Cloud Security, groot denken maar klein beginnen!
In mijn vorige column over Cloud Security gaf ik het advies om te beginnen met het in gebruik nemen van de beveiligingsfuncties binnen je Microsoft Cloud omgeving. Eén van de knelpunten die de implementatie in de weg heeft kunnen staan is het feit dat beveiliging nogal een breed aandachtsgebied is en het overal in je omgeving zit. Probeer je alles in één keer te doen dan is het een (te) overweldigend project. Een stap voor stap implementatie helpt hierbij. En elke stap richting een betere beveiliging is zeker de moeite waard!
Stap voor stap is ook de aanbevolen methode omdat de implementatie van nieuwe beveiligingsfuncties een duidelijke connectie heeft met je eindgebruikers. Door veranderingen geleidelijk door te voeren, krijgen je collega’s de tijd om zich aan te passen aan nieuwe werkwijzen, wat de acceptatie en naleving ten goede komt. Anders zit je voordat je het weet alleen in de innovatietrein en is iedereen uitgestapt, dat zou niet handig zijn.
Het stap voor stap implementeren van beveiligingsfuncties maakt het proces ook voor je IT team beheersbaarder. Ook daar gaan een aantal zaken veranderen. Er zullen vast een aantal zaken verbeteren maar er komen ook een aantal nieuwe (security) taken bij.
Klinkt goed, waar beginnen we? We beginnen bij de basis! De logische eerste stap is het implementeren van Multi-Factor Authenticatie (MFA). MFA voegt een extra beveiligingslaag toe door naast een wachtwoord ook een tweede vorm van identificatie te vereisen. Doe de SMS optie nu niet maar ga voor de authenticatie-app. Voor het gemak (en de lengte van deze blog) nemen we even aan dat iedereen een mobiele telefoon tot zijn beschikking heeft maar we weten heus dat dit niet altijd het geval is. In dat geval zijn er andere oplossingen, neem even contact op en dan leggen we ze graag uit.
Beveiliging en gebruikers, daar was iets mee toch? Juist! Informeer je collega’s, stel een pilot groep samen, doe de implementatie eerst bij hun (het kan in groepen of voor individuele gebruikers). Evalueer de adoptie informatie, de ondersteuning bij de overstap en rol het verder uit binnen je organisatie. Hiermee, zet je een eerste maar heel belangrijke stap richting een veiligere digitale omgeving en je slaapt een stuk rustiger.
Het volgende onderdeel, Data Loss Prevention (DLP) is omvangrijker, hier kunnen we misschien de term overweldigend ook gebruiken maar vergeet niet, elke stap brengt je dichter bij een goed beveiligde omgeving. Ook hier is en blijft belangrijk, denk groot maar begin klein! De meest gemaakte vergissing is hier dat organisaties veel te groot starten, die projecten komen nooit af! Doe jezelf een plezier en start klein (en schiet niet in de “ik moet alles voorzien van een security label” kramp).
DLP is een reeks tools en processen (en onderdeel van Microsoft Purview) die zijn ontworpen om gevoelige data te beschermen. Het identificeert, monitort en beschermt gegevens tegen potentiële bedreigingen. Dit omvat het voorkomen van datalekken, het waarborgen van naleving van regelgeving en het beschermen van intellectueel eigendom.
In hoofdlijnen ga je door de volgende stappen:
- Een DLP-beleid aanmaken
- Een sjabloon kiezen (er is een EU GDPR template)
- Locaties om te beschermen (email, SharePoint, OneDrive, Teams)
- Voorwaarden
- Acties bij detectie (melden, waarschuwen, blokkeren)
- Rapportage
- Testen en verfijnen
Door Microsoft Purview DLP te activeren en te configureren, kun je gevoelige gegevens binnen je organisatie effectief beschermen tegen onbedoeld delen met anderen. Op deze manier kan je (bij het gebruik van het standaard sjabloon) voorkomen dat bijvoorbeeld paspoortnummers, rijbewijsnummers, bank gegevens etc. verstuurd worden in de email of via Teams gedeeld worden met ongeautoriseerde personen.
Dit is maar een eerste stap en met deze technologie is nog veel meer bescherming mogelijk. Het belangrijkste doel is nu om te beginnen en bekend te raken met de technologie. Vanaf dit punt kan je stap voor stap verder. Het mooie is dat je bij elke aanpassing van het beleid kan testen wat de effecten zijn en deze op verschillende manieren kan afdwingen. Eerst melden (alleen de beheerders hebben er last van) dan waarschuwen en vervolgens afdwingen.
Het is belangrijk om regelmatig de effectiviteit van je DLP-beleid te evalueren en aan te passen op basis van nieuwe dreigingen, veranderingen in wetgeving en bedrijfsbehoeften. In de eerste blog gaven we het al aan, het gaat hier niet alleen om techniek maar ook om processen, samenwerken en ”in control” zijn, onderdelen van het regiemodel (ook wel samenwerkmodel genoemd) dus met een flinke berg techniek alleen ben je er nog niet. Daarover meer in onze volgende blog.
Na het succesvol implementeren van Multi-Factor Authentication (MFA) en (een deel van) Data Loss Prevention (DLP), is de volgende stap het verbeteren van je Microsoft Cloud-beveiliging met Microsoft Defender.
Microsoft Defender biedt uitgebreide bescherming tegen complexe bedreigingen zoals phishing, malware en zero-day aanvallen. Net als bij Microsoft Purview DLP is Defender ook dit weer een reeks beveiligingstools ontworpen om geavanceerde cyberdreigingen te detecteren en erop te reageren.
De Defender familie heeft drie belangrijke onderdelen:
- Defender for Endpoint
- Defender for Cloud
- Defender for Identity
Waar ga je nu mee starten, of start je met alles? Je start niet met alles, je start stap voor stap en dat is ook een beetje afhankelijk van het risicoprofiel en inrichting van je organisatie. Zit je primaire infrastructuur in de Cloud en ben je op zoek naar een holistische aanpak voor security en compliance dan start je waarschijnlijk met Defender for Cloud.
Bij een complexe AD en Azure AD combinatie en veel aanvallen op de identiteiten start je waarschijnlijk met Defender for Identity.
Maar de meeste organisaties starten echter met Microsoft Defender for Endpoint. Je werkplekken zijn immers een behoorlijke attack surface dus daar loop je, afgezien van bovenstaande use cases, het meeste risico en bereik je het snelst effect.
Met het woordje werkplekken krijgen we weer een nieuwe afhankelijkheid. Hoe zijn je werkplekken gemanaged? SCCM of Intune (of anders)? Ik hoor je denken, mijn beloofde stappenplan voor na de vakantie is steeds een stukje ingewikkelder aan het worden. Overweldigend komt in de buurt! Hou echter vol want niets doen is niet de juiste strategie.
In hoofdlijnen ga je door de volgende stappen (Intune managed):
- Activeer Microsoft Defender for Endpoint in Intune
- Onboarding van je devices
- Instellen van beveiligingsbeleid
- Monitoring en beheer
- Continue verbeteren
Na de implementatie van de eerste oplossing, evalueer de voortgang en voeg de volgende Defender-oplossing toe om je beveiliging verder te versterken op die manier kom je stap voor stap verder. Vergeet niet, je staat er niet alleen voor. Er is veel expertise in de markt beschikbaar om te helpen.
We hebben het al gezegd, met een flinke dosis techniek ben je er helaas nog niet. Door met Defender aan de gang te gaan heb je nog een paar extra’s meegekregen. Incidenten, secure score, threats, misconfigurations, attack simulation enz. Allemaal onderdelen die helpen om je omgeving veiliger te maken maar dat gaat niet vanzelf.
Hoe je invulling gaat geven aan de opvolging van die onderdelen bespreken we in onze volgende blog. Iets minder techniek en als het lukt ook iets minder lang.
Patrick Smeets is Strategisch Adviseur Cloud transitie & innovatie bij Legian