Tips voor het beveiligen van Office 365


Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Office 365

Alvorens het technisch wordt is het goed om scherp te hebben wat er dan precies valt onder Office 365. Microsoft komt regelmatig met nieuwe producten en productnamen en dat allemaal doorgronden vraagt een heuse expert tegenwoordig. Onder Office 365 vallen de volgende ‘workloads’, zoals dat dan heet: Teams, SharePoint Online, OneDrive for Business en Exchange Online. Zoals de naam al doet vermoeden, kan je SharePoint en Exchange ook on-premise draaien. Deze blog veronderstelt een volledige cloud variant.

Naast Office 365 bestaat er ook Microsoft 365, de opvolger van Office 365. Voor menig gemeenten zal het gaan om een zogenaamde Microsoft 365 E3 of E5 licentie. Voor de E3 variant kunnen alle Nederlandse gemeenten sinds 1 februari 2019 gebruikmaken van de gemeentelijke voorwaarden van Microsoft. Check voor meer informatie de GT-Microsoftpagina van VNG Realisatie.

En dan nu de beveiligingsmaatregelen, maar niet voordat ik je adviseer vooral veel aan bewustwording te doen. Alleen technische beveiligingsmaatregelen nemen is nooit genoeg. Uiteindelijke draait het om het gedrag van mensen. Het lukt alleen als medewerkers zich bewust zijn van hun rol bij het veilig houden van gevoelige informatie. We schreven er een boek over.

Multi-factor authenticatie

Dit mag toch geen verrassing heten, lijkt me. Door de toegang te beveiligen met een extra factor bovenop het wachtwoord, wordt het risico op oneigenlijke toegang enorm verkleind. Zeker, de gebruiker zal er niet altijd blij mee zijn, maar daarom implementeer je het doorgaans alleen op de onvertrouwde omgeving. Ofwel: wanneer je fysiek op locatie werkt of vanuit de VDI-omgeving is MFA doorgaans niet nodig. Sowieso bevat de VDI doorgaans al VDI. Maar goed, Office 365 is natuurlijk een cloudplatform dat veelvuldig buiten de VDI om benaderd zal worden. Plaats- en tijdsonafhankelijk werken. Tot slot is er een duidelijke link met conditional access.

Verder lezen

Beheerdersrechten via RBAC

Beheerders, maar goed dat we ze hebben. Beheerders hebben vanzelfsprekend meer rechten dan de ‘gebruikelijke gebruiker’ om hun werkzaamheden te kunnen verrichten. Maar ook daar wil je het ‘least privilege’ principe zo ver mogelijk doorvoeren. Vaak kunnen beheerrechten ook tijdelijk zijn, bijvoorbeeld gekoppeld aan een change. Let wel: iedere (interne) beheerder is natuurlijk ook medewerker en deze accounts dien je strikt te scheiden. Maar limiteer ook op het beheerdersaccount de rechten middels (tijdelijke) rollen.

Verder lezen

Unified Audit Log (UAL)

Er speelt zich van alles af binnen je Office 365 omgeving (‘tenant’). Daarbij is het noodzakelijk dat je in voorkomende gevallen ‘terug de tijd in kunt’ en met logging kan dat. UAL logt Exchange Online, SharePoint Online, OneDrive for Business, Azure AD, Teams en meer. Met deze informatie kan je 1) verdachte activiteiten handelingen onderzoeken, en 2) controleren of het informatiebeveiligingsbeleid juist wordt nageleefd.

Verder lezen

Hardening authenticatie

Voor Exchange geldt dat er veel protocollen zijn voor authenticatie, zoals POP3, SMTP en IMAP. Deze protocollen ondersteunen de moderne manier van authentiseren via Azure Active Directory niet waardoor zoiets als MFA is veel gevallen lastig is. Uiteraard zijn er situaties waarbij je wel móet terugvallen op deze verouderde protocollen en dan is helemaal uitschakelen geen optie. Maar limiteer het gebruik ervan dan met conditional access.

Verder lezen

Monitoring, alerts & SIEM

Loggen doe je niet alleen om later terug in de tijd te kunnen. Logs verschaffen een schat aan informatie over wat er allemaal op dít moment gebeurt binnen Office 365. Het monitoren van de logs en vervolgens het sturen van alerts maakt dat je snel kan handelen waar nodig. Maar logs zijn vaak zo ontzettend omvangrijk dat je ervan ontmoedigd raak. Met een SIEM-oplossing wordt het hanteerbaar én kan je de Office 365 logs integreren en correleren met andere logs. Zo detecteer je anomaliteiten snel.

Verder lezen

Advanced Threat Protection

Microsoft biedt verschillende producten onder deze ‘ATP’ benaming. Zo heb (had?) je ATP voor Exchange Online, Defender en Azure. Daarnaast bestaat er ook Microsoft Office 365 ATP in twee variaties. Een E5 licentie bevat de uitgebreide variant. De laatstgenoemde versie van ATP bevat extra beveiligingsopties voor het versturen van e-mailbijlagen, het openen van links en phishing mails. ATP is ook te activeren op SharePoint Online, OneDrive for Business en Teams. ATP vergrendelt dan bijvoorbeeld kwaadaardige bestanden.

Verder lezen

Microsoft Secure Score

Met de talloze beveiligingsinstellingen van Microsoft is het lastig overzicht houden. Daar helpt de Secure Score bij. Deze score geeft al welke verbeteringsacties je zou kunnen ondernemen om je organisatie beter te beschermen tegen dreigingen. Op het moment van schrijven bevindt de Compliance Score zich in de preview. Deze score is aanvullend op de Secure Score en geeft een gedetailleerd inzicht in je mate van naleving van wet- en regelgeving, bijvoorbeeld op het gebied van gegevensbescherming.

Verder lezen

E-mail standaarden

Het Forum Standaardisatie voer ieder halfjaar een meting uit naar de implementatie van diverse standaarden, waaronder standaarden tegen e-mailvervalsing. Uit de meting van maart dit jaar blijkt dat de gemiddelde adoptie van mailstandaarden op 81% ligt. Het gaat dan om de standaarden SPF, DMARC, STARTTLS, DANE, en DNSSEC (op de mailserver). De combinatie met Office 365 is problematisch onderkent ook het Forum omdat Microsoft vooralsnog geen DNSSEC en DANE biedt, maar vorige maand kwam er perspectief.

Verder lezen

Conditional Access

Middels conditional access kan je, jawel, aanvullende condities stellen aan het al dan niet verschaffen van toegang tot Office 365, of delen daarvan. Het volstaat dan dus niet meer een juiste inlognaam en wachtwoord in te voeren (plus MFA-code natuurlijk), maar er wordt aanvullend gekeken naar zaken als locatie, het apparaat en de applicatie. Op basis van deze informatie wordt ofwel toegang geblokkeerd ofwel verleend, maar dan veelal met de eis naar aanvullende informatie/zekerheden.

Verder lezen

Vertrouwelijkheidslabels

Hier gaat het om dataclassificatie. Met vertrouwelijkheidslabels is op documentniveau (of Team-niveau) aan te geven welke beveiligingsmaatregelen wel en niet van toepassing zijn. Met Microsoft Information Protection zelfs rechtstreeks vanuit de Office apps. Het gaat bijvoorbeeld om de labels: 1) openbaar, 2) intern, 3) bedrijfsvertrouwelijk en 4) geheim. Aan ieder label zijn beveiligingseisen verbonden die bepaalde handelingen wel of niet toestaan. Op deze manier geef je concreet invulling aan ‘passende technische en organisatorische maatregelen’.

Verder lezen

Data Loss Prevention

Met behulp van DLP houd je grip op informatie op locaties als Exchange Online, SharePoint Online, OneDrive for Business en Teams. Maar ook binnen Word, Excel en PowerPoint werkt DLP. Je voorkomt het per abuis of intentioneel delen van gevoelige informatie met DLP-beleidsregels. Daarin kan je bijvoorbeeld definiëren dat BSN’s nooit per mail verstuurd mogen worden. Of dat bepaalde bestandsextensies niet in OneDrive opgeslagen mogen worden. Alle ‘overeenkomsten’ met een DLP worden overzichtelijk aan je gepresenteerd.

Verder lezen

Hopelijk ben ik erin geslaagd om je op hoofdlijn mee te nemen in de mogelijkheden Office 365 te beveiligen. Over alle onderwerpen valt nog meer te zeggen, maar dat laat ik graag aan de IT-specialisten over.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.