Cloud App Security – ein Cloud Access Security Broker

Cloud App Security ist ein Sicherheits-Produkt von Microsoft, das aus einem Zukauf der Firma Adallom aus dem Jahr 2015 hervorgegangen ist. Das Produkt wird von einem Team in Israel weiter entwickelt.

Folgende Funktionen stechen aus meiner Sicht heraus:

  1. Aufdecken der Nutzung von Schatten-IT durch Anwender im Unternehmen ohne die Installation von Agenten-Software bei den Anwendern
  2. Bewertung der gefundenen Schatten-IT und der damit verbundenen Risiken durch ein ständig gepflegten Katalog von verfügbaren 3rd Party Cloud-Diensten und der von Microsoft zusammengetragenen Daten und Fakten zu dem jeweiligen Cloud-Dienst
  3. Blockieren von 3rd Party Cloud-Diensten (wie z.B.Confluence, ServiceNow, Slack, GSuite) durch den Einsatz eines Reverse Proxy
  4. Single Sign-on Unterstützung der Office 365 Identität mit weiteren erlaubten 3rd Party Cloud-Diensten (Komfort-Gewinn für Anwender)
  5. Schutz vor Angriffen (Malware, Ransomware, Identitäten-Diebstahl) durch ständige Überwachung der anormale Nutzer-Aktivitäten durch Netzwerk-Überwachung

Persönliche Einschätzung:

Microsoft hat sich über die letzten Jahre vom Saulus zum Paulus entwickelt und eine große Menge Geld in die Hand genommen, um in das Thema Sicherheit zu investieren. Denn: Nur sichere Cloud-Angebote werden von Kunden gekauft. Deshalb muss man folgendes als IT-Abteilung im Unternehmen anerkennen: die Microsoft Cloud ist definitiv besser geschützt als die IT im eigenen Rechenzentrum!

Cloud App Security ist sicher nicht billig aber notwendig! Sicherheit kostet halt Geld!

Literatur-Empfehlungen:

Microsoft Enterprise & Mobility Security Blog

Absicherung von Online-Accounts im Privaten und Geschäftlichen durch Passwort-Manager, MFA und CASB

Aufgrund der aktuellen Nachrichtenlage ist das Thema Absicherung von Accounts bei Internetdiensten nicht nur für Prominente und Politiker in aller Munde.

Im Privatbereich sollte jeder mit Hilfe eines Passwort-Managers seine Accounts von Online-Diensten verwalten und zusätzlich (wenn möglich) die sogenannte Multi-Factor Authentifizierung verwenden. Das bedeutet, dass beim Login in ein Online-Dienst neben dem Passwort ein zweiter Faktor zum Beweisen der Identität erbracht werden muss. Damit verliert das Passwort allein seine Macht.

Best Practice durch Passwort-Manager:

  1. die Passwörter für Online-Dienste dort speichern
  2. sich beim Einloggen in den Diensten durch den Passwort-Manager helfen lassen durch automatisches Ausfüllen der Login-Maske
  3. Wenn man dieses Vorgehen verinnerlicht hat, ist klar, dass die Passwort-Stärke zunehmen kann, da der Mensch sich die Passwörter nicht mehr merken muss:
    1. für jeden Dienst ein anderes Passwort
    2. Passwort wird generiert durch den Passwort-Manager und ist damit sehr komplex
    3. Regelmäßiges Überprüfen der Passwort-Stärke und doppelter Verwendung von Passwörtern im Passwort-Manager
    4. Ändern der Passwörter in gewissen Zeitabständen

Als Passwort-Manager empfehle ich LastPass

Best Practice für Multi-Factor Authentifizierung (MFA):

  1. Bei häufig genutzten Online-Diensten prüfen in den Optionen, ob MFA aktivierbar ist (meist manuell aktivierbar in Kontoeinstellungen)
  2. Eigene Mobilfunknummer eintragen oder eine Authenticator App auf dem Smartphone nutzen
  3. Nach dem Login in Online-Dienst wird dann eine Prüf-SMS mit Code verschickt bzw. ein Code aus der Authenticator-App abgefragt. Dieser zweiter Faktor muss dann beim Login-Vorgang zusätzlich eingegeben werden

MFA empfehle ich bei Bezahldiensten (PayPal), Shopping-Portalen mit hinterlegten Zahlungsdaten (Amazon) sowie bei Social Networks mit Chat-Verläufen und privaten Informationen.

Im Firmenbereich sollte man ebenfalls Passwort-Manager für seine Anwender und Multi-Factor-Authentifizierung anwenden. Darüberhinaus ist im geschäftlichen Bereich für die Erhöhung von Sicherheit die Nutzung eines sogenannten (in englisch) Cloud Access Security Broker (CASB) empfehlenswert.

Ein CASB schaltet sich zwischen die Mitarbeiter des Unternehmens und dem Internet/der Cloud und überwacht und schützt den Datenverkehr bzw. die Cloud Apps

Insbesondere der Schutz durch ein CASB der Mitarbeiter-Accounts bei den verschiedenen geschäftlichen Cloud-Diensten ist super wichtig. Neben dem Einsatz von Multi-Factor-Authentifizierung ist eine Überwachung und Alarm bei fehlgeschlagenen Login-Versuchen nützlich.

Für geschäftliche Online-Dienste wie Office 365, Salesforce, ServiceNow, G-Suite oder Dropbox gibt es von Microsoft den CASB namens „Cloud App Security“ – eine Suite, die noch mehr bietet. Dazu im Detail mehr in einem späterem Blog-Artikel.

Windows 10: Einstellungen der Benutzerkontensteuerung (UAC) überprüfen

Windows 10 absichern (Härtung der eigenen PCs) ist die Devise in den aktuellen Zeiten. Die Benutzerkontensteuerung in Windows 10 kann man konfigurieren – also besser gesagt, den Schutz- und Nervfaktor.

Einfach auf das Lupensymbol gehen und „UAC“ eingeben. Dann sollte folgender Dialog erscheinen:

UAC Konfiguration in Windows 10
UAC Konfiguration in Windows 10

Es empfiehlt sich, dass der Schieberegler ganz oben ist!

Windows: Alte unsichere SMB Protokolle deaktivieren

In Zeiten von Ransomware/Trojaner wie WannaCry oder Petya kommt die Verbreitung über Exploits des SMB Protokolls (und hier in älteren Versions) in den Fokus.

Deshalb sollte man sich nochmal die Versionshistorie von SMB ins Gedächtnis rufen. Dazu gibt es diesen früheren Artikel hier: Link

Heutzutage werden in privaten Haushalten bzw. auch in Unternehmen aus meiner Sicht nicht mehr SMB Version 1.0 oder 2.0 benötigt, da NAS und/oder File-Server (hoffentlich) gepatcht sind und Version 3.0 unterstützen.

Deshalb kann man getrost auf den Windows Clients die älteren Versionen deaktivieren.

Dies kann man manuell durchführen oder auch im Unternehmen über Group Policies durchführen. Der folgende deutschprachige Artikel von Microsoft beschreibt das WIE: https://support.microsoft.com/de-de/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

Wie der Artikel ausführlich erklärt, ist Version 2.0 und 3.0 zusammen verbunden in Windows und kann daher einzeln nicht deaktiviert werden. Blöd!

Im eigenen lokalen Windows kann man als Administrator die SMB Version 1.0 folgendermaßen deaktivieren, indem man das Feature deaktiviert:
smb_v1

Security Hardening bei SharePoint

Security Hardening ist der englische Begriff für Sicherung/Härtung eines Systems gegen Angriffe. In einem meiner Projekte beschäftigte ich mich mit dem Thema im Bezug auf SharePoint.

SharePoint teilt sich technisch gesehen in drei Komponenten auf. Diese sind unten dargestellt mit Links zu hilfreichen Artikeln bei Technet.

Internet Information Services (IIS):

SharePoint Server:

SQL Server:

Office 365: Vermeiden von App-Kennwörtern in Office Clients bei MFA

Die sogenannte „Mehrstufige Authentifizierung“ (kurz MFA in Englisch) bei Office 365 hat leider einen kleinen Haken: Folgende Applikationen benötigen dann ein zusätzliches sogenanntes App-Kennwort zur Authentifizierung:

  • Skype4Business in Windows
  • Outlook in Windows
  • alle 3rd Party Apps wie z.B. Android Mail App oder Apple Mail

Alle anderen Windows Anwendungen von Microsoft (z.B. Microsoft Teams, Delve App) können problemlos den zweiten Faktor (Anruf, Code per SMS oder Microsoft Authenticator App) beim Login abfragen.

Das App-Kennwort ist ein Kennwort, was statt dem richtigen Passwort in diesen Anwendungen verwendet werden muss. Das ist natürlich blöd, da der Anwender sich jetzt zwei statt bisher ein Passwort merken muss.

Nun die Überrraschung: Das muss nicht sein – zumindest für die Microsoft Office Clients!

Komischerweise hat Microsoft per Default im Office 365 Mandant folgende Einstellung zur Unterstützung von Login mit MFA:

O365 Dienst Modern Authentication (ADAL) Tutorial zum manuellen Aktivieren im O365 Mandant
Exchange Online deaktiviert Enable Exchange Online for modern authentication
Skype4Business deaktiviert Skype for Business Online: Enable your tenant for modern authentication
SharePoint Online aktiviert

Hinweis: Das Aktivieren von Modern Authentication setzt die Admin-Rolle und den Einsatz der Powershell Konsole voraus!

In der folgenden Tabelle sind die Office Clients aufgeführt und ihre Unterstützung für die Modern Authentication.

Office

Version

unterstützt Modern Authentication (ADAL) Out of the box aktiviert: Tutorial zum manuellen Aktivieren
2010 nein
2013 ja nein  Tutorial
2016 ja ja  –

Warum das Ganze!? – die Anwender werden es Ihnen danken, wenn MFA zur Erhöhung der Sicherheit eingeführt wird im Unternehmen, vom App-Kennwort verschont zu werden. 🙂

Weitere hilfreiche Ressourcen:

Secure Score – das neue Rating der eigenen Sicherheit bei Office 365

Die Sicherheit des eigenen Office 365 Mandanten auf der Plattform kann man neuerdings vom sogenannten „Secure Score“ ableiten. Dieser Score gibt also ein Sicherheitsindex aus für den eigenen Mandanten. Mit Sicherheit ist nicht die durch Microsoft auf der Plattform gebotene Sicherheit gemeint, sondern durch mandanteneigene Sicherheitskonfigurationen hergestellte Sicherheit!

Der schnellste und direkte Weg zum eigenen Secure Score ist die URL: securescore.office.com

Die Anzeige des eigenen Score

Man sieht dann seinen aktuellen Score und den durchschnittlichen Score aller Mandanten auf Office 365. An dem sollte man sich aber nur bedingt orientieren. Liegt der eigene Score darunter – muss man sofort handeln. Liegt er leicht oder ein wenig drüber – sich nicht ausruhen, denn man darf die vielen sogenannten „Demo-Tennants“ nicht vergessen, die Microsoft sicher nicht rausrechnet.

Folgende Sachen im Hinterkopf behalten:

  • Die maximal Score geht nach oben und wird immer dynamisch bleiben
  • Der eigene Score wird auch sich durch Umstellungen und Erweiterungen ändern, ohne das man etwas selbst tut
  • Die Berechnung des eigenen Scores ist einmal nächtlich

 

Verlauf des eigenen Secure-Score über die die letzten Wochen

Wenn man handeln muss, gibt Microsoft einen Maßn04ahmenplan an die Hand, der dynamisch auf den neuen Zielwert des Score sofort ausgearbeitet vorliegt. Also stellt man einen Zielwert ein, und bekommt Maßnahmen vorgeschlagen zur Erhöhung der eigenen Sicherheit und somit Erhöhung des Scores. Man unterscheidet dabei zwischen wiederkehrenden Maßnahmen (z.B. Review eines Security Reports/Logs) und einmaligen konfigurativen Maßnahmen. Es werden auch Maßnahmen vorgeschlagen, die (noch) nicht auf den Score einzahlen.

Die vorgeschlagenen Maßnahmen sind widerrum gleich mit Hilfetexten hinterlegt und auch mit Direktsprung zur jeweiligen Konfigurations-Seite. Eine aus meiner Sicht perfekt ausgearbeitete Möglichkeit, auf Basis der eigenen Security Awarness die Sicherheit einfach und komfortabel zu erhöhen.

Es ist noch nicht ganz klar, ob das Erreichen des maximalen Scores das Endziel ist, da natürlich nicht jede Maßnahme für jeden Mandanten Sinn macht. Die eigene Bedrohungsanalyse und damit Klassifizierung und Ableitung der Maßnahmen sind in meinen Augen wichtiger.

Hier noch ein kurzes Einführungsvideo von Microsoft: