Klassificera och skydda information med Azure Information Protection

Vi kan nu äntligen underlätta för våra användare att både klassificera och skydda sin information. Trots föga 2-3 musklick för att tidigare RMS-kryptera ett dokument är det en hög tröskel för många organisationer. De utmaningar vi ofta ser hos slutanvändare är:

  • Veta hur man skall skydda en fil
  • Veta vilket typ av skydd som krävs
  • Få användaren att faktiskt applicera ett skydd

De mest framgångsrika RMS projekten (som då mäts på hur stor del av verksamhetens känsliga information som också har skyddats korrekt) har tidigare baserat på att så mycket som möjligt har automatiserat utan att påverka slutanvändaren.

Genom att underlätta applicering av både klassning och skydd av ett nyskapat dokument ser vi till att rätt information skyddas korrekt och vi höjer även medvetenheten hos våra användare.

Det har sedan länge funnits flera tredjepartsprodukter för den här typen av dokumentklassning för RMS. Microsofts uppköp av det erkända bolaget Secure Island under förra året gjorde att man fick sina aningar och några månader senare fick vi tillgång till ett tidigt TAP-program för den nya lösningen.

I natt släpptes det som kallas Azure Information Protection, vilket ger oss följande möjligheter via ett Add-on till Office:

  • Underlätta för våra slutanvändare att applicera både klassificering och skydd av ett dokument.
  • Alternativet att påtvinga en klassificering och skydd av alla nya dokument
  • Märka (labeling) av dokument för att tydliggöra dess klassificering och känslighet
  • Automatisering (DLP) för att applicera klassning och RMS-skydd baserat på textinnehåll

image

Ett exempel för en verksamhet med känslig information:

I det här fallet är användaren påtvingad att välja en klassificering när den skapar ett nytt dokument och som standard RMS-skyddas alla nya dokument (oavsett var de sedan lagras).

Användaren kan själv byta klassificering men får då också ange anledningen till bytet.

DLP är konfigurerat att detektera alla dokument som innehåller ordet ”Gorilla” och kommer därefter att klassificera och skydda dokumentet därefter.

Vi behöver inte längre modifiera Office utan får via samma add-on även ett enkelt gränssnitt för slutanvändaren att RMS-skydda ett mail till mottagaren direkt i mail-vyn.

image

Lösningen konfigureras via den nya Azure portalen och kan idag enbart kombineras med Azure Rights Management (och inte AD RMS)

image

Som vanligt krävs det en genomarbetad design som följer verksamhetens informationsklassning och där efter går ett införande relativt snabbt av den nya lösningen och dess gränssnitt.

Publicerat i Informationssäkerhet, RMS | Märkt , , | Lämna en kommentar

Windows Defender Advanced Threat Protection

System attackeras idag utan att ens nyttja någon skadlig kod, istället används legitima verktyg för att komma åt sårbarheter eller manipulera användaren för att på sätt komma åt enheten/identiteten eller informationen. Det gör också att ett traditionellt antivirus inte heller har någon möjlighet att detektera attacken. Ett signaturbaserat antivirus har sedan länge varit relativt maktlöst mot mer sofistikerade attacker och dess skadliga kod.

En annan utmaning är att utreda hur en eventuell virusattack eller ett intrång har startat för att på så sätt identifiera brister i mjukvara och användarutiner. Vissa kritiska enheter behöver återställas så snart som möjligt och försvårar på så sätt även en utredning.

Så gott som alla antivirusleverantörer samlar in anonym data för att bli bättre på att identifiera skadlig kod, skillnaden med Microsoft är att de även får in anonym information från över en miljard Windows-enheter, där bland annat SmartScreen-filtret indexerat 2.5 biljoner URLer och dagligen scannar över en miljon suspekta filer.

Tack vare big data och machine learning finns det idag tekniker för att detektera onormalheter och identifiera mönster som kan vara tecken på en attack. Genom att identifiera ett normalt beteende, allt ifrån tidpunkt för inloggningar och mot vilka system, till vilka programvaror som används, identifierar Microsofts intelligenta analystjänst onormalheter. Vi har redan den här typen av beteendebaserat identifiering i Advanced Threat Analytics (ATA) men inom kort kommer vi även få liknande skydd i Windows 10.

Tjänsten heter Windows Defender Advanced Threat Protection (ATP) som nu byggs in i kommande Windows 10 releaser och ingår redan idag i Insider Preview i Redstone Build 14332 och senare.

Tjänsten består av tre olika delar för att detektera attacker och spåra intrång

  • Beteendebaserad sensor som loggar relevanta event och beteenden på klienten

  • Molnbaserat ”big data”-tjänst som analyserar event och händelser baserat på tidigare erfarenhet och dynamiskt uppdaterad information om kända attacker. Det här kan vara allt ifrån kända filer, URLer, IP-adresser, var och när något skrivs till registret med mera.
  • Ett säkerhetsteam från bland annat Microsoft som 24/7 utreder och detekterar nya beteenden och mönster i de fall som den mänskliga faktorn behöver komplettera skyddet.

Resultaten presenteras sedan i en ATP-portal. Den här portalen redovisar och larmar om kritiska händelser på dina enheter.

 

image

Defender ATP kommer vara inaktiverat som standard och vid aktivering konfigureras klienten antingen via MDM, GPO eller manuellt. Relevant data överförs krypterat till organisationens tenant och ger möjlighet att identifiera händelser som sker på en eller flera av verksamhetens enheter, så som virusutbrott eller intrång.

Finns det mer detaljer om en typ av attack som är känd sedan tidigare redovisas även en full rapport på den unika attacken.
Portalen kan även användas under en utredning (forensics) för att ta reda på vad som hänt med en typ av enhet som blivit exempelvis infekterad eller nyttjad under ett intrång.

image

Behöver en specifik fil eller program utredas djupare kan vi dels se hur känd den här filen är och om den förekommer på andra datorer inom vår organisation eller övriga enheter runt om i världen. Man kan även göra en utredning i en helt isolerad miljö för en fil för att få detaljer där det redovisas i detalj vilken påverkan filen har på ett system, var den skriver hur den kommunicerar med mera.

Den här möjligheten har flera säkerhetsavdelningar efterfrågat sedan länge och med tanke på rådande hotbild är det den här typen av skydd som behövs.

image   image 
Två exempel med en känd fil (eicar AV-testfil) och okänd fil

Publicerat i Windows 10 | Märkt , , | Lämna en kommentar

Lokal SharePoint 2016 och RMS

För några veckor sedan lanserades äntligen SharePoint 2016, vilket betyder att vi nu kan få likvärdig upplevelse med dess fördelar som SharePoint och OneDrive for Business i Office 365.

Ett ganska vanligt scenario är att vissa verksamheter har information som av policyskäl inte får lagras utanför verksamheten (så som Office 365). Vi kan nu lösa antingen en lokal uppsättning eller en hybrid lösning tillsammans med Office 365 där vissa projekt eller OneDrive lagras lokalt.

Våra användare jobbar som vanligt och märker ingen skillnad.image
Ett klassiskt scenario där OneDrive är standard lagringsyta för alla dokument som skapas i Office och därmed sparas och RMS-skyddas via OneDrive.

RMS integration

Självklart vill vi aktivera SharePoint IRM, som då applicerar RMS kryptering med automatik på dokument som lagras på de olika biblioteken.

Här har vi två alternativ som även detta baserat på vilka krav och behov den specifika verksamheten har.

  • Integrera med Azure RMS, vilket ger den stora fördelen att dela krypterad information med externa användare

  • Integrera med AD RMS, där allt även krypteringsmässigt bevaras lokalt, blir fullt fungerade (men begränsat) inom verksamheten.

Oavsett vilken RMS-lösning som används säkerhetsställer vi att dokument som delas och/eller laddas ner är krypterade. Full funktionalitet kräver dock Azure RMS så vi även har möjlighet att dela dokument även externt och då också ge dom RMS-mässig behörighet till dokumentet.

SharePoint pekar ut vilken RMS som skall nyttjas och i de fall som det förekommer även en hybrid RMS miljö finns ingen information i lokalt AD.

image

SharePoint 2016 och Azure RMS

Precis som tidigare SharePoint-versioner konfigureras en RMS Connector lokalt som då översätter Azure RMS till att efterlikna en AD RMS och hanterar RMS kryptering/dekryptering.

Via registret pekar man ut sökvägarna till connectorn och dessa är de samma från SharePoint 2013.

SharePoint 2016 kräver också Active Directory Rights Management Services Client 2.1 som då skall installeras på samtliga SharePoint Servrar. Laddas hem här: https://www.microsoft.com/en-us/download/details.aspx?id=38396

Viktigt steg här är också att ge själva SharePoint servern och/eller dess servicekonto beroende på hur SharePoint är uppsatt (läs)rättigheter till ServerCertification.asmx under nedanstående sökväg på RMS Connectorn (gäller även en lokal Exchange 2016).

image

Saknas korrekta rättigheter resulterar det i följande fel: “The required Active Directory Rights Management Service Client (MSIPC.DLL) is present but could not be configured properly”

image

Publicerat i RMS | Märkt | Lämna en kommentar

EDP + RMS = SANT

Kommande informationsskyddet Enterprise Data Protection (EDP) i Windows 10 har resulterat i frågor om hur det här matchar RMS, då detta också har till uppgift att skydda just företagsinformation.

Det glapp som flera verksamheter har idag är just när själva informationen skapas eller anländer till användarens enhet, tills det faktiskt skyddas med till exempel RMS. Med EDP kan vi se till att företagsinformation så fort den skapas blir skyddad. Skyddet följer där efter med informationen, kopieras information från ett dokument till ett annat kommer även detta bli krypterat med automatik på din Windows 10 enhet.

Låt oss ta följande scenario:
En anställd skapar en kvartalsrapport inför en årsredovisning

1. Användaren skapar rapporten

Om ett nytt dokument skapas med någon av de applikationer som organisationens definierat för EDP så finns möjligheten att tvinga eller låta användaren avgöra om det är företagsinformation eller privat information.

image

Iconen som liknar en portfölj samt den nya kollumen ”File ownership” i utforskaren visar om filen tillhör verksamheten eller är en privat (Personal) fil.

Om användaren sedan råkar kopiera information till en applikation eller annan plats som inte organisationen har definierat, kan detta helt förhindras alternativt redovisas för användaren och loggas.

Som exempel att användaren kopierar data för att sedan råka klistra in det i ett socialt media så som Twitter

Användaren kan blockeras eller få möjlighet att göra informationen “Personal” vilket då tillåter användaren att klistra in information och som framöver kommer loggas. image

På det här sättet minimerar vi risken för den vanligaste orsaken till informationsläckage. Nämligen en anställd som oavsiktligt eller avsiktligt hanterar information felaktigt.

EDP gäller dock enbart på den aktuella enheten vilket betyder att om den här filen kan t.ex. delas med någon annan genom att bifoga filen i ett mail kommer denna fil bli oskyddad och vi har därmed tappat kontrollen.

2. Användaren delar Rapporten

Med RSM kan användaren välja att dela filen antingen via RMS Sharing Application i utforskaren eller dess add-in i Office, alternativt ”Protect Document” i Excel och addera ett RMS skydd.

image

Det här resulterar i att informationen kan delas på ett säkert sätt då RMS skydded följer med filen oavsett var filen sparas.

Användaren får då möjlighet att spåra nyttjandet för att uppmärksamma eventuella försök till missbruk och kan även när som helst återkalla behörigheten via RMS Tracking Portal

image

image

 

Mottagaren får då de begräsningar som är definierade och kan inte i det här fallet inte kopiera någon data utan enbart se innehållet i denna rapport.

Summering

EDP fyller alltså det glapp som finns idag innan information skyddas med RMS. Den som applicerar ett RMS skydd har även full behörighet och kan på så sätt även råka hantera informationen felaktigt. EDP skyddar även mot felaktig hantering i detta fall.
RMS skydded kan och bör även automatiseras så filer som exempelvis delas via mail eller lagras på lokala filservrar eller SharePoint/OneDrive med automatik skyddas med RMS.

I ett optimalt införande av kommande EDP och RMS skall våra slutanvändare jobba precis som vanligt och bli förhindrade först när de gör något otillåtet.

Publicerat i Informationssäkerhet, RMS, Windows 10 | Märkt | Lämna en kommentar

TechX Inspelningar

För er som missade TechX 2016 under februari finns nu sessionerna att se i efterhand på Youtube.
De sessioner som rör IT-Säkerhet och produkter från Enterprise Mobility Suite presenteras även här:

Windows 10 + EMS = Sant

Windows 10 har nu landat! Förutom att Enterprise Mobility Suite (EMS) möjliggör hantering av andra typer av enheter och höjer säkerheten oavsett enhet, ger den dig max av din Windows 10-plattform. Central hantering av din konfiguration, alla inloggningar och framför allt din företagsinformation oavsett vart den sedan flyttas från din Windows 10-enhet. De främsta experterna inom sina respektive områden Client Management och IT-Säkerhet, Jörgen Nilsson och Anders Olsson demonstrerar den ultimata upplevelsen med hjälp av EMS

Skydda dig mot identitetsstöld och informationsförlust med Azure AD och RMS Premium

Tusentals identiteter och information kommer i fel händer dagligen. I den här session visar Anders Olsson (Enterprise Security MVP) hur Azure AD Premium och Azure RMS kan skydda din verksamhet och stötta din användare att alltid ha kontroll över sin information oavsett var den lagras

Framtidens klienthantering med Intune/Configuration Manager

Intune ritar om framtidens hantering av mobila enheter av alla slag. Under denna session visar vi och pratar om allt det senaste! Allt nytt som är möjligt; hantering av OS X, nyheter med iOS och On-Premise-hantering med Configuration Manager 1511 av Windows Mobile 10, som gör den till det säkraste alternativet om man inte tillåter internetuppkoppling.

Microsoft Advanced Threat Analytics

Mer än 200 dagar. Det är den genomsnittliga tid som hackare har tillgång till ditt nätverk innan de upptäcks, då de samlar in känslig data och hemlig information, och väntar på rätt ögonblick att slå till. Med Microsoft Advanced Threat Analytics (ATA) kan du identifiera säkerhetsluckor och hot med hjälp av beteendeanalys och få en tydlig och användbar rapport på en enkel attacktidslinje.

 

Övriga sessioner från TechX 2016 hittar du här: http://www.techx.se/

Publicerat i Advanced Threat Analytics, Azure, Microsoft Event, Okategoriserade, RMS | Lämna en kommentar

Enterprise Data Protection

”Jävlar, jag skickade till fel person!?!”
Inte helt ovanligt att man av misstag skickar ett e-postmeddelande till fel person, råkar få med känslig information vid en skärmdump eller helt enkelt råkar spara en fil på fel ställe.

Den största hotbilden idag med det växande problem som råder med informationsläckage är inte externa hot, utan kommer internt initierat. Av just den enkla anledningen att våra användare medvetet eller oftast omedvetet hanterar känslig information felaktigt.

RMS är ett bra alternativ för att bland annat förhindra otillåten hantering av information.
Windows 10 kommer även med funktioner som hjälper oss att skydda företagsinformation och framför allt möjliggöra att jobba vidare precis som vanligt men skydda varje fil som innehåller just företagsinformation.
RMS kan begränsa funktioner så som kopiering, utskrift, vidarebefordring av e-post med mera, vilket är ett rekommenderat läge i vissa situationer.

Tänk om vi istället kunde definiera vad som är företagsinformation och möjliggöra att våra användare kan jobba som vanligt men om känslig information exempelvis kopieras till en ny fil skyddas även denna. På det sättet skulle vi inte påverka vårat arbetssätt men fortfarande få kontroll så ingen obehörig kommer åt verksamhetsinformation.

Enterprise Data Protection (EDP) är en funktion som kommer till Windows 10, där vi kommer få just funktionen att kryptera vår företagsinformation som laddas ner till vår Windows 10 enhet.

Vi definierar var vi har vår företagsinformation där vi både kan peka ut interna (IPv4/IPv6) nät, interna domäner men även externa tjänster så som OneDrive for Business och SharePoint Online.

När information från utpekade källor kopieras till vår Windows 10 enhet kommer filerna (oavsett filtyp) att bli krypterade. Tekniken som används är beprövade EFS (Encrypting File System) som ser till att enbart användaren som kopierade information kan dekryptera dessa filer på just den Windows 10 enheten.

EDP
EDP-krypterade filer definieras dels med en utökning av ikonen samt ”encrypted to” fältet i Explorer som redovisar inom vilken organisation filen är krypterad.

Vi kan även definiera vilka applikationer vår organisation stödjer för den här typen av information, allt ifrån Office desktopapplikationer till tredjepartsapplikationer och nya standarden Windows-applikationer.

Om information flyttas från en EDP-krypterad fil kan vi begränsa så den enbart kan flyttas till utpekade applikationer och antingen blockera användaren från att flytta information till övriga applikationer alternativt enbart informera användaren om att den inte bör flytta information till en okontrollerad applikation, då skyddet kommer upphöra. Det kommer då även informeras om att åtgärden övervakas, vilket då inte förhindrar något eventuellt verksamhetskritiskt men även får användaren att tänka över sitt beslut.

Applikationerna definieras med hjälp av Windows funktionen AppLocker där EDP redovisar för användaren vad som gäller.

clip_image003 
Ovanstående redovisas för användaren när den kopierar EDP-skyddad information och försöker flytta det till en icke EDP-kontrollerad applikation

Applikationer som är definierade för EDP redovisar även motsvarande EDP ikon så fort skyddat innehåll kopieras till, eller skapas i denna applikation

clip_image005

Jag har tidigare berättat om EDP på sessioner både under TechDays förra året och på TechX i år men i båda fallen handlade det om demoscenarier i Insider Preview av Windows 10 och EDP är ännu inte släppts i officiella Windows 10.

EDP ställer även en del krav på lokal infrastruktur och framför allt ett väl genomfört designarbete innan ett införande. Finns det ett stort intresse av den här typen av lösning är ni välkomna att kontakta oss på Onevinn för att redan idag börja designa hur framtida EDP kan stötta er organisation.

Publicerat i Informationssäkerhet, Windows 10 | Märkt , | 1 kommentar

Nyheter från RMS produktgrupp

Produktgruppen för Rights Management har offentliggjort en hel del spännande nyheter.

Uppköp av Secure Islands

Bland annat gjordes ett spännande uppköp under förra året där Microsoft köpte det Israeliska företaget Secure Islands. Secure Islands är fokuserat på informationsklassning och har bland annat skapat verktyg för att förenkla för en användare redan innan man skapar ett dokument om dess klassificering. Exempelvis om dokumentet du precis skapade är extern, intern eller privat information för att sedan med automatik applicera eventuellt skydd med rättigheter utefter dess klassificering, så kallad classification, labelling, and protection (CLP).
Det här ger oss en hint om vad som kommer hända framöver inom RMS och övrig krypteringstekniker från Microsoft.

Gratis loggning

En annan stor nyhet är att den centrala loggning av Azure RMS som vi tidigare behövt aktivera och betala för mängd data vi loggar, nu kommer vara aktiverad och kostnadsfri! Mer information kommer angående loggning.

Tracking portalen begränsas till RMS Premium

Tracking portalen som gör det möjligt för en slutanvändare att spåra och återkalla sin delade information är nu begränsad enbart till RMS Premium licensierade användare (RMS Premium ingår bland annat i sviten Enterprise Mobility Suite, EMS)

Publicerat i RMS | Lämna en kommentar