Sikker Microsoft 365: Tre grunnprinsipper for et sikrere M365-miljø
Microsoft 365 er den dominerende plattformen for e-post, dokumenthåndtering og samarbeid på de fleste arbeidsplasser. Plattformen hviler på en Azure-infrastruktur og har Entra ID for identitets- og tilgangsstyring. Å sikre M365-miljøet innebærer derfor å beskytte alt som gjelder identitet, tilgang og ressurser i deres miljø.
Standardinnstillingene er utformet for at plattformen skal være brukervennlig. Men for å leve opp til nye anbefalinger og lovkrav trenger mange organisasjoner et mer robust vern. Her blir det opp til den enkelte organisasjon å heve sikkerhetsnivået for eget miljø. Men hvordan går man frem? Her forteller vi mer om tre grunnprinsipper for en sikrere tenant.
Når standardinnstillingene i Microsoft 365 ikke er nok
Microsoft sine standardinnstillinger er lite restriktive. I en ny M365-tenant kan brukere registrere applikasjoner, invitere gjestebrukere, opprette Teams-kanaler og gi samtykke til at tredjepartsapper får tilgang til organisasjonsdata. I tråd med NSMs grunnprinsipper bør slike innstillinger vurderes og begrenses gjennom sikker konfigurasjon, tilgangsstyring og minste privilegium.
Miljøet endres også hele tiden. Microsoft lanserer mange hundre endringer hver måned. Nye funksjoner som kan innebære nye delingsinnstillinger eller tilgangsveier som må evalueres. Identitet er den primære angrepsvektoren. Ifølge Microsoft selv er flertallet av alle identitetsangrep passordbaserte, med tusenvis av angrep som blokkeres hvert sekund. Dette viser viktigheten av å tilpasse standardinnstillingene for å sikre deres miljø.
Ifølge Microsoft selv er flertallet av alle identitetsangrep passordbaserte, med tusenvis av angrep som blokkeres hvert sekund
Tre grunnprinsipper for en sikrere tenant i M365
1. Sikre identiteter og tilgang med MFA og rollestyring
Multifaktorautentisering (MFA) er det enkeltstående mest effektive tiltaket, og det stopper over 99 % av alle forsøk på kontoovertakelse. Til tross for dette mangler mange organisasjoner vi møter MFA på samtlige kontoer. For eksempel administratorkontoer i en tenant.
NSM sine grunnprinsipper for IKT-sikkerhet understreker viktigheten av sikker konfigurasjon, kontroll på identiteter og tilganger, samt særskilt beskyttelse av privilegerte kontoer. Når det gjelder identitet og tilgang, innebærer dette blant annet å:
- Begrense brukernes mulighet til å registrere apper og gi samtykke til tredjepartsapper da dette er en vanlig vei ved såkalt samtykke-phishing.
- Blokkere eldre autentiseringsprotokoller som ikke støtter MFA.
- Bruke dedikerte administratorkontoer og anvende minste mulige tilgang.
- Begrense og regelmessig gjennomgå gjestebrukere.
- Sørge for at privilegerte kontoer får beskyttelse og begrense antallet kontoer med de høyeste rettighetene.
2. Begrense deling og eksponering av data i M365
Standarddeling i M365 er ofte åpnere enn organisasjonen innser. Delingslenker kan opprettes slik at alle med lenken får tilgang uten autentisering. Her anbefales det alltid å endre standardinnstillingen til spesifikke personer, og å blokkere automatisk videresending av e-post til eksterne adresser da dette er en vanlig teknikk angripere bruker etter kontoovertakelse.
Kompleksiteten øker raskt. Hvert team i Teams oppretter automatisk et SharePoint-nettsted og en M365-gruppe med egne tilgangsinnstillinger. Uten styring oppstår det raskt mange lagringssteder med varierende tilgangskontroll. Disse tilgangene håndteres via Entra ID i Azure, hvor gruppemedlemskap, gjestepolicyer og betinget tilgang samspiller. Har dere ikke kontroll der, mangler dere også kontroll over hvor deres data faktisk kan havne.
Vi anbefaler våre kunder å implementere en grundig informasjonsklassifisering og DLP-policyer for å forhindre at sensitiv informasjon havner i feil hender.
Standarddeling i M365 er ofte mer åpen enn organisasjonen innser.
3. Arbeid strukturert og kontinuerlig med Microsoft 365-sikkerhet
Sikkerhet er ikke en engangsinvestering, men et kontinuerlig arbeid som bør utvikles løpende. EU:s sikkerhetsdirektiv NIS2 stiller dessuten høye krav til systematisk sikkerhetsarbeid, tydelig ledelsesansvar og hendelsesrapportering. Dette forutsetter igjen at dere har logging aktivert slik at dere kan oppdage og spore hendelser i deres miljø.
Zero Trust setter det strategiske rammeverket: verifiser alltid, gi minste mulige tilgang og utgå fra at et brudd allerede har skjedd. I M365 og Azure innebærer det konkret at dere implementerer betinget tilgang via Entra ID, stiller krav til enhetsoverholdelse, aktiverer kontinuerlig sesjonsvurdering og sentraliserer logger for å muliggjøre tidlig oppdagelse av avvikende atferd.
Den menneskelige faktoren
Brukerne er en like viktig brikke. Når teknologien utvikler seg og deres IT-miljø blir mer utilgjengelig, ønsker angriperne å utnytte den menneskelige faktoren. Simulerte phishing-kampanjer og løpende opplæring er avgjørende for å holde medarbeiderne oppmerksomme på aktuelle trusler og gjøre dem til en aktiv del av deres forsvar.
Brukerne er en like viktig brikke i puslespillet. Når teknologien utvikler seg og IT-miljøet deres blir mer utilgjengelig, ønsker angriperne å utnytte den menneskelige faktoren.
Fra anbefaling til virkelighet med Security Baseline
Utfordringen når det gjelder styrket cybersikkerhet i M365 er ikke mangel på informasjon og veiledning. Anbefalingene finnes jo der, åpne for alle. Det som ofte mangler er struktur, tid og kontinuitet til å implementere anbefalingene.
Nordlos Security Baseline: anbefalt minimumsnivå for M365-sikkerhet
Nordlos Security Baseline sørger for at M365- og Azure-miljøet deres har et anbefalt minimumsnivå for sikkerhet. Den omfatter identitetsbeskyttelse, e-postsikkerhet, deling, logging og retningslinjer, alt for å bygge et robust vern for deres data. Sammen ser vi på hvor dere befinner dere i dag, hvor gapene finnes og hvilke tiltak som bør prioriteres. Alt oppsummeres i et eget dashbord med anbefalinger til forbedringer.
Prosessen starter med en gjennomgang av deres nåværende konfigurasjon mot etablerte anbefalinger. Vi identifiserer gapene, prioriterer tiltakene og hjelper dere med å implementere dem. Deretter sikrer vi kontinuitet gjennom regelmessige gjennomganger og oppdateringer i takt med nye trusler og endringer i Microsofts plattform.
Resultatet er ikke bare et sikrere miljø, det gir også ledelsen riktig innsikt og beslutningsgrunnlag for å gjøre cybersikkerhet til den ledelsessaken den må være.
5 vanlige spørsmål og svar om å sikre Microsoft 365-miljøet
- Hvorfor er ikke Microsofts standardinnstillinger nok for å sikre M365?
Standardinnstillingene er utformet for brukervennlighet, ikke sikkerhet. Brukere kan blant annet registrere apper, invitere gjester og gi tredjepartsapper tilgang til organisasjonsdata uten godkjenning fra IT. Dette gjør miljøet sårbart for eksempelvis samtykkebasert phishing og kontoovertakelse. - Hva er det viktigste steget for å sikre Microsoft 365?
Å aktivere multifaktorautentisering (MFA) på samtlige kontoer, inkludert administratorkontoer. MFA stopper over 99 % av alle forsøk på kontoovertakelse og anbefales av både Microsoft og NSM. - Hvordan påvirker NIS2 vårt Microsoft 365-miljø?
NIS2-direktivet stiller krav om systematisk sikkerhetsarbeid, ledelsesansvar og hendelsesrapportering. Det forutsetter at dere har logging aktivert, strukturerte sikkerhetspolicyer og en kontinuerlig prosess for å oppdage og håndtere hendelser i deres M365-miljø. - Hva innebærer Zero Trust i praksis for M365 og Azure?
Zero Trust innebærer at dere alltid verifiserer identiteter, gir minste mulige tillatelse og antar at et brudd allerede har skjedd. I praksis handler det om betinget tilgang via Entra ID, krav om enhetsoverholdelse, kontinuerlig sessionsvurdering og sentralisert logging. - Hva inngår i Nordlos Security Baseline?
Nordlos Security Baseline gjør en gjennomgang av deres M365- og Azure-miljø. Den omfatter identitetsbeskyttelse, e-postsikkerhet, delingsinnstillinger, logging og policyer. Dere får et dashbord med tydelige anbefalinger, prioriterte tiltak og en plan for kontinuerlige forbedringer..
