Starten met Office 365 Secure Score

Starten met Office 365 Secure Score

2 weken in de corona crisis. En het ziet er naar uit dat het nog even zal duren voordat we weer onze ‘vroegere’ werkplaats zullen gebruiken. In de laatste weken hebben we gemerkt dat Cloud, Office 365 met Teams enorm gegroeid is. Tot 12 miljoen nieuwe abonnees zijn er bijgekomen. Dat is best veel, als je weet dat er 44 miljoen gebruikers waren. Een serieuze verschuiven in de digitale werkplaats naar de Cloud.

Gezien de enorme shift naar Office 365 en Teams is het super belangrijk dat er veiligheidssystemen worden ingebouwd. Zoals identiteitsveiligheid met MFA. Maar ook basis security-lagen zoals Security Defaults van Azure Active Directory.

Hoe begin je hieraan? Wat zijn de eerste stappen? In deze blog beschrijf ik de logische stappen die je kan nemen om veiliger aan de slag te gaan met Office 365 maar ook met Teams en indirect Azure.

Bewustwordings-campagnes

Aanvalssimulator

Er zijn verschillende manieren om binnen je organisatie impact te maken als het aankomt op Security Awareness of bewustwording. Onrust maken is nooit een goed idee. Al kan je dit ook benaderen met een positieve nood. Je kan een aanvalssimulator uitvoeren bijvoorbeeld. Dit geeft een realistisch beeld van het risico binnen je organisatie. Je zal snel merken dat mits een lage security-awareness je een relatief hoge score zal hebben. Dat is niet al te best. En geeft je IT-Manager, CIO of management-team slagkracht om te starten met veiligheidstrajecten.

Wat is een aanvalssimulator?

Een aanvalssimulator stuurt een fictieve e-mail naar iedereen binnen je organisatie. In deze e-mail zal er gevraagd worden om je gebruikersnaam en wachtwoord in te voeren. Spijtig genoeg zullen veel mensen hun e-mail adres en hun wachtwoord zonder twijfel achterlaten.

Onoverkomelijk, vaak. Eén persoon die toegeeft aan een phishing e-mail kan een volledige organisatie uit handen geven. Je kan best wel begrijpen dat als je één account hebt binnen een omgeving dat je snel veel impact maakt om een volgende account te benaderen en zo rustig te evalueren naar een account met meerdere rechten. VPN toegang, of Office 365 administrator accounts. Domein administrator rechten dus volledige controle. De nieuwe hacking gebeurd zelfs vanuit office 365 naar on-premises.

Een aanvalssimulatie is heel eenvoudig om te doen. Je kan via deze wizard eenvoudig een e-mail bouwen die je distribueren kan naar de volledige organisatie. De score zal je live kunnen volgen in de daarvoor voorziene rapporteringen. Dit kan zonder IT-kennis perfect ingeregeld worden en uitgevoerd. Dus de cel veiligheid of DPO kan hiermee aan de slag.

Security Defaults

Wat is Azure AD Security Defaults

Voor Azure Active Directory. De identiteitsdatabase van Office 365 en Azure bestaat er sinds kort een oplossing van Microsoft die meerdere veiligheidssystemen integreert. ‘Security Defaults’

Activatie van MFA, Conditional Access & blokkeren van legacy

Security defaults is één enkele optie die je eenvoudig kan activeren die meerdere veiligheidsimplementaties uitvoert. De eerste veiligheidscheck is Multi-Factor Authenticatie. Met Security Defaults is het mogelijk om MFA aan te zetten en alle gebruikers te verplichten om met de Authenticator App verbinding te maken met Office 365. Ook neemt deze standaard voorwaardelijke toegang, (conditional Acces) en het blokkeren van legacy protocollen met zich mee. Zoals IMAP, POP3. Dit kennen we allemaal van de jaren 2000 toen we nog met Skynet onze e-mail boxen moesten configureren.

Activeren van Security defaults kan je via dit artikel.

Krachtige veiligheids-overwegingen

In de eerste 30 dagen van activatie van Office 365, Microsoft 365 of enkel Microsoft Teams adviseert Microsoft sterk om security aanbevelingen te volgen. Eenvoudige acties zijn:

  • Basis administrator beveiligingen
  • Logging activatie en analyse
  • Basis identiteitsbescherming
  • Tenant configuratie

Microsoft SecureScore

Microsoft Secure Score is een meetpunt voor de beveiliging van je organisatie. Waarbij een hoger cijfer aangeeft dat er meer verbeteracties zijn geactiveerd. Securescore is een service die niet alleen de beveiligingsconfiguratie van uw Office 365-omgeving omvat, maar ook beveiligingsaanbevelingen geeft om controle en mogelijkheden in andere Microsoft-services, waaronder Azure AD onder controle te krijgen.

Securescore algemeen overzicht

  • Veilgheidsscore voor gegevens, apparaten, applicaties en infrastructuur.

Geaccepteerde risicoscore

  • Pijnlijk maar 100% correct. Als je hier een score hebt van 0% ga je er mee akkoord dat je geen maatregelen hebt getroffen om je gegevens veilig te stellen van mogelijke risico’s.

Verbeteringsacties

  • Verbeteringsacties zoals risk policies, maar ook data loss prevention, self-service password reset.
RangVerbeteringsactieBeschrijving
1Turn on sign-in risk policyTurning on the sign-in risk policy ensures that suspicious sign-ins are challenged for multi-factor authentication.
2Turn on user risk policyWith the user risk policy turned on, Azure AD detects the probability that a user account has been compromised. As an administrator, you can configure a user risk conditional access policy to automatically respond to a specific user risk level. For example, you can block access to your resources or require a password change to get a user account back into a clean state.
3Apply Data Loss Prevention policiesData Loss Prevention (DLP) policies can be used to comply with business standards and industry regulations that mandate the protection of sensitive information to prevent accidental or malicious disclosure. DLP sends alerts after it scans for potentially sensitive data, such as social security and credit card numbers, in Exchange Online and SharePoint Online. Setting up DLP policies will let you identify, monitor, and automatically protect sensitive information.
4Set automated notifications for new OAuth applications connected to your corporate environmentWith app permission policies, you can discover Open Authorization (OAuth) abuse in the organization by identifying trending applications based on usage & permissions granted.
5Use Cloud App Security to detect anomalous behaviorCloud App Security anomaly detection policies provide User & Entity Behavior analytics (UEBA) and advanced threat detection across your cloud environment.
6Set automated notifications for new and trending cloud applications in your organizationWith Cloud Discovery policies, you can set alerts that notify you when new apps are detected within your organization.
7Create a custom activity policy to discover suspicious usage patternsCloud App Security activity policies help you to detect risky behavior, violations, or suspicious data in your cloud environment. If necessary, you can also integrate remediation work flows.
8Enable self-service password resetWith self-service password reset in Azure AD, users no longer need to engage helpdesk to reset passwords. This feature works well with Azure AD dynamically banned passwords, which prevents easily guessable passwords from being used.
9Apply IRM protections to documentsUsing Information Rights Management protections (IRM) on email and document data prevents accidental or malicious exposure of data outside of your organization. Attackers targeting specific, high value data assets are blocked from opening them without user credentials.
10Discover trends in shadow IT application usageAdd a data source in automatic log upload for Cloud App Security Discovery to identify applications in your organization that run without official approval. After configuration, Cloud App Security Discovery will analyze firewall traffic logs to provide visibility into cloud applications’ usage and security posture.
11Designate more than one global adminHaving more than one global administrator helps if you are unable to fulfill the needs or obligations of your organization. It’s important to have a delegate or an emergency account someone from your team can access if necessary. It also allows admins the ability to monitor each other for signs of a breach.
12Ensure all users can complete multi-factor authentication for secure accessMulti-factor authentication (MFA) helps protect devices and data that are accessible to these users. Adding more authentication methods, such as the Microsoft Authenticator app or a phone number, increases the level of protection if one factor is compromised.
13Do not expire passwordsResearch has found that when periodic password resets are enforced, passwords become less secure. Users tend to pick a weaker password and vary it slightly for each reset. If a user creates a strong password (long, complex and without any pragmatic words present) it should remain just as strong in 60 days as it is today. It is Microsoft’s official security position to not expire passwords periodically without a specific reason.
14Enable policy to block legacy authenticationBlocking legacy authentication makes it harder for attackers to gain access. Office 2013 client apps support legacy authentication by default. Legacy means that they support either Microsoft Online Sign-in Assistant or basic authentication. In order for these clients to use modern authentication features, the Windows client has have registry keys set.
15Enable Password Hash Sync if hybridPassword hash synchronization is one of the sign-in methods used to accomplish hybrid identity. Azure AD Connect synchronizes a hash, of the hash, of a user’s password from an on-premises Active Directory instance to a cloud-based Azure AD instance. Password hash synchronization helps by reducing the number of passwords your users need to maintain to just one. Enabling password hash synchronization also allows for leaked credential reporting.
16Use limited administrative rolesLimited administrators are users who have more privileges than standard users, but not as many privileges as global admins. Leveraging limited administrator roles to perform required administrative work reduces the number of high value, high impact global admin role holders you have. Assigning users roles like Password Administrator or Exchange Online Administrator, instead of Global Administrator, reduces the likelihood of a global administrative privileged account being breached.
17Require MFA for administrative rolesRequiring multi-factor authentication (MFA) for all administrative roles makes it harder for attackers to access accounts. Administrative roles have higher permissions than typical users. If any of those accounts are compromised, critical devices and data are open to attack.

Geschiedenis

  • In het geschiedenisoverzicht zie je welke acties je reeds hebt uitgevoerd. Handig om goed te rapporteren op de maturiteitsscore van je organisatie.

Metrische gegevens en trends

  • Vergelijken. Niet echt een geweldige manier om risico’s uit te sluiten maar wel een goede mediaanmeting.

Samenvatting

Microsoft Secure Score is de perfecte plaats om te starten. Een van de redenen? Omdat het een concreet overzicht van de mogelijke verbeterpunten geeft. Securescore laat de mogelijkheden zien en activeert de dialoog tussen IT medewerkers en de organisatie die moet beslissen over de veiligheid. De cijfers laten vaak niet toe om niets te doen. Je bent niet veilig. We moeten handelingen nemen om dit op te lossen. Een beetje veilig of onveilig bestaat niet.

Als er nog frictie is tussen de noden kan er gewerkt worden met: Awareness campagne binnen Office 365, maar ook kan de non-believer zelf nakijken op welke plaats hij of zij recent is ingelogd. Risky sign-ins is een derde optie die het zeer inzichtelijk maakt om voor een veiligere omgeving te kiezen.

Naast de bovenstaande aanbevelingen stopt het helaas niet. In de verbeteringsacties kan je in deze test-tenant maar liefst 17 adviezen die vinden die allemaal realistisch zijn om te implementeren. Laten we starten!

Een persoonlijk advies is dat niemand de exacte stappen kent om een organisatie naar een veiliger niveau te tillen. Logisch redeneren is het meest belangrijk. Denk als een aanvallen. Wat zou jij als eerst aanvallen?

Gerelateerde blogs

Roadmap voor beveiliging van Office 365 in de eerste 30, 60, 90 dagen
Secure Score voor Microsoft Azure
Microsoft Teams security inrichtingen in 4 stappen
Office 365 Secure Score verbeteren
Kijk zelf na op welke locatie je bent ingelogd om zeker te zijn dat je niet bent gehackt
de 10 security aanbevelingen die we moeten inrichten nu we thuiswerken!

Jasper Bernaers

Hallo, ik ben Jasper. Welkom op 365tips.be. Op deze website lees je artikels over ervaringen over O365, Microsoft Teams, Intune, Azure AD, Security... Veel leesplezier. Als je vragen hebt geef een reactie onder de artikels!

Geef een reactie