Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.
Office 365
Alvorens het technisch wordt is het goed om scherp te hebben wat er dan precies valt onder Office 365. Microsoft komt regelmatig met nieuwe producten en productnamen en dat allemaal doorgronden vraagt een heuse expert tegenwoordig. Onder Office 365 vallen de volgende ‘workloads’, zoals dat dan heet: Teams, SharePoint Online, OneDrive for Business en Exchange Online. Zoals de naam al doet vermoeden, kan je SharePoint en Exchange ook on-premise draaien. Deze blog veronderstelt een volledige cloud variant.
Naast Office 365 bestaat er ook Microsoft 365, de opvolger van Office 365. Voor menig gemeenten zal het gaan om een zogenaamde Microsoft 365 E3 of E5 licentie. Voor de E3 variant kunnen alle Nederlandse gemeenten sinds 1 februari 2019 gebruikmaken van de gemeentelijke voorwaarden van Microsoft. Check voor meer informatie de GT-Microsoftpagina van VNG Realisatie.
En dan nu de beveiligingsmaatregelen, maar niet voordat ik je adviseer vooral veel aan bewustwording te doen. Alleen technische beveiligingsmaatregelen nemen is nooit genoeg. Uiteindelijke draait het om het gedrag van mensen. Het lukt alleen als medewerkers zich bewust zijn van hun rol bij het veilig houden van gevoelige informatie. We schreven er een boek over.
Multi-factor authenticatie
Dit mag toch geen verrassing heten, lijkt me. Door de toegang te beveiligen met een extra factor bovenop het wachtwoord, wordt het risico op oneigenlijke toegang enorm verkleind. Zeker, de gebruiker zal er niet altijd blij mee zijn, maar daarom implementeer je het doorgaans alleen op de onvertrouwde omgeving. Ofwel: wanneer je fysiek op locatie werkt of vanuit de VDI-omgeving is MFA doorgaans niet nodig. Sowieso bevat de VDI doorgaans al VDI. Maar goed, Office 365 is natuurlijk een cloudplatform dat veelvuldig buiten de VDI om benaderd zal worden. Plaats- en tijdsonafhankelijk werken. Tot slot is er een duidelijke link met conditional access.
Verder lezenBeheerdersrechten via RBAC
Beheerders, maar goed dat we ze hebben. Beheerders hebben vanzelfsprekend meer rechten dan de ‘gebruikelijke gebruiker’ om hun werkzaamheden te kunnen verrichten. Maar ook daar wil je het ‘least privilege’ principe zo ver mogelijk doorvoeren. Vaak kunnen beheerrechten ook tijdelijk zijn, bijvoorbeeld gekoppeld aan een change. Let wel: iedere (interne) beheerder is natuurlijk ook medewerker en deze accounts dien je strikt te scheiden. Maar limiteer ook op het beheerdersaccount de rechten middels (tijdelijke) rollen.
Verder lezenUnified Audit Log (UAL)
Er speelt zich van alles af binnen je Office 365 omgeving (‘tenant’). Daarbij is het noodzakelijk dat je in voorkomende gevallen ‘terug de tijd in kunt’ en met logging kan dat. UAL logt Exchange Online, SharePoint Online, OneDrive for Business, Azure AD, Teams en meer. Met deze informatie kan je 1) verdachte activiteiten handelingen onderzoeken, en 2) controleren of het informatiebeveiligingsbeleid juist wordt nageleefd.
Verder lezenHardening authenticatie
Voor Exchange geldt dat er veel protocollen zijn voor authenticatie, zoals POP3, SMTP en IMAP. Deze protocollen ondersteunen de moderne manier van authentiseren via Azure Active Directory niet waardoor zoiets als MFA is veel gevallen lastig is. Uiteraard zijn er situaties waarbij je wel móet terugvallen op deze verouderde protocollen en dan is helemaal uitschakelen geen optie. Maar limiteer het gebruik ervan dan met conditional access.
Verder lezenMonitoring, alerts & SIEM
Loggen doe je niet alleen om later terug in de tijd te kunnen. Logs verschaffen een schat aan informatie over wat er allemaal op dít moment gebeurt binnen Office 365. Het monitoren van de logs en vervolgens het sturen van alerts maakt dat je snel kan handelen waar nodig. Maar logs zijn vaak zo ontzettend omvangrijk dat je ervan ontmoedigd raak. Met een SIEM-oplossing wordt het hanteerbaar én kan je de Office 365 logs integreren en correleren met andere logs. Zo detecteer je anomaliteiten snel.
Verder lezenAdvanced Threat Protection
Microsoft biedt verschillende producten onder deze ‘ATP’ benaming. Zo heb (had?) je ATP voor Exchange Online, Defender en Azure. Daarnaast bestaat er ook Microsoft Office 365 ATP in twee variaties. Een E5 licentie bevat de uitgebreide variant. De laatstgenoemde versie van ATP bevat extra beveiligingsopties voor het versturen van e-mailbijlagen, het openen van links en phishing mails. ATP is ook te activeren op SharePoint Online, OneDrive for Business en Teams. ATP vergrendelt dan bijvoorbeeld kwaadaardige bestanden.
Verder lezenMicrosoft Secure Score
Met de talloze beveiligingsinstellingen van Microsoft is het lastig overzicht houden. Daar helpt de Secure Score bij. Deze score geeft al welke verbeteringsacties je zou kunnen ondernemen om je organisatie beter te beschermen tegen dreigingen. Op het moment van schrijven bevindt de Compliance Score zich in de preview. Deze score is aanvullend op de Secure Score en geeft een gedetailleerd inzicht in je mate van naleving van wet- en regelgeving, bijvoorbeeld op het gebied van gegevensbescherming.
Verder lezenE-mail standaarden
Het Forum Standaardisatie voer ieder halfjaar een meting uit naar de implementatie van diverse standaarden, waaronder standaarden tegen e-mailvervalsing. Uit de meting van maart dit jaar blijkt dat de gemiddelde adoptie van mailstandaarden op 81% ligt. Het gaat dan om de standaarden SPF, DMARC, STARTTLS, DANE, en DNSSEC (op de mailserver). De combinatie met Office 365 is problematisch onderkent ook het Forum omdat Microsoft vooralsnog geen DNSSEC en DANE biedt, maar vorige maand kwam er perspectief.
Verder lezenConditional Access
Middels conditional access kan je, jawel, aanvullende condities stellen aan het al dan niet verschaffen van toegang tot Office 365, of delen daarvan. Het volstaat dan dus niet meer een juiste inlognaam en wachtwoord in te voeren (plus MFA-code natuurlijk), maar er wordt aanvullend gekeken naar zaken als locatie, het apparaat en de applicatie. Op basis van deze informatie wordt ofwel toegang geblokkeerd ofwel verleend, maar dan veelal met de eis naar aanvullende informatie/zekerheden.
Verder lezenVertrouwelijkheidslabels
Hier gaat het om dataclassificatie. Met vertrouwelijkheidslabels is op documentniveau (of Team-niveau) aan te geven welke beveiligingsmaatregelen wel en niet van toepassing zijn. Met Microsoft Information Protection zelfs rechtstreeks vanuit de Office apps. Het gaat bijvoorbeeld om de labels: 1) openbaar, 2) intern, 3) bedrijfsvertrouwelijk en 4) geheim. Aan ieder label zijn beveiligingseisen verbonden die bepaalde handelingen wel of niet toestaan. Op deze manier geef je concreet invulling aan ‘passende technische en organisatorische maatregelen’.
Verder lezenData Loss Prevention
Met behulp van DLP houd je grip op informatie op locaties als Exchange Online, SharePoint Online, OneDrive for Business en Teams. Maar ook binnen Word, Excel en PowerPoint werkt DLP. Je voorkomt het per abuis of intentioneel delen van gevoelige informatie met DLP-beleidsregels. Daarin kan je bijvoorbeeld definiëren dat BSN’s nooit per mail verstuurd mogen worden. Of dat bepaalde bestandsextensies niet in OneDrive opgeslagen mogen worden. Alle ‘overeenkomsten’ met een DLP worden overzichtelijk aan je gepresenteerd.
Verder lezenHopelijk ben ik erin geslaagd om je op hoofdlijn mee te nemen in de mogelijkheden Office 365 te beveiligen. Over alle onderwerpen valt nog meer te zeggen, maar dat laat ik graag aan de IT-specialisten over.
- Cyberaanval treft Ahold Delhaize in VS - 25 november 2024
- Bijna de helft Nederlanders heeft geen bezwaar tegen gebruik van persoonlijke gegevens voor betere gastervaring in restaurant - 25 november 2024
- Waarom cruciale gegevensdeling bij gemeenten moeizaam gaat - 22 november 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!