Information Protection i Office till alla plattformar

Microsofts ambition är att ge möjlighet att klassificera och skydda dokument från Office oavsett plattform. Idag på en Windows-enhet behöver vi installera en AIP-klient vars add-on i Office ger oss möjlighet att se och klassificera dokument. När det kommer till övriga plattformar för telefoner, plattor och nu även Mac har de till viss del kommit steget längre. Såvida man installerar den senaste versionen av Office applikationen (Word, Excel, PowerPoint) och är inloggad med ett konto där detta är förberett kommer funktionen vara inbyggt. Motsvarande kommer även framgent för Office 365 (click-to-run) till Windows i framtiden.

I skrivande stund finns inbyggd funktionalitet till följande plattformar:

  • Sedan någon vecka tillbaka har vi äntligen fått möjlighet att klassificera och se befintlig informationsklassifikation på dokument även med Office till Mac.
    image
  • För Android finns motsvarande om man klickar på ikonen med ett ”A och en penna” för att på samma sätt kunna klassificera information från sin platta eller telefon
    image
  • Det ser även snarlikt ut på vår iPhone/iPad där vi exempelvis via Word appen klickar på samma ikon för att få samma möjlighet på en telefon/platta från Apple
    image

En uppdaterad lista på supporterade Office applikationer/versioner finns här: https://support.office.com/en-us/article/apply-sensitivity-labels-to-your-documents-and-email-within-office-2f96e7cd-d5a4-403b-8bd7-4cc636bae0f9?ad=US&ui=en-US&rs=en-US#bkmk_whereavailable

Förutsättningar

Vi väntar fortfarande på funktioner så som att kunna klassificera e-post via Outlook appen på de olika plattformarna och via webbläsaren med Office Online. Detta kommer! Det kräver dock förarbete från organisationens sida. All nyutveckling som genomförs just nu kommunicerar med Office/M365 Security & Compliance Center (SCC). För att få de nya funktionerna krävs alltså att vi har informationsklassifikationen och dess Labels publicerade i SCC.

Har man redan Azure Information Protection på plats används det som kallas Unified Labeling för att börja synka befintliga Labels mellan SCC och AIP portalen.

clip_image005

Innan man gör detta bör man se över om det redan finns några labels konfigurerade i SCC och om så är fallet se till att det inte finns någon label med samma namn som i AIP portalen.

Vid själva aktiveringen kommer labels från AIP kopieras till SCC. Labels från SCC kommer kopieras till AIP portalen. I båda fallen krävs det att respektive importerad label tilldelas en policy som publiceras i respektive portal för att de skall dyka upp hos våra användare.

När skall man använda vad?

AIP portalen är fortfarande den primära konfigurationsplatsen. Här finns idag möjligheter som saknas i SCC. Några exempel är: ”Custom permissions” för att kunna per Label låta användaren anpassa behörighet till både interna och externa användare. Automatisk eller rekommenderad klassifikation/label baserat på valfritt definierat innehåll i dokument. Nuvarande AIP klient (som bland annat ger slutanvändaren möjlighet att spåra och återkalla delad information) kommunicerar enbart med AIP.

Det finns även vissa funktioner som vi enbart kan konfigurera från SCC vilket gör att Unified Labeling förenklar integrationen mellan dessa portaler. Vi kommer inom en snar framtid få än mer utökad funktionalitet att automatiskt applicera en label baserat på en större uppsättning av regler än vad vi idag har i AIP portalen.
Ett exempel på vad vi kan göra idag är möjligheten att konfigurera DLP-regler som letar efter fördefinierade känsliga uppgifter så som personuppgifter, kredit kort med mera som lagrats inom Office 365. Då vi än så länge saknar möjlighet att klassificera dokument online kan vi istället uppmana användaren att göra detta vid behov:

clip_image006

Microsoft Cloud App Security, MCAS är den lösning som finns idag för att både detektera skyddsvärd information och med automatik kunna klassificera och skydda dokument lagrade i Office 365 (och andra molntjänster). Viktigt att ha i åtanke här, är att då inte Office Online idag kan dekryptera innehållet åt användarna kan heller inte skyddade dokument öppnas online utan kräver lokalt installerad Office applikation.

Annonser
Publicerat i Microsoft Information Protection | Märkt | Lämna en kommentar

Terms of use: Informera om verksamhetens informationsskydd

Under alla införandeprojekt jag drivit för att stötta verksamheter att införa ett informationsskydd är den absolut största och viktigaste delen att informera och utbilda.
Våra användare måste lära sig ett nytt arbetssätt som i vissa fall kan kräva ett eller flera nya moment när man skapar information.

Det gäller att vara tydlig i varför verksamheten genomför denna förändring och beskriva hur lösningen fungerar.
Att skriva om lösningen på sitt intranät når ofta inte ut till alla som nyttjar lösningen men kan där emot vara en bra plats samla sin information.

Att där emot påtvinga ett användarvillkor första gången en användare skall använda lösningen kan vara ett sätt att nå ut med information till fler användare.
Informationen måste vara kortfattad och tydlig. En rekommendation är att länka till intranätet där man har djupare beskrivningar med bland annat steg-för-steg instruktioner och gärna både bilder och korta videor som visar på hur man använder lösningen men också hur det ser ut vid delning.

“Terms of use” är en relativt ny funktion i Azure Active Directory och Conditional Access som bland annat kan användas till detta ändamål.
Exemplet nedan visar på en användare som för första gången skall använda tjänsten Azure Information Protection.
Terms of use visas och användaren behöver klicka på länken med mer information för att ta sig vidare.

image

Informationen är kortfattad och tydlig över både varför man infört funktionen och hur den skall användas.

image

När användaren accepterat villkoren kan användaren börja klassificera och skydda information (med förhoppningsvis bättre förståelse).

image

Informera via E-post

Ett annat alternativ är att skicka ett skyddat e-postmeddelande med instruktioner om hur man gör. På det sättet får användaren både uppleva att få ett skyddad e-postmeddelande och samtidigt reda på hur man använder funktionen. Även här rekommenderas att länka till intranätet för mer detaljer och information om vikten av att skydda känslig information för sin verksamhet.

Länka via AIP klienten

Ett tredje alternativ är att länka till sitt intranät via AIP klienten. På det sättet kan användaren alltid hitta till mer detaljerad information direkt från lösningen

image

Publicerat i Microsoft Information Protection | Märkt , , | Lämna en kommentar

Förenkla extern delning för våra användare

Flera verksamheter har behov att kunna dela skyddsvärd information med andra organisationer vilket är en syftena med Azure Information Protection.

Att kunna skydda valfri fil med behörighet till en extern organisation, på enkelt sätta kunna dela den via epost och följa upp dess användning är något som ofta efterfrågas.

Följande scenario beskrivs i den här artikeln

En användare klassificerar och skyddar en fil med Custom permission för att skydda den en hel organisation

clip_image001

Användaren skall sedan skicka filen till en kontakt hos den andra organisationen som i sin tur behöver kunna dela den vidare inom sin organisation.

När användaren bifogar den här filen i Outlook kommer Outlook rekommendera användaren att applicera motsvarande informationsklassificering även på själva epostmeddelandet

clip_image002

När användaren bekräftar rekommendationen får själva e-postmeddelandet motsvarande label och när det skickas kommer Exchange att kryptera epostmeddelandet till mottagaren utan att begränsa dess möjlighet att skicka det vidare. Behörigheten på den bifogade filen skyddar filen att kunna delas utanför mottagarens organisation.

Mottagaren får det skyddade epostmeddelandet och dess bilaga och kan sedan dela det vidare. Oavsett var den bifogade filen sedan kopieras eller lagras bevaras skyddet till enbart mottagarens organisation (och avsändaren som skyddade filen)

clip_image003

Avsändaren kan sedan följa upp vilka inom organisationen som tagit del av dokumentet. Skulle det finnas ett behov kan även tillgången till dokumentet återtas (revokeras).
På det sättet bevarar vi kontrollen av dokumentet oavsett delning

clip_image004

Problematiken och lösningen för denna konfigurationen

Problematiken rör att ”Custom Permission” inte finns som alternativ för Outlook. Enda konfigurationsmöjligheten som idag finns i Azure Information Protection (AIP) är att definiera att e-post som klassificeras med samma Label skyddas med begränsade rättigheter att exempelvis vidarebefordra i Outlook.
Den här konfigurationen kräver att man utelämnar det alternativt vilket resulterar i att e-postmeddelandet enbart får själva Labeln och dess metadata.

clip_image005

För att få Outlook att antingen rekommendera eller påtvinga motsvarande Label som bifogad bilaga ändrar vi detta i AIP Policyn. Skiljer behoven inom verksamheten kan vi definiera flera policys och på så sätt få olika beteenden för olika användare/avdelningar.

clip_image006

För att få kryptering lägger vi på en Exchange Transport Rule som krypterar epostmeddelanden med denna Label. Krypteringen som vi applicerar ger fulla rättigheter till mottagarna som då även kan vidarebefordra epostmeddelandet vid behov. Eftersom själva dokumentet redan är krypterat (med Custom Permission) kommer inte e-postmeddelandets bilaga förändras utan behörigheten till dokumentet begränsas alltid till det som användaren definierade initialt.

clip_image008

Förutom den tekniska konfigurationen behövs som alltid även en väl genomförd användarutbildning/instruktion över hur den här funktionen skall användas och vilken upplevelse det blir för mottagaren av e-postmeddelandet.

Publicerat i Azure Information protection, Microsoft Information Protection | Märkt | Lämna en kommentar

Detektera och förhindra informationsläckage på riskfyllda enheter

När vi väl har definierat vår informationsklassifikation och märkt upp vår information utefter dess känslighetsgrad kan vi på olika sätt få en utökad spårbarhet.
Något som är högst intressant är att identifiera om det förekommer känslig information på en enhet eller av en användare som utsatt för någon form av risk. Riskerna är allt ifrån detekterat intrång, virus/malware eller kapad identitet.

Tack vare att fler och fler av Microsofts tjänster och även tredjeparts produkter får förståelse för den metadata som Azure Information Protection och Unified Labeling i Office 365 adderar till vår information får vi helt nya möjligheter.

Via nyheter i portalen för Azure Information Protection finner vi bland annat Data discovery, som redovisar information som hämtas från Windows Defender Security Center.

image

Informationen om Device Risk kommer från Windows Defender Advanced Threat Protection (WD ATP). Baserat på alla säkerhetsfunktioner och sin egen beteendebaserade säkerhetstjänst i Windows, identifieras det om det pågår några konstigheter på enheten eller med användaren. Risken klassificeras som Low – Medium – High vilket redovisas och länkar till Windows Defender Security Center.

Via portalen Windows Defender Security Center  kan vi se alla detaljer runt den klassificerade risken. Är WD ATP även integrerat med Azure Advanced Threat Protection ges även information om det förekommer risker med användaren eller enheten i den lokala infrastrukturen vilket till exempel kan tyda på intrång i den lokala infrastrukturen.

image

Utred och åtgärda ett eventuellt intrång eller informationsläckageförsök

Det finns flera åtgärder att vidta för att motverka informationsläckage vid den här typen av incidenter. Några exempel:

Om en enhet har blivit eller misstänkts vara kapad kan vi bland annat med hjälp av WD ATP isolera maskinen för att det inte skall gå att nätverksmässigt överföra någon information.

image

Via AIP portalen kan vi identifiera vilka filer som setts till på den kapade enheten:

image

Finns det risk för att filen redan flyttats och det finns en osäkerhet om fler konton med behörighet till informationen kan ha kapats bör filen revokeras via AIPs tracking portal.

image image

Misstänker man att användarens konto är kapat bör kontot inaktiveras eller minst byta lösenord på kontot. Detta leder då till att information skyddad av AIP inte blir tillgänglig med hjälp av detta konto. Tillåts offline access för skyddad information alternativt om information skyddats från en enhet som också blivit kapad bör enheten raderas/låsas för att minimera risken att det finns cachade licenser som kan ge tillgång till information.

Automatisk blockering av riskfyllda användare går att uppnå genom att skapa en Conditional Access regel för AIP. Regeln nedan blockerar all access till AIP tjänsten när inloggningen är av hög risk.

image

Publicerat i Azure Information protection, Endpoint Protection, Microsoft Information Protection, Windows 10 | Märkt | Lämna en kommentar

Följ upp ditt informationsskydd med ny AIP dashboard

Efter att ha infört en lösnings för informationsskydd är det viktigt att marknadsföra den internt inom verksamheten på ett lämpligt sätt. Dels för att stötta användarna med vilken typ av information som är skyddsvärd men framför allt också för att de skall veta om att det finns en lösning som de kan använda för att skydda det som de själva anser relevant.

Steget därpå handlar om att följa upp och se hur stor del av verksamheten som faktiskt använder lösningen samt hur den används. Dels för att avgöra om det behövs någon uppföljning inom information och kunskapsöverföring till slutanvändarna och dels för att se att den faktiskt används.

Azure Information Protection släpper nu en ny dashboard för dels det här ändamålet men även för att identifiera vilken kritisk information som inte är klassificerad/skyddad.

Den nya Usage report delen ger en översikt och analys under senaste månaden, kvartalet eller halvåret över hur många:

· filer är klassificerade
· filer är skyddade
· användare är det som klassificerat/skyddat filer
· många enheter har klassificerat/skyddat filer

Vi kan få en djupare analys över vilka informationsklassifikationer (Labels) som används och fördelningen mellan dessa. Även hur fördelningen ser ut mellan filtyper/applikationer listas för att tydliggöra statistiken över vilka filer som skyddas och kan innehålla känslig information.

2018-09-03 10_42_13-Window

Används exempelvis en standard-label eller någon annan label man vill exkludera från statistiken går det enkelt att exkludera den för att få en bättre insikt

image

Finns det behov av fler detaljer, har vi möjlighet att göra mer avancerade sökningar för att identifiera allt ifrån specifika informationstyper så som person/konto-nummer, användare till specifika dokument och filer.

Här kan vi dels söka, genom att markera de uppgifter vi önskar, och filtrera på de värden vi efterfrågar. Resultatet kan sedan exporteras för att exempelvis analyseras vidare med Power BI både i molnet eller via en lokal installation (Power BI desktop).¨

clip_image001

Identifiera risker med oskyddad känslig information.

Om AIP Scannern används för att söka igenom lokala filservrar och SharePoints redovisas även dess resultat under Data discovery.

Här får du en tydlig överblick och kan välja att till exempel filtrera på ett visst file share och se både vilka filer som är klassificerade/skyddade men också vilka filer som innehåller känslig information men saknar skydd.

2018-09-12 11_38_50-

Tack vare den nya dashboarden blir det enkelt att följa upp så fort nya filer innehållande känslig information sparas till ett lokalt file share och hur stor del av verksamhetens information som är både klassificerad och skyddad.

(Än så länge är den nya Dashboarden enbart i Preview och den bygger även på att klienterna (och AIP Scannern) använder den senaste preview versionen av AIP klienten från version 1.38 och framåt.)

Publicerat i Azure Information protection, Informationssäkerhet, Microsoft Information Protection | Märkt | 1 kommentar

Bättre och säkrare lösenord i ditt AAD/AD

Även om Microsoft och många andra har kommit väldigt långt att med olika tekniker komma ifrån lösenordsinloggning kommer vi nog ha klassiska lösenord kvar ett antal år till.

Lösenord är dock något som de flesta användarna tycker är krångligt, tråkigt och mest av allt något onödigt ont som man bara måste ta sig igenom. Majoriteten av våra användare lägger nog ingen större vikt av att lösenordet Sommar2018! är ett svagt lösenord, bara de lyckas komma igenom alla svåra lösenordpolicys och sätta ett godkänt lösenord.

Som tur är har vi genom åren lärt oss mycket om lösenord och vilka krav som faktiskt höjer säkerheten på våra lösenord. Vi har även lärt oss vilka lösenordpolicys som faktiskt riskerar att sänka säkerheten på lösenord.

Klassiskt tänk som att vi bör byta vårat lösenord med jämna mellanrum har nu ersatts av att vi bör sätta ett lösenord vi kan och kommer ihåg utan några krav på att byta detta såvida det inte blivit läckt/knäckt.

Det vi har lärt oss av detta är ett kontinuerligt krav på lösenordsbyte ofta resulterar i att man lägger till och ändrar några siffror och specialtecken i samma lösenord. Exempelvis ”Sommar2017” enbart byts mot ”Sommar2018” eller kanske ”Sommar2018!” Det här är något som även är känd av de som gör intrång och om vi tittar på attackerna de senaste åren har det skett en klar ökning av så kallade spray attacks. Dessa går ut på att man bygger upp en lista på de vanligaste förekommande lösenorden exempelvis ”Password” med alla dess varianter ”P@$$w0rd!” och så vidare. För att ta sig runt lock out policys och andra skydd testar med dessa lösenord mot alla identifierade användarkonton på ett företag.
Det räcker då att ett användarkonto eller värsta fall ett administrator-konto har ett lösenord som man tidigare trodde var starkt, ex. “P@$$w0rd!” eller  “$0mM@r!” blir knäckt, så riskerar man ett fulländat intrång.

Som tur är, är det inte bara the bad guys som blir duktigare och mer erfarna. Microsoft lägger enormt mycket resurser på att identifiera hur attacker går till för att lära sig att bygga allt bättre skydd mot de rådande attackerna.

Det senaste runt lösenordsskydd är Password Protection som är en funktion i Azure Active Directory som ökar skyddet både i Azure Active Directory och lokala Active Directoryt.

Tjänsten består av flera skydd för att öka lösenordssäkerheten och blockera intrång baserat på lösenordsförsök.

Det ingår dels en lista med de vanligaste lösenorden så kallade banned password list. Denna lista är i skrivande stund snart uppe i 1000 lösenord. Alla olika kombinationer av dessa lösenord blockeras också, vilket gör att flera miljoner lösenord kommer blockeras.

Då lösenord ofta innehåller namnet på företaget, den lokala orten med mera kan man även komplettera den här listan och ange lösenord som ofta förekommer i sin egen organisation och som kan vara lätt även för den som attackerar organisationen att identifiera. Även olika kombinationer av dessa lösenord kommer blockeras som i exemplet nedan för företaget MSSEC och Company

  • Mssec, mssec2018!, M$$3C…
  • Company, company2017?, c0mMp@ny

Eller varför inte “Sommar”, “Vinter” m.m. om det är något som kanske tidigare användes av Service Desk när de återställde lösenord

clip_image001[4]

För att även lösenord som sätts eller byts i det lokala Active Directory:t skall få samma skydd finns en proxy och agent som installeras lokalt och knyts med våra domänkontrollanter. Dessa hämtar och applicerar samma inställningar som vi konfigurerat i vårat Azure AD.

clip_image001[6]

Det här resulterar i att när en användare försöker sätta någon av dessa lösenordskombinationer kommer detta att blockeras.

Både om användaren försöker sätta ett lösenord från listan i det lokala ADt som i exemplet nedan

clip_image001[8] clip_image001[10]

Alternativt om användaren ändra det via självbetjäningsportalen i Azure AD

clip_image001[12] clip_image001[14]

Förutom att Password Protection motverkar att vanliga lösenord konfigurerats innehåller den även en funktion, så kallad Smart lockout för att blockera lösenordsintrång utan att låsa ut den faktiska användaren.

Om det pågår inloggningsförsök som enligt avancerade algoritmer tolkas som intrångsförsök kommer dessa inloggningar att stoppas med den riktiga användaren kan fortsätta jobba helt ostört.

Den här funktionen har funnits i Azure AD en längre tid oavsett licensform, men tack vare det nya gränssnittet med Custom smart lockout kan vi nu även anpassa skyddet och konfigurera känsligheten för sin egen organisation.

Detta gör att Password Protection både stöttar dina användare att sätta bättre och säkrare lösenord som inte är lika lätta att gissa sig fram till, samtidigt som den blockerar felaktiga inloggningsförsök utan att störa användaren.

Publicerat i Azure Active Directory | Märkt , , | Lämna en kommentar

Identifiera ett Secure Email-phishing försök

Tyvärr fortsätter phishing mail att öka och de blir allt duktigare på att kopiera officiella mailtjänster och utskick i ett ständigt försök att få mottagaren att klicka på en bifogad länk, och i många fall även få mottagaren att ange sitt användarnamn och lösenord.

Det har nu kommit phishing mail som försöker efterlikna Microsoft Secure Email / Office 365 Message Encryption vilket i flera fall har varit så gott som identiska med standardgränssnittet.

Jag vill med den här artikeln påvisa hur man kan särskilja på ett phishing mail och ett äkta Secure Email.

Phishing mail

Ett exempel på ett phishing mail där det är två väsentliga fel:

  1. När du håller musen över ”Read the Message” -länken ser du att den inte pekar inte på ”outlook.office365.com”
  2. Avsändaradressen som även skall redovisas i meddelandet matchar inte avsändaradressen

clip_image001

Ett äkta Secure Email

  1. ”Read the message”-länken pekar på outlook.office365.com
  2. Avsändaradressen är både korrekt och matchar avsändaradress i meddelandet

clip_image002

Ett äkta anpassat Secure Email

De bilder och text i ett Secure Email som beskrivs i denna artikel kan bytas ut. Här är det viktigt att informera och utbilda interna användare om organisationens design, både för interna användares skull, men även för att de skall kunna stötta externa mottagare och ha vetskap om upplevelsen när de skyddar epost externt.

Oavsett anpassad design skall motsvarande länk och avsändaradresser matcha enligt exemplet nedan.

clip_image003

Tekniskt skydd mot Phishing mail

Det är väldigt viktigt att oavsett tekniska skyddslösningar även utbilda slutanvändare att vara vaksamma på denna typ av hot.

Ett bra skydd mot bland annat phishing är Office 365 Advanced Threat Protection (ATP). Dess ATP Safe Link Protection funktion genomsöker och ersätter alla inkluderade länkar (bland annat för att skydda mot DNS-ompekningar som används för att i efterhand styra användaren till en skadlig websida)

Även om den här typen av lösning oftast stoppar användaren att komma till en skadlig websida går det att utläsa om det är ett phishing mail som i exemplet nedan:

clip_image004

Läs mer om hur Secure Email fungerar och i vilka scenarion som ett skyddad mail redovisas enligt ovan

Publicerat i Azure Information protection | Märkt , | 3 kommentarer