Höj säkerheten i lokala ADt med Identity Security Posture

Advanced Threat Analytics (ATA) och dess motsvarighet med molnhantering Azure Advanced Threat Protection (Azure ATP) har förutom att detektera intrång i lokal infrastruktur också varit ett bra verktyg för att identifiera sårbarheter.

Sårbarheter kan vara allt ifrån svaga protokoll, felkonfigureringar till lösenord som går i klartext över våra nätverk. Det är inte helt ovanligt att det lokala Active Directoryt har uppgraderats succesivt utan att äldre protokoll och standarder har inaktiverats. Ofta finns det en osäkerhet vilka system som kan tänkas använda dom fortfarande och vilken påverkan det har för verksamheten att stänga ner dessa.

Identity Security Posture
För att få det underlag som oftast krävs för att göra en förändring finns nu en lösning, vid namn Identity Security Posture som redovisar sårbarheter och vilka tjänster, enheter och användare som påverkas.

image

Det här är en del av Microsoft Cloud App Security (MCAS) och förutsätter då att man integrerat Azure ATP med MCAS.

image

Identity Security Posture ligger som en ny tjänst under Investigate i MCAS och identifierar i nuläget följande sårbarheter:

· entities exposing credentials in clear text

· legacy protocols usage

· weak cipher usage

· unsecure Kerberos delegations

· Print spooler service on domain controllers

· dormant entities from sensitive groups

Respektive sårbarhet får en klassificering över hur kritisk den är för att stötta verksamheten att prioritera.

Genom att gå in på detaljer redovisas vilka objekt som är relaterade av sårbarheten och ger möjlighet att se detaljerna som Azure ATP identifierat.

Vi får även guidning över hur vi kan förhindra sårbarheten och möjligheten att via den här tjänsten få uppföljning om vi lyckats motverka den.

Som exempel har vi ofta detekterat att det går lösenord i klartext när vi börjat utreda en ny kund och första utmaningen handlar om att utreda vad som kommer påverkas i verksamheten om vi förhindrar detta. Tack vare den här lösningen får vi en insyn över vilka servrar och konton som är inblandade. På så sätt kan vi involvera tjänsteägare för att först lösa verksamhetsbehoven, för att sedan motverka sårbarheten. Exemplet nedan visar detaljer över vilka konton och servrar som använder RC4, DES och kan följa upp aktiviteterna som Azure ATP fångat upp.

image

Ett annat bra exempel handlar om våra känsliga konton med höga rättigheter. Exempelvis domänadministratörer eller andra känsliga konton. Här kommer oftast frågor som: Används fortfarande kontot eller när används det senast?

Här redovisas precis detta och ger oss underlag för att kunna ta ett beslut om kontot ska åtgärdas.

image

Publicerat i Threat Protection | Lämna en kommentar

Klassificera och skydda dokument i Office Online

Under Ignite lanserade Microsoft en preview för att aktivera Unified Labeling i SharePoint Online. Vad betyder då detta och vad blir effekten av att gå med i denna preview?

image

Först och främst. SharePoint Online täcker en hel del tjänster och innefattar också Teams, OneDrive (for business) och Office Online. Till exempel när du via Office.com eller via Teams väljer att skapa ett nytt Office dokument och jobba online med detta.

Office Online möjliggör klassificering och skydd av dokument

Vi får nu stöd att klassificera och skydda dokument som skapas online (exempelvis via Teams). Där vi finner en ”Sensitivity” -knapp som redovisar våra Unified Labels.

image image
Exempel på dokument som skapats från Teams klienten eller Office Online (i detta fall OneDrive for Business)

Detta resulterar i att vi förtydligar informationens klassning/känslighet och även att vi begränsar informationen till de som är inkluderade i den applicerade policyn. Delas eller laddas informationen, vidhålls eventuell kryptering/behörighet och säkerhetsställer att informationen är skyddad i alla typer av tillstånd.

Office online ger stöd att öppna befintligt skyddade dokument

Befintligt skyddade filer (som skyddads med Azure RMS inom samma tenant) kan nu redigeras via Office Online (Teams, SharePoint, OneDrive). När den här funktionen aktiveras får SharePoint Online rättigheter att dekryptera innehållet. Behörigheterna som är definierade i Unified Labeling för den respektive labeln kommer vidhållas.
Resultatet blir, att så länge den autentiserade användaren har behörighet definierade för den specifika labeln ger SharePoint Online motsvarande rättigheter till dokumentet via Teams eller webbläsaren.

På det här sättet får vi lager på lager skydd för att säkerhetsställa att information klassificerad exempelvis enbart för intern användning inte går att nå för en externt inbjuden användare till vår Teamskanal eller SharePoint bibliotek.

Skyddet vidhålls om filen laddas ner och återgår till ursprungsläget med den RMS kryptering som var applicerad baserat på dokumentets label.

Förkrav och möjliga undantag

Unified Labeling måste vara aktiverat så det finns publicerade labels i Unified Labeling för de användare som ska nyttja lösningen. Om man vill begränsa en pilot för möjlighet att klassificera dokument i onlinelösningen finns möjligheten att enbart publicera Unified Labeling till dessa användare/grupper.

Dokument som krypteras med användardefinierade behörigheter så som Custom Permissions (eller Do Not Forward/Encrypt via E-post) kommer inte kunna (dekrypteras) editeras via dessa online lösningar.
För att detta ska fungera måste krypteringens behörighet vara definierade i den applicerade policyn. På det här sättet kan organisationen själva styra över vilken känslighet på information som är tillåten att användas vi online tjänster.

De labels som innebär kryptering måste använda Azure Cloud Key för att få möjlighet att öppna dessa filer via online tjänsterna. Används en annan nyckel så som AD RMS måste dokumentet öppnas med lokalt installerad Office precis på samma sätt som det fungerar idag med alla skyddade filer om man inte går med i denna preview.

Viktigt beslut innan aktivering

Allt som rör informationshantering ägs av verksamheten (och eventuell utsedd CISO). Med andra ord, IT kan inte besluta om den här funktionen ska aktiveras. Beslutet ägs av verksamheten! Även om lösningen främjar vårat informationsskydd och förenklar för våra användare måste verksamheten/CISOn vara medveten om att RMS-krypteringen ersätts av befintlig data-at-rest krypteringen under lagring i Office online.
Det finns som sagt lösningar för att förhindra detta för vissa labels med hjälp av HYOK, användardefinierade behörigheter eller baserat på inställningen per bibliotek i SharePoint.


Publicerat i Microsoft Information Protection | Märkt | Lämna en kommentar

Klassificera och skydda epost oavsett enhet

Imorgon drar Microsoft Ignite igång i Orlando och Microsoft beräknas släppa en hel del nya tjänster. Redan under veckan som varit har vi fått nya funktioner för att klassificera och skydda e-postmeddelanden oavsett enhet.

Vi har dels fått nya funktioner i Outlook Web App (OWA) som gör att vi kan klassificera och skydda e-postmeddelanden direkt via webbläsaren. Vi har även fått samma möjlighet till Outlook appen för b.la. iOS som gör det enkelt när vi skickar e-post via iPhone/iPad.
Tekniken som används för kryptering är Exchange IRM med så kallad ”server side encryption” där kryptering/dekryptering sker av Exchange servern. Kraven för att det här ska fungera, är att organisationen använder Unified Labeling och Exchange Online, som tillsammans ger möjlighet att båda klassificera och skydda vår information. Klassificeringen gör att vi tydliggör känsligheten på informationen för mottagarna men också att organisationen får metadata stämplat i mailet som gör att vi kan ta olika åtgärder (DLP) på dessa mail.

image

MIPiPhoneOutlookWhite

I det här exemplet klassificerar jag ett nytt e-postmeddelande från min iPhone och tydliggör för mina kollegor att det är ”Highly Confidential” -information i detta meddelande. Jag ser även till att kryptera e-postmeddelandet med ett skydd som gör att enbart autentiserade användare i vår organisation kan läsa meddelandet. På så sätt skyddar jag informationen mot vanliga användarmisstag, så som att skicka e-post till fel (obehörig) mottagare.

Det finns även möjligheter att via Exchange transportregler baserat på informationsklassifikation/label ta olika åtgärder, exempelvis som att blockera meddelandet att skickas utanför vår organisation.

Publicerat i Exchange, Microsoft Information Protection | Märkt | Lämna en kommentar

Custom Permissions nu i Office 365 SCC

Utvecklingen med Microsofts Informationsskydd fortsätter och integreras mer fler och fler lösningar.

Nu har Office 365 Security och Compliance (SCC) portalen och dess Unified Labeling fått stöd för Custom Permissions. Detta innebär att Unified Labeling klienten nu enbart pratar med SCC för att hämta sina inställningar (till skillnad från hur det fungerat tidigare där AIP portalen var ett krav som ITSäkerhetsGuiden skrev om i Juli månad)

image

Viktigt att ha i åtanke här är att utbilda våra användare och vår verksamhet att filer som skyddas med Custom Permissions inte kommer kunna öppnas i Office Online (när den funktionaliteten släpps) utan kräver att filerna öppnas med lokalt installerad Office.
SharePoint/OneDrive/Teams kommer framöver att kunna dekryptera RMS skyddad information och vidhålla policy-inställningarna över vem/vilka som skall få ta del av informationen. Detta bygger då på att inställningarna är definierade i vår policy/Label och då alltså inte om de definierats av slutanvändaren själv.

En annan viktig detalj är att Custom Permissions kräver Unified Labeling klienten. Det fungerar alltså inte i Office native oavsett plattform.

Publicerat i Azure Information protection, Microsoft Information Protection | Märkt | Lämna en kommentar

Centraliserad loggning av verksamhetens information

Säcken knyts ihop mer och mer med ett tydligt tecken på hur Microsoft konsoliderar sina säkerhetslösningar. Det ger oss högre säkerhet och gör det lättare för oss som administrerar och övervakar lösningarna. Ett exempel är den unified SecOps portal ITSäkerhetsGuiden skrev om i våras.

Detsamma ser vi inom informationsskydd där vi förutom Unified Labeling nu också centraliserar vår övervakning av tjänsterna inom Microsoft Information Protection -sviten.

MIPCentralLogging

Tack vare att alla dessa tjänster nu centraliserar sin loggning får vi ett kraftfullt verktyg med AIP Analytics. Verksamheten kan nu få en överblick av sin information både från vår lokala miljö, vår molnlagring, våra klienter och Office-installationer. Filer med känslig information redovisas med informationsklassifikation samt om den är krypterad/skyddad med RMS eller WIP.

Förutom att AIP/Log analytics hämtar loggar från AIP klienten och dess AIP Scanner samlar den nu också in loggar från:

  • Azure RMS (RMS Usage log)
  • Cloud App Security
  • Microsoft Defender ATP

RMS loggar

Tack vare att vi nu får in RMS loggar till Log Analytics får vi även med dokument som dekrypteras (eller försök till dekryptering) direkt från Office paketet utan att det behöver finnas någon AIP klient installerad. Eftersom inte AIP klienten är något krav för att kunna dekryptera utan lokal Office-installation är tillräckligt, är det framför allt i RMS loggarna vi finner filer som delas med externa användare eller enheter som inte verksamheten administrerar (och då ofta saknar AIP klient). Det är också extremt värdefullt att få information om vilka interna enheter som varit inblandade och tagit del av verksamhetens information med tanke på att vi även får reda på om enheterna har någon risk (tack vare Defender ATP) och om ett dokument då behöver revokeras.
Azure Rights Management -tjänsten loggar i W3C format med en log per dygn alla händelser runt autentisering och dekryptering. Numera skickas dessa event i ”realtid” även till Log analytics.
Exempelvis som i detta fall från en icke managerad klient med Office 2013 som öppnar/dekrypterar ett dokument.
image

Microsoft Cloud App Security (MCAS)

MCAS blir allt mer kraftfullt för att skydda både våra identiteter och även vår information. MCAS kan detektera känslig information i våra anslutna cloud tjänster, exempelvis Office 365. MCAS har möjlighet att klassificera och kryptera baserat på detekterad känslig information och även baserat på plats/bibliotek.
Tack vare att MCAS också loggar till samma log analytics får vi en övervakning även av bl.a. Office 365 och dess lagringsutrymmen. Vi kan på så sätt detektera känslig information som lagrats i våra anslutna molntjänster.
image

Microsoft Defender ATP

MD ATP övervakar våra klienter och ser till att även andra filtyper än bara Office dokument identifieras om de innehåller känslig information och kan även skydda dessa filer med Windows Information Protection. Tack vare att Microsoft Defender ATP loggar till samma källa får vi information även om enheter är under risk.

image image

Identifiera känslig okrypterad information

Verksamheten kan nu få en överblick av all känslig information både från vår lokala miljö, vår molnlagring och våra klienter.
Vi kan enkelt utreda hur mycket information som exempelvis går under GDPR (innehåller pass/personnummer m.m.) utan att vara krypterad, oavsett om filerna ligger lagrade på våra managerade klienter, våra lokala filservrar/SharePoints eller våra molntjänster.

image

Publicerat i Azure Information protection, Microsoft Information Protection, Threat Protection | Lämna en kommentar

Val av klient för informationsskydd

Jag får (trots det fina sommarvädret) många frågor om vilken klient man skall använda för Microsoft Information Protection. Utvecklingen går ständigt framåt och den artikel jag publicerade om detta för fyra månader sedan är inte längre aktuell.

Unified Labeling centraliserar våra informationsklassifikationer till ett och samma ställe och det är även här som det inbyggda stödet i alla Office-applikationer hämtar sin information. Med andra ord bör alla verksamheter som vill ge användarna möjlighet att se och applicera informationsklassning från sina mobiler, plattor och framöver i Office online versioner aktivera just detta. Samma sak gäller tredje parts applikationer så som exempelvis Adobes Acrobat Reader och andra framtida applikationer och tjänster. Microsoft har nu även släppt en skarp version av Unified Labeling klienten även till Windows. Azure Information Protection portalen är fortfarande kvar och det är fortfarande den som har mest funktionalitet idag när det kommer till Windowsplattformen. Frågan är då vilken av dessa två klienter skall man använda?

Det enkla svaret är: om man idag använder en viss version och har alla funktioner verksamheten kräver och önskar är att fortsätta med den versionen (och hålla den uppdaterad).

Det längre svaret rör funktionalitet kontra en enhetlig användarupplevelse. Unified Labeling klienten använder det moderna gränssnittet som övriga Office applikationer med bl.a. en stämpel-symbol istället för hänglåset. På så sätt ger vi användarna en likvärdig upplevelse oavsett om de använder sin Windows-dator eller platta/telefon/3-part applikation. Funktionsmässigt har det varit flera avgörande funktioner som saknats för flera verksamheter med Unified Labeling klienten, så som möjligheten att definiera anpassade rättigheter (Custom Permissions). Dock har Microsoft nu löst detta i den senaste releasen. Med Unified Labeling klienten kan vi nu definiera Custom Permission både i Office applikationer, Windows Explorer eller Power Shell. Det som särskiljer från den traditionella AIP klienten är det saknas möjlighet att skydda med Custom Permission utan att använda en Label. Min erfarenhet är att detta ändå är till fördel då fler och fler verksamheter kräver att alla dokument klassificeras och helt enkelt stänger av möjligheten att skydda utan att klassificera även med den traditionella AIP klienten.
Unified Labeling klienten hämtar all sin data från den nya portalen, här saknas dock möjlighet konfigurera Custom Permission för en Label. I nuläget krävs det att Labeln är skapad i den klassiska AIP portalen och där konfigurerad med Custom Permission.
Editeras denna labeln via Security & Compliance portalen visas följande meddelande:

image

En av de stora begränsningarna med Unified Labeling klienten är att den fortfarande saknar möjlighet för att slutanvändare att spåra eller återkalla ett dokument. Denna funktion kräver fortfarande AIP klienten. Förutom att Unified Labeling klienten saknar knappen ”Track and revoke” går det heller inte för användaren att surfa in på motsvarande tracking -sida och heller inte för verksamhetens administratörer att återkalla dokument skyddade med den versionen.
Om verksamheten eller delar av verksamheten kräver den här typen av funktion kan de alltså inte byta ut AIP klienten då det är ett krav för den klassiska track and revoke funktionen.

Båda klienterna rapporterar dock till Microsoft Log Analytics som gör det enkelt att centralt följa upp nyttjandet via AIP portalens Dashboard och Compliance portalens rapporter.

För att summera ihop den här informationen har jag även visualiserat detta

IP Client

För mer detaljerad information om:

Publicerat i Azure Information protection, Microsoft Information Protection | Märkt | 1 kommentar

Centraliserad portal för identitetsövervakning

Idag har vi oftast hybrida IT-miljöer med både en lokal infrastruktur och flertalet olika molntjänster. Förhoppningsvis har vi lyckats hantera så vi enbart har en enda identitet åt våra användare att hålla reda på. Utmaningarna som följer handlar om att övervaka och identifiera intrång baserat på dessa identiteter oavsett om det rör sig om lokala tjänster eller molntjänster.

Microsoft har sedan en tid tillbaka haft flera lösningar som nu kommer centraliseras till en gemenskap SecOps -portal:

  • Azure AD Identity Protection (AADIP)
    En lösning för att skydda verksamhetens Azure AD konton och dess autentiseringar. Kortfattat är det en lösning för att identifiera sårbarheter och skydda våra inloggningar via Azure Active Directory. Detta bygger dels på beteende och känner av om inloggningarna är rimliga eller om det finns riskfylld information (via Microsoft Security Graph) om exempelvis IP adressen eller lösenordet.
  • Microsoft Cloud App Security (MCAS)
    MCAS håller koll på våra molntjänster och kan bland annat likvärdigt med Identity Protection detektera beteendeavvikelser. Exempelvis om Office 365 olika tjänster nyttjas på ett orimligt sätt av en användare. Exempelvis om en användare jobbar mot ett dokument i Teams samtidigt som den delar/laddar ner information från en annan molntjänst från ett och samma IP.
  • Azure Advanced Treat Protection (AATP)
    Azure ATP är efterföljaren av Advanced Threat Analytics (ATA) som övervakar lokalt Active Directory. Baserat på både beteende, kända attackmönster/sårbarheter och svaga protokoll identifieras intrång i ett tidigt skede.

Ovanstående lösningar med dess portaler finns fortfarande kvar men en preview har startat för att få signaler från dessa lösningar till ett och samma ställe. Detta ger oss en överblick som hjälper oss utreda om ett konto blivit kapat eller på annat sätt beter sig illa.

Istället för att vi nu skall få ännu en portal att hålla reda på kommer det vara MCAS portalen som får signaler från de andra två lösningarna. Om Azure ATP används inom samma tenant kan vi helt enkelt inkludera den tjänsten tillsammans med vårat Azure AD.

Larm från samtliga säkerhetslösningar redovisas tidsmässigt i ett tydligt flöde. Varje larm poängsätts enligt en skala och genom att klicka på poängen redovisas anledningen till poängsättningen. För att basera riskanalysen även på andra tjänster kommer vi kunna integrera med Microsofts nya SIEM lösning. Microsoft Azure Sentinel ger möjlighet att ansluta och ta emot loggar från andra lösningar och skapa larm utifrån dessa. Poängsättningen värderas också mot andra användare inom organisationen för att göra det enklare att utvärdera en användarrisk och prioritera.

image

Önskas mer detaljer finns ett flertal fördjupningar att göra, vilket krävs både vid en djupare analys för att utreda om ett konto har blivit kapat. Men även för att få insikt av vad ett kapat konto har hunnit göra innan man lyckats återta kontot.

image

Tack vare att vi kommer åt all information i en och samma portal får nu vi en tydlig bild av vad en användare haft för sig både i lokal infrastruktur såväl som i ansluten molntjänst

Det finns ett flertal åtgärder att göra för att skydda framför allt Office 365. Självklart skall även AD/AAD kontot återställas/byta lösenord vid kapning men för att minimera risken att det finns en aktiv session igång mot Office 365 kan vi påtvinga ny inloggning eller avbryta tillgången tills utredningen är klar.

image

Vill du gå med i denna preview läs mer här

Notera att Azure ATP and Azure AD Identity Protection inte kommer påverkas men att de som hanterar Cloud App Security kommer få en hel del ny data.

Det blir intressant att se vad denna fantastiska portal kommer döpas till framöver 🙂

Publicerat i Threat Protection | Märkt , , , , | Lämna en kommentar