Logg och statistik över ditt informationsskydd

En av de stora fördelarna med Azure Information Protection är att vi får spårbarhet och kan båda övervaka och återkalla känslig information oavsett var filen är lagrad. Detta gör vi enkelt via Tracking Portalen där det finns en vy för slutanvändarna att övervaka de filer de själva har skyddat, samt en vy för administratörer att söka efter både unika filer eller användare.

Det kan dock även vara intressant att få ut en del statistik för att få en översikt hur informationsskyddet faktiskt används inom verksamheten. Hur många skyddar information och hur många är det som konsumerar(läser) skyddad information och så vidare.

Det finns två sätt att lösa detta

Det finns en del färdiga rapporter i den klassiska Azure-portalen (manage.windowsazure.com) där vi även har en del nyheter.

clip_image001

Portalen är väldigt användar(administratörs)-vänligt men dessvärre något begränsat både vad gäller tidsspann och vilken information som går att generera.

Det andra sättet är att helt enkelt nyttja de centrala loggarna. Så gott som all aktivitet runt RMS loggas i separata log filer av typen W3C för varje dygn. Loggning är på som standard sedan februari 2016 och innan dess var man tvungen att aktivera det manuellt.

Men hjälp av dessa loggar kan man få fram allt man kan tänkas behöva veta om sitt informationsskydd. Allt ifrån hur många som faktiskt skyddar eller läser skyddade mail, dokument eller andra format, till hur många som återkallat information.

Loggarna laddas ner via PowerShell där man anger datum för de loggar man vill ha och laddar sedan ner dom lokalt.

clip_image002

Om man vill ta ut statistik eller söka efter ett visst värde under detta tidsspann bör man sammanfoga alla logfiler till en mer lätthanterad logg.

Log Parser är en gratis applikation som löser uppgiften och laddas hem härifrån: Microsoft’s Log Parser

clip_image003

Kommandot ovan ger oss en stor kommaseparerad (csv) fil innehållande all data. Vad man sedan gör med denna är fritt. Jag tänkte tipsa om hur jag oftast hanterar denna data för att söka efter det jag vill.

Excel är en grym programvara som ger oss möjlighet att söka och filtrera all data på ett relativt smidigt sätt.

Det kan dock bli ganska tungt vid väldigt stora mängder data.
Jag brukar då använda mig av Power BI Desktop version för att skapa både rapporter och statistik: Lokal installation av Power BI laddas hem här: https://powerbi.microsoft.com/en-us/downloads/ sedan finns även en molnvariant.

Genom att importera CSV-filen kan vi här skapa rapporter efter önskemål.

Här följer två exempel:

Ta reda på hur många som skyddar information

Använd content-id som loggar ett unikt värde för allt som RMS-skyddas tillsammans med owner-id som redovisar vem som applicerade skyddet.

clip_image001[7]

 

Ta reda på hur många som konsumerar skyddad information

Använd content-id på samma sätt men tillsammans med user-id som redovisar vem som öppnar en skyddad fil.
Välj typ av Count och använd Distinct Count för att beräkna antal unika filer som en användare dekrypterat eller en standard Count för att få reda på hur många gånger användarna öppnar skyddade filer.

Om du har en RMS Connector för lokal infrastruktur se då till att filtrera bort användaren Aadrm_S-1-7-0 som nyttjas av connectorn.
Om du aktiverat IRM-stöd i Exchange och SharePoint Online filtrera då bort användaren microsoftrmsonline@<TenantID>.rms.<region>.aadrm.com

clip_image001[9]

Genom att exportera data från varje rapport får du en skräddarsydd och lätthanterlig CSV-fil som du sedan med fördel kan importera till Excel

Vill du filtrera ut och se hur många skyddade mail eller exempelvis Word dokument som används, skapa ett filter baserat på c-info som innehåller just detta och sök på den applikation du vill filtrera på

clip_image008

Efter import i Excel har möjlighet att filtrera och söka vidare.
Filtrering på Request-type kan exempelvis visa vilka som återkallat information genom att filtrera på RevokeAccess medans AcquireLicens filtrerar ut varje gång något dekrypterats.

clip_image009

Spåra unik information

Tracking Portalen är absolut mest användarvänlig men saknar man exempelvis Premium licens och därmed tillgång till denna portal kan man även söka efter specifika filer direkt i dessa loggar.

I dagsläget är det enbart filer som krypteras via (höger klick funktionen) Classify and protect som loggar själva filnamnet under värdet file-name. Vill vi där emot exempelvis söka efter ett dokument som skyddats via Office får vi söka upp dess content-id. Om vi har tillgång till den skyddade filen ligger detta värde okrypterat och genom att öppna en RMS-krypterad fil med exempelvis Notepad kan vi identifiera värdet och sedan söka på detta värde i loggarna.

På det sättet kan vi identifiera vem eller vilka som tagit del eller försökt tagit del av informationen

clip_image010

Publicerat i Azure Information protection, Informationssäkerhet, RMS | Märkt | Lämna en kommentar

Boka in TechDays innan du går på semester

hängmatta

Innan du checkar ut för semester är mitt tips att boka in något att se fram emot när jobbet drar igång igen efter sommaren. Vad kan då inte vara bättre än att boka in Sveriges största IT-event Microsoft TechDays.

Jag står som föreläsare för 8e året i rad och det kommer bland annat bli:

Säkerhetsfokus runt Windows 10 och Enterprise Mobility + Security (EMS) tillsammans med min kollega Jörgen Nilsson. När vi föreläste om EMS för tre år sedan va EMS nytt för de flesta. Året därpå var Windows 10 färskt på marknaden och vi visade alla fördelar att nyttja Windows 10 och EMS. Förra året gjorde vi en djupdykning inom dessa områden och visade nyheter som ännu inte nått marknaden. I år är det dags igen där vi som vanligt gör demo-maraton och visar allt nytt. Hur du kan kombinera funktionerna i Windows 10 och EMS för att höja säkerheten och bland annat skydda våra identiteter.

Windows 10 + EMS = Helst fantastiskt!

Information Protection från design till införande. En session jag gör med Johan Ohlen från Microsoft där vi kommer fokusera på informationsskydd med Azure Information Protection. Nya lagkrav med GDPR kräver att vi har bättre kontroll och spårbarhet på vår information och den här sessionen går igenom tips för ett lyckat införande. Självklart kommer vi visa allt nytt och hur det kan kombineras och integreras med vår infrastruktur både lokalt och i molnet.

Information Protection från design till införande

Ha nu en trevlig sommar så ses vi på TechDays i oktober!

Publicerat i Microsoft Event | Lämna en kommentar

Identifiera information som innefattas av GDPR

Det krävs näst intill att man bosatt sig på månen utan internet access för att ha undgått de nya lagkraven inom EU som träder i kraft den 25 maj 2018.
Lagar runt GDPR – General Data Protection Regulation – som definierar reglerna för all form av behandling av information som direkt eller indirekt kan knytas till en person

Utmaningen som alla myndigheter, företag och organisationer står inför handlar till stor del av att identifiera all information som innefattas av dessa regler och sedan säkerhetsställa att denna information är skyddad. Personuppgifter som lagras och framför allt delas måste bland annat kunna redovisas.

Azure Information Protection fyller en viktig roll då den uppfyller följande:

  • Kryptering av information
  • Klassificering av information
  • Spårbarhet av information över vem den har delats med, var och när
  • Möjlighet att återkalla och begränsa tillgång till information oavsett var den lagrats/delats
  • …identifiera om och när ovanstående skall appliceras

Då vi (våra användare) idag skapar, hanterar och lagrar information precis överallt är GDPR en tuff utmaning.  Med hjälp av condition/regel -baserad applicering direkt i Office kan vi dock komma en bra bit på väg. Genom att identifiera alla dokument som skapas/sparas innehållande exempelvis svenskt personnummer kan vi antingen föreslå användaren eller påtvinga – ett skydd av informationen.  Motsvarande kan även konfigureras i vårat mailflöde med hjälp av DLP-regler i Exchange som på så sätt identifierar e-post och dess bifogade Office filer och utför åtgärder som antingen blockerar mailet, eller säkerhetsställer att det är krypterat innan det går iväg till en mottagare.

Detta resulterar i att vi fångar upp den större delen av alla dokument som skapas/sparas med personuppgifter som innefattas av den nya GDPR lagen

Här följer ett exempel:
I det här fallet är en regel i Azure Information Protection satt att leta efter ett eller flera svenska personnummer och då upplysa användaren vilket skydd som bör appliceras.

image

Med den här regeln behöver användaren trycka på ”Change now”. Alternativet hade varit att påtvinga skyddet med automatik av regeln.

Resultatet blir i det här exemplet att själva dokumentet kommer krypteras, det kommer klassificeras som ”Secret” som dels redovisas för alla användare inom organisationen via Azure Information Protection listen, samt i själva dokumentet med en visuell märkning som appliceras med automatik. Detta upplyser den användaren som har rätt att konsumera dokumentet om dess känslighet oavsett delning utanför organisationen.

Dokumentets kryptering ger möjligheten att spåra all nyttjande av dokumentet oavsett var det sedan har delats eller lagrats. Vid behov kan även all tillgång återkallas och dokumentet blir oläsbart för alla utom den som faktiskt skapade dokumentet/applicerade skyddet.

image image

I mitt exempel väljer jag även att blockera epost innehållande personnummer med ett meddelande till slutanvändaren som upplyser användaren om att skicka den här typen av information i ett skyddat dokument istället.
Detta beror på att dagens Tracking portal för Azure Information Protection (än så länge) inte stödjer att spåra eller återkalla epost meddelanden eller dokument som skyddats av Exchange.

Användaren kan dock välja att skicka epost-meddelandet med hjälp av “override” vilket då kommer applicera samma skydd med automatik. Ett larm genereras av Exchange som ger oss information om när detta skett vilket vi behöver för att enkelt kunna spåra informationen via Azure Information Protections centrala loggar och på så sätt följa vem som tar del av den.

image

Om användaren inte väljer ”override” utan skickar mailet ändå blockeras detta och användaren får i detta exempel reda på anledningen till blockeringen och en anvisning över vad som bör göras

image

Identifiera svenskt personnummer

Azure Information Protection har ett antal fördefinierade utryck att söka efter men här saknas idag svenskt personnummer och begränsas än så länge till amerikanska social security numbers m.fl.

Vi behöver därför manuellt skapa en regel som identifierar ett svenskt personnummer. Min kollega Tom Aafloen har här definierat ett så kallat regular expression med målsättning att identifiera formatet av ett svenskt personnummer med så hög träffsäkerhet som möjligt.
I det här fallet används ett format för att säkerhetsställa att det bland annat enbart är 12 månader på ett år och max 31 dagar på en månad med mera

Format
[Valbart millennium, 19 el 20][år][månad][dag][möjligt bindesträck][3 siffror][följt av 1 siffra för checksumman]

Regular Expression
^(((20)((0[0-9])|(1[0-1])))|(([1][^0-8])?\d{2}))((0[1-9])|1[0-2])((0[1-9])|(2[0-9])|(3[01]))[-+]?\d{4}[,.]?

image

Exchange Online har där emot ett fördefinierat ”condition” som kan definieras för svenskt personnummer (Sweden National ID).

Följande är den regel som identifierar, blockerar och underrättar användaren om vad som gäller när information skyddad under GDPR skall skickas via E-post

image

Publicerat i Azure Information protection, GDRP, Informationssäkerhet, RMS | Märkt | Lämna en kommentar

Skydda dokument i OneDrive/SharePoint med IRM

SharePoint (OneDrive for Business) IRM säkerhetsställer att informationen är skyddad när den lämnar SharePoint.

Jag får många frågor runt Information Rights Management (IRM) i SharePoint och om hur det hänger ihop med Rights Management Services (RMS). Fullt förståeligt att detta blir rörigt så vi börjar med att reda ut begreppen.

RMS är krypteringslösningen som används både av IRM och Azure Information Protection (AIP) för att skydda och behörighetskontrollera data.

IRM är ett koncept för SharePoint och OneDrive for Business som ser till att skydda vår information så fort den på något sätt lämnar SharePoint. Antingen vid nedladdning av filer, synk av ett bibliotek eller vid delning. Krypteringen som används är RMS.

De filer som krypteras är Office-dokument i form av Word, Excel, PowerPoint, XML-filer samt PDF.Övriga filformat berörs inte av IRM och kommer inte krypteras varken vid nedladdning eller delning. Det går dock att begränsa så enbart filtyper som stöds får laddas upp till OneDrive och på så sätt se till att all information är krypterad i alla lägen.

Trots att dokumenten är krypterade av IRM stöds fortfarande online versionerna av Word, Excel, PowerPoint och möjliggör visning och editering via webbläsaren. Vid begränsad behörighet förhindras exempelvis utskrift och kopiering av data.
Notera här att det är tack vare IRM som skyddade Office-filer kan visas med exempelvis Word Online, då IRM hanterar både kryptering och dekryptering med RMS. En fil som är RMS skyddad innan uppladdning är inte läsbar av IRM och kan därav inte visas med online-tjänsterna. Där emot kan en fil som RMS-krypterats av IRM flyttas mellan olika bibliotek i SharePoint/OneDrive och på så sätt se till att rätt personer har tillgång till dokumentet. Det är användarnas rättigheter till det aktuella biblioteket eller filen i sig som definierar RMS-behörigheten.

image

Delning på ett säkert sätt

Den stora fördelen med SharePoint/OneDrive är att kunna samarbeta och dela ett dokument där flera parter är inne och tittar/editerar dokumentet samtidigt. IRM begränsar inte arbetssättet utan tillför högre säkerhet vid både delning och nyttjande av onlinetjänsterna.
Office-filer kan delas både från Office applikationen eller från webgränssnittet med den stora fördelen att slutanvändaren märker ingen skillnad utan jobbar precis som vanligt.

RMS krypterar och definierar behörighet i form av enbart visning eller editeringsmöjlighet utefter de två alternativ som finns vid delning, view eller edit.

image image

Det som inte fungerar är att skicka en direktlänk till dokumentet om det inte finns definierat att just den användaren även har RMS-mässigt behörighet till dokumentet.

Automatisk kryptering från utforskaren och Office

När en användare sparar eller flyttar ett Office-dokument till OneDrive kommer dokumentet bli krypterat så fort filen stängs och synkas till OneDrive.

image image

OBS den senaste versionen av OneDrive klienten (OneDrive.exe) stödjer än så länge inte IRM. Stödet finns idag med OneDrive for Business klienten (groove.exe)

Användaren kan själva ändra behörighet men inte ta bort skyddet

Användaren har alltid full kontroll över sina egna filer i exempelvis OneDrive och kan även förändra rättigheterna på filen. Antingen RMS -mässigt genom att klicka ”Change Permission” eller genom att klassificera dokumentet med Azure Information Protection och en informationsklass som också krypterar och ändrar behörighet till dokumentet. Skulle skyddet plockas bort av användaren kommer nästa synk att påtvinga ett skydd igen. IRM säkerhetställer att alla dokument kommer vara skyddade.

image

Viktigt att tänka på om RMS-skyddet förändras av användaren är att krypteringen då genomförs med användarens nycklar och ger fördelen användaren kan spåra och återkalla behörighet till filen. IRM kommer dock inte längre kunna läsa filen och därmed begränsas nyttjande av Word Online.

image

PDF

Skyddade PDF-filer öppnas med Azure Information Protection Viewer, eller annan PDF applikation med stöd för RMS.

Då användaren alltid har fulla rättigheter är det möjligt att skapa en oskyddad PDF genom att välja ”Save As” i AIP Viewer och spara den på en annan plats än just OneDrive.

image image

Om PDF-filer försöker öppnas med en läsare som inte supporterar RMS får användaren följande:
image

Alla filer är krypterade i SharePoint Online och OneDrive for Business

Tack vare IRM är våra Office-dokument och PDF:er alltid krypterade med ett skydd som följer med själva filen, oavsett om de flyttas eller delas. IRM krypterar inte filerna när de lagras. Skyddet appliceras av IRM när filen konsumeras eller lämnar SharePoint/OneDrive.

Men hur krypteras då filerna i SharePoint Online och OneDrive for Business?
Alla filer oavsett filtyp som lagras i online tjänsterna krypteras. För detaljer om krypteringen och dess nyckelhantering se nedanstående beskrivning

 

Det finns flera designmässiga lösningar runt AIP/RMS/IRM som bör anpassas utefter verksamhetens behov. Återkom om stöttning behövs i dessa frågeställningar.

Publicerat i Informationssäkerhet, RMS | Märkt , , | Lämna en kommentar

RANSOMWARE ÖKAR LAVINARTAT

Ni har säkert inte missat i media om det virusutbrott som härjar sedan i fredags. Ett Ransomware som både krypterar data, låser ut användarna och begär lösensumma för att återge tillgång.

Det ransomware som nu sprider sig lavinartat heter WannaCrypt/WannaCry som nyttjar en sårbarhet i SMB i Windows.

Denna sårbarhet patchade Microsoft redan i mars månad. Verifiera både bland servrar och klienter att följande uppdatering finns installerad MS17-10 Håll sedan fortsatt fokus på att alltid uppdatera all mjukvara

Förutom att uppdatera sårbarheter i mjukvara är det viktigt att informera/utbilda alla användare att vara vaksamma och tänka till, innan man klickar på länkar och öppnar bifogade filer bland annat via epost.

Det är också viktigt att det finns backup/restore av all viktig information om det väl skulle inträffa ett utbrott hos er.

Publicerat i Okategoriserade | Märkt , | Lämna en kommentar

Viktig engineuppdatering av Microsofts antimalware

Under gårdagen skickade Microsoft ut en viktig säkerhetsuppdatering för motorn till sina antimalwareprodukter (Oavsett Defender, Endpoint Protection, Security Essential är det samma antimalwaremotor/engine som används).

Sårbarheten identifierades av en professionell säkerhetsforskare som detekterade en sårbarhet i en del av motorn som kallas nscript som vid en attack skulle kunna både ge tillgång till datorn eller crasha datorn (DoS) bara genom att den scannar en viss manipulerad fil innehållande ett JavaScript. Microsoft blev direkt kontaktad av forskaren och har både offentliggjort sårbarheten och direkt skickat ut en säkerhetsuppdatering som åtgärdar felet.

Denna uppdatering går ut med automatik och varken IT eller slutanvändare behöver vidta någon åtgärd. Det kan dock vara bra att verifiera att uppdateringen är på plats! För isolerade maskiner som saknar uppdateringsmöjlighet genomföra uppdateringen manuellt snarast.

Versionen som har sårbarhet har versionsnummer: 1.1.13701.0
Har du någon annan version är du inte drabbad av denna sårbarhet.
Denna säkerhetsuppdateringen som åtgärdar ovanstående sårbarhet ger versionsnummer: 1.1.13704.0

image

För mer information se Microsoft Security TechCenter

Publicerat i Endpoint Protection | Lämna en kommentar

Identitetsskydd på plats

ITSäkerhetsGuiden fortsätter att utvecklas och för de uppmärksammade är ännu en statisk sida på plats, nu för identitetsskydd.

På motsvarande sätt som informationsskydd når du en sammanfattning som kommer uppdateras frekvent med betydande nyheter nu även inom identitetsskydd:
https://itsakerhetsguiden.se/identitetsskydd/

Framöver planerar jag även att komplettera med klientskydd och skydd av lokal infrastruktur. Med allt ifrån nya tjänster så som Advanced Threat Protection, Advanced Threat Analytics till klassiska lösningar som Applocker, Defender, SDI m.m. (som fortfarande är avgörande för att skydda vår infrastruktur mot dagens attacker).

All feedback är välkommet

Publicerat i Generell Säkerhet | 1 kommentar