INSPIRE: waar moet je Security Focus liggen? | Blog | Wortell
Dag 2 van Inspire bracht ontegensprekelijk weer heel wat inspiratie voor onze experten. Jurgen Van Eynde, onze Lead in Microsoft Security kroop graag in zijn pen om jullie te informeren over alle nieuwigheden met betrekking tot zijn security expertise en staat graag stil bij waar je vandaag net je focus dient te leggen als het aankomt op online veiligheid.
Een wereldwijde pandemie heeft de wereld veranderd, sommigen omarmen de positieve uitkomst van het nieuwe normaal, anderen voelen nog steeds een bepaalde weerstand en kijken nog steeds terug naar hoe het vroeger was. Ik ben ervan overtuigd dat cultuur en mentaliteit elke vooruitgang kan maken of kraken.
Kijkend vandaag naar de wereld, constateer ik dat meer dan 2 jaar digitale transformatie werd geïmplementeerd in een periode van minder dan 3 maanden. Meer dan 80% van de organisaties heeft gemiddeld 50% van het personeel vanop afstand zien werken. Er was bovendien een opmerkelijk verschil waar te nemen bij organisaties die telewerken reeds ondersteunden en organisaties die de waarde en voordelen er niet van erkenden.
Impact op prioriteiten?
Veel organisaties en security-medewerkers moesten het roer om gooien. Dit op zeer korte termijn, zonder of met beperkte middelen en veranderende werkmethoden. Er is een duidelijk verschil in de security focus voor en na de eerste piek van de pandemie:
Nu het personeel niet meer vanuit een on-premise omgeving werkt, werd duidelijk dat er behoefte is aan verschillende oplossingen om het gebruik en de intellectuele eigendom van de organisatie te beschermen.
Een van de topprioriteiten is datalekken en risico's met voorkennis. Wanneer gegevens namelijk worden gelekt, is de bron meestal een interne relatie die gecompromitteerd werd. Daarnaast is datamanagement veranderd van statische naar flexibele oplossingen. Kijk maar naar hoe de klassieke bestandsserver zich vandaag verhoudt ten opzichte van een oplossing als Teams of SharePoint.
Respond, recover en reimagine
De meeste organisaties hebben gereageerd (respond) en hebben zich min of meer kunnen herstellen (recover) van de impact en veranderingen die zich hebben voorgedaan. Zo hebben organisaties telewerken beschikbaar gemaakt om gesloten kantoorruimtes op te vangen en samenwerkingstools zoals Teams geïmplementeerd voor online vergaderingen en dagelijkse taken.
Maar ook deze, misschien ad-hoc uitgevoerde, implementaties kunnen opnieuw worden uitgevonden. Laat ze een meerwaarde creëren en een specifiek doel hebben voor de organisatie! Veel tools en beveiligingsservices zijn namelijk reeds ingebouwd, wat betekent dat er dus geen extra of complexe implementaties nodig zijn om deze te installeren. Gebruik AI en automatisering om je te concentreren op de echte incidenten en zo resources vrij te maken dankzij geautomatiseerde responsfuncties. Tot slot kan je je omgeving ook met andere Microsoftservices of 3rd party oplossingen integreren om een volledig overzicht te krijgen over de gehele infrastructuur van je organisatie.
Zero Trust is de nieuwe standaard
Het IT-landschap is de afgelopen maanden sterk veranderd. Organisaties die in het verleden geen werk op afstand konden leveren, pasten zich wel aan deze nieuwe standaard aan. Dit heeft een aanzienlijke impact op de architectuur van het IT-netwerk van je organisatie en de gekozen implementaties. Door het verwijderen van verschillende ‘constanten’ zoals de locatie waar je werkt en misschien zelfs ook het apparaat waarop je werkte, is het belangrijk om bepaalde trusts niet langer blindelings te vertrouwen.
1. Expliciet verifiëren
Een gebruikersidentiteit bepaalt welke soorten toegang worden verleend voor toepassingen, hulpprogramma's en andere type bronnen. Door het verwijderen van bepaalde bekende vertrouwensbronnen zoals locatie en apparaat, is een sterke authenticatie en autorisatie vereist. Controleer of het echt die gebruiker is die zich aanmeldt door Multifactor aanmelding toe te voegen. Creëer methodes voor IoT-apparaten, gebruikersgroepen, enzoverder... Een gebruikersnaam is de basis geworden in een moderne omgeving.
2. Beperkte Administrator rechten
Beperk zoveel mogelijk de toegang voor de risicovolle administrators. Geef enkel wanneer nodig gebruikers en beheerders bepaalde toegangen. Maak daarnaast ook een onderscheid tussen een gebruikersaccount en een beheerdersaccount. Implementeer vervolgens identiteitsbeheer om de duur van bepaalde risicovolle rollen, zoals een globale administrator, te beheren. Het is niet nodig om deze rol voortdurend actief te hebben.
3. Ga ervan uit dat er reeds een datalek is
Vermijd grootschalige datalekken door over te gaan naar microsegmentatie. Door een geschonden gebruiker of apparaat alleen toegang te geven tot wat nodig is, beperk je zo de hoeveelheid blootgestelde gegevens. Daarnaast wordt de responstijd verkort door een Endpoint Detection & Response tool met automatische responsmogelijkheden te activeren, bovenop de bescherming van het gebruikersaccount.
Microsoft Azure AD en toegangsbeheer?
De gebruikersidentiteit is de sleutel tot het beschermen van gegevens en toegang tot gevoelige toepassingen binnen je organisatie. Door gebruik te maken van Azure AD als de belangrijkste identiteitsprovider, worden ingebouwde beveiligingstools geactiveerd voor applicaties van derden en wordt de gebruikerservaring verbeterd door over te stappen naar slechts één account dat IT moet beheren en beveiligen. Belangrijkste voordelen van Azure AD:
- Autoblock-functies: AI-gestuurde intelligentie beschermt de identiteit en kan geautomatiseerde acties uitvoeren wanneer dat nodig is, zoals: toegang blokkeren, wachtwoord opnieuw instellen of bepaalde voorwaarden vereisen
- Werken van overal: de identiteit stelt ons in staat om de toegang te beheren op basis van locatie of type apparaat. Zo behoud je controle terwijl gebruikers in staat zijn vanuit thuis of op eender welke locatie te werken
- Samenwerken: gebruikers moeten kunnen samenwerken met collega’s en/of externe partners of klanten. Azure AD stelt Microsoft-services in staat om intensief samen te werken binnen vooraf gedefinieerde grenzen
Azure AD blijft groeien en stelt organisaties in staat om de identiteitsbeveiliging te blijven verbeteren.
Gegevensbeheer met Microsoft Information Protection?
De verschuiving naar werken op afstand heeft de behoefte voor organisaties om hun beveiliging en risicobeheer te veranderen, vergroot. Werknemers hebben toegang tot bedrijfsgegevens op thuiscomputers, delen data en werken op nieuwe manieren samen waardoor organisaties een groter risico kunnen lopen op datalekken.
Om dit tegemoet te komen, krijgt Microsoft Information Protection nieuwe functies om de organisatie te helpen hun gegevens te beheren:
- Microsoft Endpoint Data Loss Prevention oplossing
- Nieuwe functies in Insider Risk Management en Communicatie Compliance in Microsoft 365
- Nieuwe gegevensconnectors van derden in Microsoft Azure Sentinel
- Nieuwe dubbele sleutel encryptie voor Microsoft 365 in openbare preview
Verbeterde mogelijkheden voor preventie van gegevensverlies
Informatiebescherming profiteert ook van de groeiende mogelijkheden binnen AI- en Machine learning-modellen. Deze zullen organisaties helpen om te begrijpen waar data opgeslagen is: niet alleen op cloudservices, maar ook on-premises. De focus ligt op de standaard office-bestandstypen en op het vergroten van de mogelijkheden om gevoelige gegevens in PDF-bestanden te detecteren. Hierdoor kunnen organisaties beginnen met het beheren van de gegevens en het consolideren van de opslaglocatie, waardoor een duidelijke documentlevenscyclus ontstaat.
Teams en de mogelijkheden ter preventie van gegevensverlies verbeteren continu en bieden flexibele mogelijkheden. Chatberichten met gevoelige gegevens kunnen in realtime worden geblokkeerd. Het kan zelfs ingezet worden bij gevallen van beledigingen en intimidatie op het werk.
Insider risico's?
Met het toenemende werken op afstand, is het tijd om insider risico's opnieuw te bedenken. Veel bekende omstandigheden zijn plotseling onbekend, wat het opsporen van deze risico's een stuk moeilijker maakt. Microsoft Insider-risicobeheer kan inzicht verwerven in honderden of zelfs duizenden gebeurtenissignalen die deze consolideren in gewogen incidenten: laag, gemiddeld of hoog. Dit stelt elke IT-afdeling van een organisatie in staat zich meteen te richten op de juiste vraagstukken.
Met behulp van Microsoft Graph, Microsoft 365 en 3rd parties, creëert Insider-risicobeheer een tijdlijn voor onderzoek met inzichten in wat er gebeurd is. Nieuwe functies die in de komende periode zullen worden uitgebracht, zijn:
- Nieuwe soorten signalen
- IT en SecOps integratiemogelijkheden
- Nieuwe beleidsmogelijkheden
Wat nu?
Gebruik het momentum om de beveiligingshouding te blijven verbeteren zonder dat hiervoor extra tools en implementaties nodig zijn: activeer de verbeterde mogelijkheden van de services reeds in gebruik, integreer verder naar bestaande toepassingen of moderniseer je omgeving door vooruit te gaan en een legacy app te verwijderen en te vervangen door een op de nieuwe service gebouwde oplossing.
Voer de ‘reimagine’ fase uit: streef naar een efficiënte en flexibele oplossing. Verwacht een aangepast en misschien uitdagend budget: laat veiligheid niet een “nice to have” zijn, maar beschouw het als “een must have”.