Microsoft 365 (Office 365) gjør oss i stand til samhandling og deling av data gjennom løsninger som SharePoint Online, Microsoft Teams og OneDrive. Disse løsningene har noen felles utfordringer knyttet til sikkerhet.
Av: Man Hoang Nguyen, IT-ansvarlig i Kommunerevisjonen, Oslo kommune.
Denne artikkelen har til hensikt å belyse viktige sikkerhetsutfordringer i Microsoft 365 og hvordan du kan adressere dem. Microsoft har i utgangspunktet gjort et fremragende arbeid med å sikre deres skytjenester. Men det er viktig å være klar over at det er sky-brukerne som har det endelige ansvaret for konfigurering og oppsett av tilganger og fildelinger. Dette for å redusere risikoen for datalekkasjer.
Uautorisert eller ekstern fildeling
Microsoft 365 gjør det mulig for brukere å samarbeide med personer utenfor egen organisasjon i applikasjoner som Teams og SharePoint, samt ved å dele filer og mapper direkte.
Når filer deles utenfor egen organisasjon, blir de sårbare. Med Microsoft 365 kan brukere dele en enkelt fil, eller de kan dele en hel mappe. Dette gir tilgang til alle filene som er i den mappen, alle undermappene og alle nye som blir opprettet der.
For å redusere sikkerhetsutfordringer rundt deling er det viktig å forstå hvordan du konfigurerer mekanismer for deling i Microsoft 365:
- Gjestetilgang: Deling av innhold med gjestemedlemmer i Microsoft 365-grupper eller Microsoft Teams
- Ekstern deling: Deling av lenker til spesifikke SharePoint- og OneDrive ressurser med eksterne grupper
Misbruk av privilegier
I noen tilfeller har brukere ofte fått flere tilganger eller rettigheter enn det de trenger for å utføre oppgaver. Slike rettigheter øker risikoen for datalekkasje fordi brukere ved et uhell – eller bevisst – kan innhente mer data enn de burde. På samme måte kan også skadelig programvare, eller hackere som overtar en brukers konto, gi tilgang til mer data og systemer enn nødvendig.
Microsoft 365 gjør det ikke enkelt å administrere tilganger basert på land, virksomhet, avdelinger eller eksterne. Det er også vanskelig å gi administrator rettigheter til å utføre spesifikke tekniske funksjoner, som f.eks. å tilbakestille brukerpassord.
Globale administrator konto
Hackere og nettkriminelle har ofte fokus mot administrative kontoer i sine angrep. Dette gir tilgang til ressurser med høye privilegier. Den sentraliserte administrasjonsmodellen i Microsoft 365 tillater alle administratorer å ha global legitimasjon, som gir tilgang til alle brukeres konto og innhold. Hvis hackere klarer å overta en global administratorkonto, kan de endre kritiske innstillinger, stjele verdifulle data og la bakdører til systemet være åpne.
For å redusere risikoen for kompromittering av disse globale kontoene, kan bedriften konfigurere multifaktor-autentisering (MFA) i «Security and Compliance Center». Bemerk at, i standard innstilling, er MFA ikke aktivert som for globale administratorer.
Audit logg
Audit logg er ikke aktivert som standard i Microsoft 365. Administrator må aktivere dette manuelt. På samme måte må administrator aktivere «mailbox auditing» for å kjøre samme tilnærming for audit logg for e-post innbokser.
Kort periode for oppbevaring av logg
Microsoft 365 lagrer audit logger i en kort periode, alt fra 90 dager til maksimalt ett år. Mange organisasjoner krever lagring av slike logger i en lengre periode. GDPR spesifiserer ikke en oppbevaringsperiode, men det krever at organisasjoner skal kunne undersøke brudd bakover i tid.
Det er tydelig at Microsofts korte oppbevaringsperioder for logg er utilstrekkelige for selskaper som trenger bevismateriale som kan anvendes ved sikkerhetshendelser, med mindre de med jevne mellomrom lagrer slike loggdata manuelt før de overskrives. Noe som kan anses som tungvint og kan utgjøre en risiko for feil. Organisasjoner ser ofte etter tredjeparts audit løsninger som kan tilby pålitelig, automatisk logginnsamling og kostnadseffektiv langtidslagring.