Säkra Microsoft 365: Tre grundprinciper för en säkrare M365-miljö
Microsoft 365 är den dominerande plattformen för e-post, dokumenthantering och samarbete på de flesta arbetsplatser. Plattformen vilar på en Azure-infrastruktur och Entra ID för identitets- och åtkomsthantering. Att säkra sin M365-miljö innebär alltså att arbeta med att skydda allt som rör identitet, åtkomst och tillgångar i er miljö.
Standardinställningarna är utformade för att plattformen ska vara användarvänlig. Men för att leva upp till nya rekommendationer och lagkrav behöver många organisationer ett mer robust skydd. Här blir det upp till den enskilda organisationen att höja säkerhetsnivån för den egna miljön. Men hur går man till väga? Här berättar vi mer om tre grundprinciper för en säkrare tenant som dessutom uppfyller officiella rekommendationer från MCFs CERT-SE.
När standardinställningar i Microsoft 365 inte räcker
Microsofts standardinställningar är generösa. I en ny M365-tenant kan användare registrera applikationer, bjuda in gästanvändare, skapa Teams-kanaler och ge samtycke till att tredjepartsappar får åtkomst till organisationsdata. Men det är just denna typ av öppenhet som CERT-SE anser bör begränsas.
Miljön förändras också konstant. Microsoft släpper många hundratals ändringar varje månad. Nya funktioner som kan innebära nya delningsinställningar eller åtkomstvägar som behöver utvärderas. Identitet är den primära attackvektorn. Enligt Microsoft själva är majoriteten av alla identitetsattacker lösenordsbaserade, med tusentals attacker som blockeras varje sekund. Detta gör det tydligt att standardinställningarna behöver kompletteras för att säkra er miljö.
Enligt Microsoft själva är majoriteten av alla identitetsattacker lösenordsbaserade, med tusentals attacker som blockeras varje sekund
Tre grundprinciper för en säkrare tenant i M365
1. Säkra identiteter och åtkomst med MFA och rollstyrning
Multifaktorautentisering (MFA) är den enskilt mest effektiva åtgärden och stoppar över 99% av alla kontoövertagningsförsök. Trots detta saknar många organisationer som vi möter MFA på samtliga konton. Exempelvis administratörskonton till tenanten.
MCFs CERT-SE har gått ut med specifika rekommendationer för att säkra era M365-miljöer, vilket visar på att detta är en prioriterad fråga på nationell nivå. När det kommer till just identitet och åtkomst rekommenderar CERT-SE specifikt att:
- Begränsa användares möjlighet att registrera appar och ge samtycke till tredjepartsappar då det är en vanlig väg vid s.k. consent phishing.
- Blockera legacy-autentiseringsprotokoll som inte stöder MFA.
- Använda dedikerade administratörskonton och tillämpa minsta möjliga behörighet.
- Begränsa och regelbundet granska gästanvändare.
- Se till att privilegierade konton får skydd. Begränsa er till 2–4 globala administratörer. Dessa ska skyddas med phishing-resistent MFA.
2. Begränsa delning och exponering av data i M365
Standarddelning i M365 är ofta öppnare än organisationen inser. Delningslänkar skapas då så alla med länken får åtkomst utan autentisering. Här rekommenderas att alltid ändra standardinställningen till specifika personer, och att blockera automatisk vidarebefordran av e-post till externa adresser då detta är en vanlig teknik som angripare använder efter kontoövertagning.
Komplexiteten ökar snabbt. Varje team i Teams skapar automatiskt en SharePoint-site och M365-grupp med egna behörighetsinställningar. Utan styrning uppstår snabbt massvis med lagringsplatser med varierande åtkomstkontroll. Dessa behörigheter hanteras i grunden via Entra ID i Azure, där gruppmedlemskap, gästpolicys och villkorsstyrd åtkomst samspelar. Har ni inte koll där saknar ni också kontroll över var er data faktiskt kan hamna.
Vi rekommenderar våra kunder att implementera en grundlig informationsklassificering och DLP-policys för att förhindra att känslig information hamnar i fel händer.
Standarddelning i M365 är ofta öppnare än organisationen inser.
3. Arbeta strukturerat och kontinuerligt med Microsoft 365-säkerhet
Säkerhet är inte en engångsinsats, utan ett kontinuerligt arbete som bör utvecklas löpande. EU:s säkerhetsdirektiv NIS2 ställer dessutom höga krav på ett systematiskt säkerhetsarbete, tydligt ledningsansvar och incidentrapportering. Detta förutsätter i sin tur att ni har loggning aktiverat så ni kan upptäcka och spåra incidenter i er miljö.
Zero Trust sätter det strategiska ramverket: verifiera alltid, ge minsta möjliga behörighet och utgå från att ett intrång redan skett. I M365 och Azure innebär det konkret att ni implementerar villkorsstyrd åtkomst via Entra ID, ställer krav på enhetsefterlevnad, aktiverar kontinuerlig sessionsutvärdering och centraliserar loggar för att möjliggöra tidig upptäckt av avvikande beteende.
Den mänskliga faktorn
Användarna är en lika viktig pusselbit. När tekniken utvecklas och er IT-miljö blir mer svåråtkomlig vill angriparna utnyttja den mänskliga faktorn. Simulerade phishing-kampanjer och löpande utbildning blir avgörande för att hålla medarbetarna uppmärksamma på aktuella hot och gör dem till en aktiv del av ert försvar.
Användarna är en lika viktig pusselbit. När tekniken utvecklas och er IT-miljö blir mer svåråtkomlig vill angriparna utnyttja den mänskliga faktorn.
Från rekommendation till verklighet med Security Baseline
Utmaningen när det kommer till ett stärkt cyberskydd i M365 är inte bristen på information och guidning. Rekommendationerna finns ju där, öppna för alla. Det som ofta saknas är struktur, tid och kontinuitet att göra rekommendationerna till verklighet.
Nordlos Security Baseline: Definerad lägstanivå för M365-säkerhet
Nordlos Security Baseline ger er en definierad lägstanivå för säkerhetskonfigurationen i er M365- och Azure-miljö. Den omfattar identitetsskydd, e-postsäkerhet, delning, loggning och policys, allt för att bygga ett robust skydd för er data. Tillsammans tittar vi på var ni befinner er idag, var gapen finns och vilka åtgärder som bör prioriteras. Allt sammanfattas i en egen dashboard med rekommendationer för förbättringar.
Processen inleds med en genomlysning av er nuvarande konfiguration mot etablerade rekommendationer. Vi identifierar gapen, prioriterar åtgärderna och hjälper er att implementera dem. Därefter säkerställer vi kontinuitet genom regelbundna granskningar och uppdateringar i takt med nya hot och förändringar i Microsofts plattform.
Resultatet är inte bara en säkrare miljö, det ger även ledningen den insyn och det beslutsunderlag som krävs för att göra cybersäkerhet till den ledningsfråga den måste vara.
5 vanliga frågor och svar om att säkra sin Microsoft 365-miljö
- Varför räcker inte Microsofts standardinställningar för att säkra M365?
Standardinställningarna är utformade för användarvänlighet, inte säkerhet. Användare kan bland annat registrera appar, bjuda in gäster och ge tredjepartsappar åtkomst till organisationsdata utan godkännande från IT. Det gör miljön sårbar för exempelvis consent phishing och kontoövertagning. - Vad är det viktigaste steget för att säkra Microsoft 365?
Att aktivera multifaktorautentisering (MFA) på samtliga konton, inklusive administratörskonton. MFA stoppar över 99 % av alla kontoövertagningsförsök och rekommenderas av både Microsoft och MCF:s CERT-SE. - Hur påverkar NIS2 vår Microsoft 365-miljö?
NIS2-direktivet ställer krav på systematiskt säkerhetsarbete, ledningsansvar och incidentrapportering. Det förutsätter att ni har loggning aktiverat, strukturerade säkerhetspolicyer och en kontinuerlig process för att upptäcka och hantera incidenter i er M365-miljö. - Vad innebär Zero Trust i praktiken för M365 och Azure?
Zero Trust innebär att ni alltid verifierar identiteter, ger minsta möjliga behörighet och utgår från att ett intrång redan har skett. I praktiken handlar det om villkorsstyrd åtkomst via Entra ID, krav på enhetsefterlevnad, kontinuerlig sessionsutvärdering och centraliserad loggning. - Vad ingår i Nordlos Security Baseline?
Nordlos Security Baseline är en genomlysning och härdning av er M365- och Azure-miljö. Den omfattar identitetsskydd, e-postsäkerhet, delningsinställningar, loggning och policyer. Ni får en dashboard med tydliga rekommendationer, prioriterade åtgärder och en plan för kontinuerliga förbättringar..
