Blogg

EdgeGuides prioriteringar för it- och informationssäkerhet

De flesta tycker nog att informations- och it-säkerhet är viktigt, även om det faktiska skyddet kan hamna efter. Allt eftersom tillvaron digitaliseras öppnas nya anfallsytor som kanske traditionellt sett inte varit utsatta för digitala hot som intrång och kapningar. Medvetenhet och diskussion om dessa är helt avgörande för att kunna, i bästa fall, vara snäppet före cyberbovarna.

Och även om det vore bekvämt med perfekta säkerhetslösningar så är det sällan så enkelt. Men det finns ändå några huvudområden som vi på EdgeGuide argumenterar har tyngre prioritet än andra. Det är som en utgångspunkt för de som funderar på att förbättra sin it-säkerhet utan att riktigt veta vad som är bäst att sätta tänderna i först.

Prioritera identitetshanteringen och -autentiseringen

Det första området handlar om identiteter; att användare kan på ett effektivt men säkert sätt autentisera sig för att komma in i organisationens interna system. Den kanske viktigaste och numera allra vanligaste delen för identitetsautentisering är Azure Active Directory, eller Azure AD.

Azure AD är en registertjänst från Microsoft som hanterar digitala identiteter, vare sig det gäller personer, applikationer, enheter eller organisationer. En vanlig association till identitet är ett namn. Och visst är namnet viktigt, men ännu viktigare är åtgärderna som användaren kan utföra, det vill säga vilka behörigheter och vilken åtkomst som finns knutet till namnet.

Identitet kan beskrivas som den digitala representationen av en användare. Och processen att hantera behörigheter, anslutningar och verktyg är fullt möjlig att sköta på mindre bolag med få anställda med begränsat antal system. Komplexiteten ökar dock snabbt ju fler identiteter som måste hanteras. Microsoft förespråkar en strukturerad livscykel för identitetshantering i ett övergripande register.

Microsofts livscykel för identitetshantering

Det första steget som Microsoft definierar i sin identitetslivscykel är att identifiera vilka auktoritära datakällor som finns. Exempelvis så kan ett hr-system betraktas som auktoritärt för namn och avdelning. Exchange Online, eller någon annan mejlserver, kan anses vara huvudkällan för e-post.

Steg två är att ansluta de auktoritära källorna i ett eller flera register, så som Azure AD. Jämför sedan registerna och ta bort eventuella överflödiga uppgifter/användare. Användarprofiler tillhörande före detta anställda kan finnas kvar på vissa ställen, och då behöver de tas bort.

Steg tre är att hitta sätt för register och de auktoritära källorna att kommunicera med registerlösa system. Det inkluderar att hitta databaser för de olika typerna av digitala profiler som annars inte har någon centraliserad lagringsplats, samt att etablera regler för när identiteter inte längre ska finnas kvar.

Sista steget är att ansluta register för att kommunicera sinsemellan. Då kommer identitetslistor kontinuerligt uppdateras med information från olika system, enligt vilka system som har prioritet över andra.

I praktiken så kan ovan steg användas för de vanliga processerna som gäller anställda. Anställdas identitetshantering brukar delas in i tre kategorier som är:

  • Ansluter. När en person börjar omfattas av identitetspolicyerna som skapats, exempelvis genom att fått anställning, att ha blivit kund, medlem eller leverantör, eller något annat. Om inte någon digital identitet finns så behöver den skapas.
  • Flyttar. När en identitetsprofil förändras. Exempel är att personen har omplacerats från en avdelning till en annan inom organisationen. När det händer så behöver den digitala identiteten uppdateras för att innefatta de korrekta rättigheterna och behörigheterna.
  • Lämnar. När en person inte längre vill eller ska omfattas av den digitala identiteten. Det kan gälla avslutade anställningar, utlöpta kontrakt och så vidare. När det här sker så måste register radera eller arkivera information enligt relevant lagstiftning och praxis.

Provisionering

Frågan om behörighetshantering har nära anknytning till ämnet provisionering. Provisionering är den automatiska processen då understående system skapar identitetsprofiler för att de skapats i ett överstående system. Ett exempel är att en nyanställd lagts in i hr-systemet och att Azure AD (som hämtar listan över anställda från hr-systemet) då skapar en ny identitet för att AD-listan ska matcha hr-listan.

Bild hämtad från Microsoft.

Deprovisionering är motsvarande process som ovan, fast handlar om att ta bort identiteter när de inte längre finns i ett överstående system. För att systemen ska ha uppdaterade listor så måste de synkroniseras.

Provisionering via Azure AD

I Azure AD så finns tre huvudkategorier av provisionering. Det är att hämta identitetslistor från ett hr-system, att skicka identitetslistor till applikationer, samt att skicka identitetslistor mellan Active Directory och Azure Active Directory.

En lämplig uppsättning innebär alltså först att en ny användaridentitet skapas i hr-systemet – till exempel vid en nyanställning. Den informationen kommer då att skickas till Azure AD (och AD om tillämpligt). Azure AD kommer sedan, beroende på inställningar så som titel och avdelning, att uppdatera applikationslistor med den nya identiteten för att personen ska få tillgång till de system och applikationer som behövs. Om personen slutar och tas bort från hr-systemet så kommer Azure AD att blockera tillgången för den identiteten till applikationerna.

Prioritera klient- och enhetssäkerheten

En annan hörnsten i säkerhetspusslet är klientsäkerheten samt enhetshanteringen. Det syftar alltså till de åtgärder som finns för att kontrollera, styra, autentisera och säkra de enheter som de anställda använder. Eftersom åtkomsten till organisationsdata inte bara kommer från ett kontorsspecifikt nätverk så blir i princip varje telefon, dator och surfplatta potentiella ingångar till organisationens system och dokument.

Flera underdimensioner behöver övervägas till följd av den expanderande sfären över vad som är arbetsplatser. Delvis så behöver kontrollmöjligheterna som organisationen har över enheter övervägas; att enheter kan låsas eller återställas på distans om till exempel en dator skulle bli stulen eller borttappad. Även vilka applikationer, lokala filer och webbplatser som enheterna kan nyttja är potentiellt relevant att begränsa, så att inte medvetna eller omedvetna handlingar gör att enheten infekteras eller kapas. Högst relevant är även skugg-it, på engelska shadow IT, vilket innebär nyttjandet av andra system eller applikationer än de som köpts in. Skugg-it är ett stort problem som minskar översikten och kontrollen som it-avdelningen har. Det begränsar också de skyddsåtgärder som finns att ta till, samt att det ger icke upphandlade tjänster tillgång till organisationsdata.

Microsofts Endpoint-verktyg

För att komma i gång med ändpunktssäkerhet så är Microsoft Intune den vanligaste utgångspunkten. Intune ingår i Microsofts applikationssvit Enterprise Mobility + Security, läs mer här. I Intune så registreras ändpunktsenheter som kan kopplas till Azure AD, vilket på så sätt ger möjlighet att kontrollera vilken identitet/enhet som har vilken åtkomst. Från Intune-listan över användare och enheter kan sedan policyer sättas upp som styr vad som ska gälla för enheten/användaren gällande exempelvis autentisering, kryptering, vilka applikationer som kan användas/installeras och mer.

Image that shows the levels of app management data security

Bild hämtad från Microsoft.

Intune fungerar med både organisationsägda enheter samt personliga enheter som används i arbetssyfte. När organisationen äger enheter så kan Intune styra allt som sker. Men om det är en personlig enhet så går det att från Intune i stället aktivera vissa kompletterande autentiseringsåtgärder när försök att nå organisationsdata görs från enheten. Andra applikationsrelaterade åtgärder kan också aktiveras, så som att ange i vilken utsträckning som mejl eller filer kan hanteras lokalt på enheten.

För organisationer som exempelvis inte har enterprise-licenser så erbjuder Microsoft även verktyget som kallas Microsoft Defender for Endpoint. Det är en klientsäkerhetslösning som inte är lika flexibel eller omfattande som Microsoft Endpoint Manager (som är verktyget som används i kombination med Intune), men som ändå möjliggör enhetsskydd via brandväggar, antivirus och incidentåtgärder.

När enheter finns i Intune så är det mest effektiva att aktivera policyer på gruppbasis. Då blir det enhetligt och enkelt att ange åtgärder när användare kopplade till enheterna tillkommer eller ska tas bort.

Prioritera insiderhot

Hot från insidan handlar inte bara om personer som vill sabotera för organisationen, även om det kan vara en spontan association. Tvärtom så är det vanligaste faktiskt att riskfyllda beteenden grundas från en god avsikt. Men det betraktas fortfarande som ett hot från insidan – vare sig om utgångspunkten är illvillig eller ej. En artikel länkad av Microsoft rapporterar att 84 % av insiderhotexperter upplevt över 5 icke-illvilliga säkerhetsincidenter, och 69 % rapporterade att ha upplevt över 5 incidenter med uppsåt. Dessutom uppgav över 10 % av respondenterna att de stött på fler än 100 av respektive incidenttyp.

Ett exempel på en risk utan uppsåt är medarbetare som sparar sina arbetsrelaterade dokument på privata hårddiskar eller i privat molnlagring. Avsikten kan vara att säkerhetskopiera informationen för att inte förlora den, eller kanske för att förenkla åtkomsten och lättare kunna arbeta på resande fot. Tanken kan som sagt vara god, men frågan är vad som händer när den personen byter jobb. Eller att organisationsdata inte längre omfattas av den säkerhet som är etablerad internt, vilket gör att dokumenten lättare kan kapas eller infekteras. Eller då den privata lagringsenheten tappas bort eller blir stulen. Poängen är att det är en risk för organisationen, och att rutiner måste finnas för att förhindra den typen av handlingar.

Risker med uppsåt kan syfta till handlingar med avsikten att direkt eller indirekt skada organisationen. Det gäller därför att på rimliga sätt begränsa möjligheten att kunna skicka till exempel känsliga dokument, så att det inte hindrar dagliga arbetet men ändå så att det hindrar illvilliga handlingar. Utan begränsningar så kan följderna bli kostsamma, exempelvis genom dataläckage, brusten sekretess, bristande efterlevnad, bedrägerier och utpressning.

Säkra bolagsinformation med Microsoft-verktyg

Microsoft Purview och Microsoft Sentinel är två säkerhetsplattformar som Microsoft tillhandahåller. Där finns övervakande funktioner som kartlägger bland annat misstänkt aktivitet för olika användare. Det kan dels bidra med en indikation mot vilka användare som är mer benägna att genomföra riskfyllda åtgärder, men även för att genomföra åtgärder. Det finns här tydliga kopplingar till enhetssäkerheten som diskuterades ovan eftersom både åtgärder och syften överlappar.

Microsoft Purview Insider Risk Management

Som en del av Microsofts compliance-plattform Purview så finns delen som kallas Insider Risk Management, vilket ofta förkortas IRM – även utanför Microsoft-kontexten. I övriga Microsoft Purview, som tidigare gick under namnet Compliance Center, så finns en mängd möjligheter att försäkra organisationens och de anställdas efterlevnad. Det går att sätta upp policyer om dataklassificering, datalagring och mer. Och som en nära anknuten del finns alltså även Insider Risk Management-verktyget som fokuserar på hot inifrån organisationen. Bilden nedan visar strategin för hur insiderhot bemöts och åtgärdas.

Bild hämtad från Microsoft.

I Microsoft Purview Insider Risk Management-plattformen så hanteras alltså olika hot genom att definiera risker samt hur de identifieras. Sedan kan de anställda följas över tid, för just de identifierade punkterna. Aviseringar kan sättas upp för mer allvarliga risker och när det är nödvändigt så eskaleras incidenter eller beteenden.

När en incident eller misstanke eskaleras så prioriteras de först i triage-fasen. De med högst prioritet utreds då i en specialgrupp där ärendespecifika avdelningar också kan vara med, till exempel hr eller säkerhetsavdelningen. Beroende på vad utredningen kommer fram till så kan sedan olika typer av åtgärder krävas.

User and Entity Behavior Analytics (UEBA) i Microsoft Sentinel

UEBA har i flera år varit ett etablerat koncept. Bland annat Gartner har skrivit om UEBA-lösningar, men har sedan 2021 övergått till förkortningen IRM. Microsoft använder både UEBA och IRM, men båda syftar till samma sak – alltså översikts- och analysverktyg som hjälper till att upptäcka insiderhot baserat på interna användares mönster och beteenden.

I Microsoft Sentinel, som förut hette Azure Sentinel, finns specialiserad metodik som behandlar användardata för att identifiera hot inom organisationen. Microsoft Sentinels UEBA-arkitektur presenteras på bilden här under.

Bild hämtad från Microsoft.

Sentinels UEBA-lösning samlar alltså in data från alla anslutna källor, filtrerar alla data och mappar sedan informationen till respektive användare. Användarprofilerna analyseras sedan utifrån anfallsmönster som finns i kunskapsdatabasen MITRE ATT&CK. Läs mer om MITRE ATT&CK på den officiella sidan här. Det blir därför en tydlig tratt där enbart de incidenter som uppvisar avvikande eller misstänkt beteende behöver utvärderas närmare, vilket även korreleras med kända mönster vid intrång och anfall.

Vidare läsning

Vi rekommenderar starkt att läsa vår artikel om satsningar på it- och informationssäkerhet. Där summeras en rad artiklar för att ge ett övergripande perspektiv på säkerhetsläget hos många organisationer.

Magnus Roos

Magnus ansvarar för marknadsföringen och innehållet på EdgeGuide. Har du frågor eller kommentarer om något du läst? Skicka gärna ett mejl eller kontakta via LinkedIn.