vara att krypteringen av dokumentet ändras till att skyddas av AD RMS och då också säkerhetsställa att ingen extern part kommer kunna nå informationen.

Förutom att klassificeringen ökar medvetenheten hos våra användare och vår verksamhet, underlättar även denna klassificering också att integrera med flera rättighetsmallar. Mallarna kan precis som i detta exempel kommer från både Azure RMS och AD RMS.

Det viktigaste under ett införande är en genomarbetad informationsklassning och design som automatiserar så mycket som möjligt åt användaren och verksamheten. Jag och mina kollegor på Onevinn har många års erfarenhet av RMS och informationssäkerhet så ta gärna hjälp av oss i ett tidigt skede för att inte råka ut för några fallgropar.

Publicerat i Azure, Informationssäkerhet, RMS | Märkt | Lämna en kommentar

Azure AD Identity Protection

ITSäkerhetsGuiden har tidigare förklarat hur vi stärker autentiseringen och skyddar våra identiteter genom Azure Active Directory och hur Azure AD Premium-licensen ger rapporter och larm på olegitima inloggningar både baserat på beteende och information från bl.a. Microsoft Cybercrime Center

https://itsäkerhetsguiden.se/autentisering-i-azure/
https://itsäkerhetsguiden.se/förekommer-ditt-konto-i-en-stulen-kontodatabas/

Tack vare dessa avancerade rapporter får verksamheten bland annat reda på om en användare loggar in från flera destinationer inom en orimlig tidsperiod eller om inloggningen kommer från en svartlistad IP eller enhet. Dessa rapporter ger oss vetskap men överlåter ansvaret till verksamheten att vidta åtgärder. (Dock är denna information tillgänglig via öppna APIer så våra egna utvecklare har gjort skräddarsydda åtgärder efter våra kunders behov vid dessa larm).

Vad tillför då Azure AD Identity Protection?

Detta är en ny central plats i Azure för att skydda våra identiteter. Azure Identity Protection portalen redovisar

  • en översikt över alla konton i vårat Azure AD
  • en översikt över händelser och sårbarheter/svagheter
  • information från Priviliged Identity Protection (PIM) över administrativa roller och dess nyttjande av just-in-time access.

Möjlighet att konfigurera åtgärdspolicys som triggar på riskfyllda event och antingen blockerar tillgång till tjänster eller påtvingar åtgärder som lösenordsåterställning eller flerfaktorinloggning.

clip_image002

Exempel

Om en inloggning kommer från en anonymiseringstjänst så som exempelvis en Tor Browser eller dess nätverk och policyn är inställd på att blockera tillgång händer följande:

Användaren blockeras att nå den tjänst publicerad via Azure AD (både externa men även Interna via Azure Application Proxy)

snip_20160913074803 snip_20160913074749

Kontot blir vid denna händelse låst och all tillgång via detta konto blockeras även via en legitim webbläsare eller applikation.

image

För att kontot skall aktiveras på nytt måste användaren antingen kontakta IT som återaktiverar kontot. Alternativt finns även möjligheten för användaren att logga in från en registrerad och godkänd enhet från en tidigare nyttjad och godkänd IP och med flerfaktor autentisering aktivera kontot på nytt.

Händelsen redovisas i Azure AD Identity Protection portalen som då ger verksamheten möjlighet att utreda och få spårbarhet över denna händelse och även övriga inloggningar som skett via detta konto för att genomföra en utredning. Från samma portal har vi även möjlighet att hantera kontot i form att återställa lösenordet eller påtvinga flerfaktorautentisering.

snip_20160913074720

Publicerat i Azure | Märkt | Lämna en kommentar

IT-säkerhetsevent hos Microsoft den 4:e Oktober

Informationsläckage, identitetsstöld och IT-intrång ökar drastiskt! Samtidigt har vi utmaningen att hänga med i teknikens snabba utveckling och alla nyheter som släpps så gott varje dag. Boka därför in den 4:e Oktober för en gratis halvdag hos Microsoft i Akalla fullspäckad med IT-Säkerhet. Vi på Onevinn komma prata om den ökade hotbilden mot svenska verksamheter och berätta om våra erfarenheter och lösningar. Allt ifrån verksamheter som nyttjar molntjänster till de som av lagkrav eller företagspolicys inte kunnat nyttja tjänster i molnet.179131_434740666546498_567414379_n

Med hjälp av bland annat Windows 10, Windows och Azure Information Protection, Advanced Threat Protection och Advanced Threat Analytics och mycket mer kommer vi berätta och demonstrera hur vi kan skydda känslig information, identiteter, och detektera och förhindra intrång.

Jag, Anders Olsson kommer berätta och demonstrera om den senaste tekniken för att skydda identiteter och känslig information.

Tom Aafloen, CISSP och före detta penetrationstestare kommer berätta om hur intrång idag går till och hur vi i ett tidigt stadie kan identifiera attacker i vår lokala infrastruktur.

Jörgen Nilsson, en av Sveriges mest erfarna inom klienthantering kommer berätta om hur vi hanterar verksamhetens alla olika typer av enheter och hur vi bemöter utmaningen med privata enheter. Mycket Windows 10!

Läs mer och anmäl dig på https://onevinn.eventbrite.com

Publicerat i Advanced Threat Analytics, Informationssäkerhet, Microsoft Event, RMS, WAP, Windows 10 | Märkt | Lämna en kommentar

Förändringar under sommaren

Hoppas du har haft en bra sommar och att du är tillbaka med ny energi på jobbet. Vi lever i en ständigt föränderlig värld där det även under arbetstid är tidskrävande att hänga med i alla förändringar och det blir knappast enklare under semestern. 

För att snabbt komma på banan vill jag med den här artikeln gå igenom några viktiga förändringar som skedde under sommaren runt Microsofts säkerhetslösningar.

EDP = WIP

Den DLP-tjänst i Windows 10 kallad Enterprise Data Protection (EDP) har nu lanserats skarpt i Windows Anniversary Update (ver. 1607) men har i och med skarp release även bytt namn till Windows Information Protection (WIP)

Om du tidigare testat EDP tillsammans med Windows Insider och konfigurerat upp en Intune-policy kommer din applocker -konfiguration att försvinna och nedanstående meddelande redovisas i Intune när du öppnar din tidigare EDP-policy:

clip_image001

Dina maskiner som fått den befintliga policyn kommer vara oförändrade, men där emot är App Rules i policyn rensad och du behöver konfigurera upp dessa regler på nytt.

Är du osäker på vilka applikationer du tidigare definierat och med vilken syntax, kan du nyttja en tidigare konfigurerad Windows 10 klient. Under följande sökväg hittar du befintliga Applocker-regler som kan vara bra att ha till hands när du konfigurerar upp nya regler:
C:\Windows\System32\AppLocker\MDM\<>\AppLocker\EnterpriseDataProtection\ 

Azure Rights Management = Azure Information Protection

Den senaste tjänsten Azure Information Protection övertar namnet från Azure Rights Management Premium och kommer framöver få två olika nivåer, P1 och P2.

Det som finns idag och de som idag har Azure Rights Management Premium vidhåller samma funktionalitet men tjänsten kallas nu  Azure Information Protection Premium P1. Senare i höst kommer Azure Information Protection Premium P2 som även inkluderar bland annat automatisk klassificering och skydd direkt i Office paketet.

EMS = EMS

Enterprise Mobiliy Suite får nu ett mer passande namn för att understryka att det till största delen är säkerhetsrelaterade tjänster. Förkortningen EMS står nu för Enterprise Mobility + Security och kommer framöver bestå av två olika nivåer E3, E5.
Befintliga EMS licenser motsvarar E3 och kommande E5 som lanseras i höst innehåller bland annat Azure Information Protection P2 samt Azure Priviliged Identity Management

Publicerat i Azure, Windows 10 | Lämna en kommentar

Klassificera och skydda information med Azure Information Protection

Vi kan nu äntligen underlätta för våra användare att både klassificera och skydda sin information. Trots föga 2-3 musklick för att tidigare RMS-kryptera ett dokument är det en hög tröskel för många organisationer. De utmaningar vi ofta ser hos slutanvändare är:

  • Veta hur man skall skydda en fil
  • Veta vilket typ av skydd som krävs
  • Få användaren att faktiskt applicera ett skydd

De mest framgångsrika RMS projekten (som då mäts på hur stor del av verksamhetens känsliga information som också har skyddats korrekt) har tidigare baserat på att så mycket som möjligt har automatiserat utan att påverka slutanvändaren.

Genom att underlätta applicering av både klassning och skydd av ett nyskapat dokument ser vi till att rätt information skyddas korrekt och vi höjer även medvetenheten hos våra användare.

Det har sedan länge funnits flera tredjepartsprodukter för den här typen av dokumentklassning för RMS. Microsofts uppköp av det erkända bolaget Secure Island under förra året gjorde att man fick sina aningar och några månader senare fick vi tillgång till ett tidigt TAP-program för den nya lösningen.

I natt släpptes det som kallas Azure Information Protection, vilket ger oss följande möjligheter via ett Add-on till Office:

  • Underlätta för våra slutanvändare att applicera både klassificering och skydd av ett dokument.
  • Alternativet att påtvinga en klassificering och skydd av alla nya dokument
  • Märka (labeling) av dokument för att tydliggöra dess klassificering och känslighet
  • Automatisering (DLP) för att applicera klassning och RMS-skydd baserat på textinnehåll

image

Ett exempel för en verksamhet med känslig information:

I det här fallet är användaren påtvingad att välja en klassificering när den skapar ett nytt dokument och som standard RMS-skyddas alla nya dokument (oavsett var de sedan lagras).

Användaren kan själv byta klassificering men får då också ange anledningen till bytet.

DLP är konfigurerat att detektera alla dokument som innehåller ordet ”Gorilla” och kommer därefter att klassificera och skydda dokumentet därefter.

Vi behöver inte längre modifiera Office utan får via samma add-on även ett enkelt gränssnitt för slutanvändaren att RMS-skydda ett mail till mottagaren direkt i mail-vyn.

image

Lösningen konfigureras via den nya Azure portalen och kan idag enbart kombineras med Azure Rights Management (och inte AD RMS)

image

Som vanligt krävs det en genomarbetad design som följer verksamhetens informationsklassning och där efter går ett införande relativt snabbt av den nya lösningen och dess gränssnitt.

Publicerat i Informationssäkerhet, RMS | Märkt , , | 1 kommentar