Tech

Skydda dig mot säkerhetshoten med Microsoft 365

Microsoft 365 har en mängd bra säkerhetsfunktioner som kan göra din vardag säkrare. Här ger Anton Wadström, en av Asurgents tekniska rådgivare, sina bästa tips på åtgärder som skyddar ditt företag mot riktade attacker, ransomware och intrång.

Stoppa 99.9% av attackerna med multifaktor-autentisering (MFA)

Att fokusera på komplexa lösenordsregler och att tvinga användare att byta lösenord flera gånger per år har länge varit branschstandard och har etsats fast som en best practice hos många IT-beslutsfattare och administratörer, men det har visat sig snarare stjälpa än hjälpa.

När lösenordsreglerna blir för komplexa och användare tvingas byta ofta så sjunker komplexiteten över tid, användarna tenderar att endast modifiera en siffra eller bokstav i lösenordet för att ”få bytet överstökat”. I vissa fall krävs så komplexa lösenord att användarna skriver ner dem på papper för att de är omöjliga att komma ihåg.

Med Microsoft 365 och Azure Active Directory kan du aktivera multifaktor-autentisering (MFA) på alla konton – helt gratis! Eftersom användarna måste godkänna inloggningen med en app i sin telefon räcker det alltså inte längre att en hackare kommer över användarens lösenord för att få tillgång till kontot, den här typen av skydd stoppar enligt Microsoft 99.9% av alla attacker mot konton. (https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Your-Pa-word-doesn-t-matter/ba-p/731984)MFA har länge varit gratis i Microsoft 365, men det är först det senaste året som vi ser att organisationer börjar anamma det på riktigt. På Microsoft Ignite presenterades siffror för hur många administratörskonton som har MFA aktiverat, siffrorna är både positiva och skrämmande:

September 2017 var det endast 0.7% av administratörskonton som hade MFA aktiverat.
September 2018 hade samma siffra stigit med 1%, ingen jätteökning.
Däremot i Oktober 2019 hade siffran stigit till 8.2% – en stor ökning på kort tid vilket är positivt, men det innebär också att 91.8% av alla administratörskonton fortfarande saknar MFA.

Så, första steget jag rekommenderar för alla organisationer som nyttjar Microsoft 365 och/eller Azure AD – aktivera MFA på dina administratörskonton idag!

Förhindra möjligheten att kringgå MFA

När fler och fler organisationer inser säkerhetsfördelarna med MFA ökar också risken för riktade attacker som försöker kringgå skyddet. Här kan du läsa om olika metoder för att ta sig runt MFA och hur du skyddar dig mot dem.

Så här kan en attack se ut, steg för steg (exempel a):
1. Användarens lösenord har läckt ut på internet på ett eller annat sätt.
2. Hackaren ansluter till användarens e-post med gamla protokoll (till exempel POP, IMAP, SMTP), även kallat Legacy authentication.

3. Hackaren skickar epost, med skadlig kod eller uppmaningar om att betala fakturor eller liknande, till andra inom organisationen. Eposten anses legitim eftersom den kommer från den interna organisationen.

Så ställer du in Microsoft 365 för att skydda dig mot möjligheten att kringgå MFA med hjälp av gamla protokoll:
– Inaktivera de gamla protokollen för varje användares mailbox.
– Inaktivera de gamla protokollen på tenant-nivå.

– Aktivera Conditional Access Policies i Azure AD som blockerar anslutningar som använder de gamla protokollen.

Så här kan en attack se ut, steg för steg (exempel b):

1. Användarens lösenord har läckt ut på internet på ett eller annat sätt.
2. Hackaren kontaktar användarens telefonioperatör och använder social engineering för att få operatören att aktivera vidarebefordring av användarens mobilnummer till hackarens mobilnummer.
3. Hackaren loggar in med användarens uppgifter och får en MFA-kod skickad via SMS till användarens- och sin egen telefon

4. Hackaren har nu full tillgång till användarens konto och kan byta lösenord, ändra telefon som används för MFA, m.m.

Så ställer du in Microsoft 365 för att skydda dig mot möjligheten att kringgå MFA med hjälp av social engineering:
– Inaktivera möjligheten för användarna att få MFA-koder via SMS eller telefonsamtal.
– Börja använda Microsoft Authenticator, eller liknande lösning, för engångslösenord (One Time Password) via mobil-app.

Stoppa riktade attacker mot nyckelpersoner

En så kallad “spear phishing attack” – en riktad attack mot nyckelpersoner i en organisation – är en mer sofistikerad variant av vanliga ”phising attacker”. E-postmeddelanden är anpassad efter mottagaren och kan ofta vara mycket trovärdigt utformade.
Så här kan en attack se ut, steg för steg:
1. Attacken börjar oftast med att hackaren gör en lista på nyckelpersoner inom organisationen som har tillgång till känsliga data.
2. Hackaren söker upp nyckelpersonerna på sociala medier och tar reda på deras intressen.
3. Hackaren skapar ett epost-malware med en bifogad fil som ska väcka intresse hos mottagaren baserat på steg 2.
4. Mottagaren tar emot eposten och klickar på den bifogade filen eftersom det låter som något i deras intresse.
5. Den skadliga koden körs på mottagarens dator och kopior av nyckelpersonens dokument och epost skickas till hackaren

6. Hackaren tar emot den stulna informationen

Så ställer du in Microsoft 365 för att skydda dig mot en spear phishing attack:

– Blockera användare från att skapa epostregler som automatiskt vidarebefordrar epost till mottagare utanför organisationen.
– Aktivera och konfigurera Office 365 Advanced Threat Protection (ATP) Safe Links och Safe Attachments (kräver ATP-licens) som öppnar länkar och bifogade filer i en isolerad miljö där de scannas och kontrolleras innan de, om de visade sig vara säkra, levereras till användaren.
– Aktivera och konfigurera Office 365 Advanced Threat Protection (ATP) Anti-phishing policies (kräver ATP-licens) för att minimera risken att dina nyckelpersoner används som ”avsändare” vid phishing.
– Säkerställ att din organisation använder den senaste versionen av Office 365 ProPlus för att kunna nyttja ATP-funktionerna till fullo.

Skydda dig mot ransomware

Kärt barn har många namn – utpressningsprogram, utpressningsvirus, gisslanprogram, eller helt enkelt ransomware – har blivit allt vanligare. Syftet är att pressa den som utsätts för attacken på pengar genom att kräva ersättning för att ”låsa upp” filer som krypterats. En av de mer kända attackerna skedde mot transportföretaget Maersk under 2018. Maersk själva uppskattade kostnaden för att återställa sin IT-miljö till någonstans mellan 200 och 300 miljoner dollar.

Så här kan en attack se ut, steg för steg:
1. Hackaren skickar skadlig kod till användaren via till exempel en bifogad fil i ett epostmeddelande.
2. Användaren öppnar den bifogade filen.
3. Användarens filer krypteras och de uppmanas betala en lösensumma för att få nyckeln som kan dekryptera filerna.
Så ställer du in Microsoft 365 för att skydda dig mot ransomeware:

– OneDrive Known Folder Move (KFM) pekar om dina användares vanliga mappar (Skrivbordet, Mina dokument, Mina bilder) och dokumenten i dem till OneDrive. Eftersom OneDrive sparar versioner av dina filer så kan du enkelt återställa alla krypterade filer till versionen innan de blev krypterade. OneDrive KFM kan konfigureras med Group Policy eller Intune.

– Ställ in regler för Microsoft Advanced Threat Protection Attack Surface Reduction (ASR) som till exempel kan:
· Blockera exekverbar kod att köras från e-postklienten eller webbmailen.
· Blockera Office-applikationer från att skapa nya processer eller exekverbar kod.
· Blockera Office-applikationer från att injicera kod i andra processer.
· Aktivera avancerat skydd mot ransomeware.
– Attack Surface Reduction kan konfigureras med Group Policy eller Intune och kräver endast Windows E5-licensiering om man vill kunna använda mer avancerade funktioner såsom övervakning, analys eller automatiserade flöden baserat på loggarna som skickas in från enheterna.

– Aktivera och konfigurera Office 365 Advanced Threat Protection Safe Links och Safe Attachments.

I vår guide Hur säkert är molnet? 3 Microsoft-tjänster ur ett säkerhetsperspektiv går vi igenom hur du kan använda de tre intelligenta Microsofttjänsterna Microsoft 365 E5, Microsoft Azure och Windows Virtual Desktop för ökad säkerhet i molnet.

Upptäck mer