Neun Schritte für mehr Sicherheit in der Microsoft Cloud
Sollten Sie der Meinung sein, dass mit der Nutzung der Microsoft Cloud (sei es Microsoft Azure oder M365) die Sicherheit steigt, müssen wir Sie leider enttäuschen. Denn diese steht und fällt weiterhin mit den von Ihnen vorgenommenen Konfigurationen und Verhaltensweisen. Microsoft stellt mit seinen Produkten lediglich die Funktionalitäten und Möglichkeiten zur Verfügung, welche Sie auf Ihre individuellen Bedürfnisse und Situationen anzupassen haben. Daher betont Microsoft mehrfach in seinen Publikationen, dass Kunden ihre Daten, Nutzer und Geräte selbst schützen müssen und für die Sicherheit in der Microsoft Cloud zu sorgen haben.
Auch die EU fordert stärkere Maßnahmen zum Schutz gegen Cyberangriffe in der kritischen Infrastruktur.
Aufgrund des umfassenden Materials, zeigen wir in diesem Deep Dive neun Schritte, mit denen Sie die Sicherheit in der Microsoft Cloud deutlich erhöhen können.
1 – Klären Sie die Situation Ihrer Administrationskonten
Seien Sie ehrlich zu sich, kennen Sie die Anzahl all Ihrer Administrationskonten und welches Ausmaß die jeweilige Privilegierung annimmt? Wenn dies nicht der Fall sein sollte, legen wir Ihnen nahe, die Situation, um ihre Administrationskonten zu klären. Definieren Sie hierfür kurz und knapp Ihren Soll- Zustand und vergleichen Sie diesen mit dem Ist-Zustand.
Als Anreiz können Sie die nachfolgenden Best-Practices nehmen.
Die Anzahl der globalen Administratoren sollte weniger als fünf Konten umfassen, wobei hiervon bis zu zwei Backup-Konten aus Notfallwiederherstellungsgründen vorzuhalten sind.
Es ist nicht immer notwendig eine so hohe Privilegierung unter einem Account zu behalten. Sollte die Person hinter dem Konto einen klar definierten Aufgabenberiech haben, so sollte die Privilegierung auch nur in diesem Bereich stattfinden.
Beispiel: eine Person des IT-Teams ist ausschließlich für die Verwaltung der Benutzer zuständig. Dann reicht es aus, diesem die Rollen Authentifizierungs-, Benutzer- und Lizenzadministrator zu geben, statt die eine globale Administratoren Rolle.
Diese Person kann nun so gut wie alle Aspekte rund um den Benutzer bearbeiten.
Falls Ihr Team so aufgestellt ist, dass eine Person mehrere Aufgabenbereiche innehat, sollte dieser für jeden Bereich ein eigenständiges Konto besitzen. Hierzu im nächsten Schritt mehr.
Ebenso ist es unumgänglich, dass die Person das hoch privilegierte Konto nicht für die tägliche Arbeit verwendet, sondern nur dann, wenn hiermit administrative Aufgaben wahrgenommen werden.
Beispiel: eine Person ist aus betrieblichen Gründen globaler Administrator. Für seine Tagesarbeiten, wie z.B. die Bedienung gewisser Anwendungen oder durchführen einer E-Mail- Kommunikation verwendet dieser ein normales Benutzerkonto. Wenn die Person jedoch administrative Tätigkeiten ausführen muss, wechselt diese auf das Administrationskonto und führt diese aus.
Wie dieser Wechsel sicherer stattfinden kann, wird Ihnen im Punkt 5 PAW näher erläutert.
2 - Separierung der Administratorkonten
Um die Sicherheit weiter zu erhöhen, sollten Ihre Administrationskonten nach Umgebung und Bereich bzw. Sicherheitszone separieren.
Falls Sie eine hybride Umgebung besitzen, also eine lokale und eine in der Cloud betriebene (Regelfall), müssen Sie die lokalen Administrationskonten aus der Synchronisierung im ADConnect entfernen. So bleiben diese lokal im Active Directory und sind vor der Cloud geschützt. Dies gilt umgekehrt auch für die Administrationskonten in der Cloud bzw. Azure Active Directory (AAD). Gegebenenfalls müssen diese jedoch erst erstellt werden. Denken Sie an dieser Stelle auch an die Backupkonten.
Innerhalb der Umgebungen sollten Sie außerdem Zonen definieren, welche Systeme und Dienste beinhalten, die thematisch zusammengehören, damit die Separierung ein praxistaugliches Ausmaß annimmt. Der Administrator erhält dann für jede Zone einen separaten Account.
Beispiel: eine Person ist neben der Sicherheit und der Benutzerverwaltung auch für den Exchange Online zuständig. In diesem Fall erhält diese Person vier verschiedene Konten, eines für jeden Bereich und eines für seine tägliche Arbeit.
Dies mag viel klingen, doch nur so wird das lateral movement (in der Netzwerksicherheit ist Lateral Movement der Prozess, durch den sich Angreifer von einem Eintrittspunkt auf den Rest des Netzwerks ausbreiten) unterbunden. Um hierbei einen schnellen Überblick und direkte Einordnung zu ermöglichen, bedarf es einer prägnanten Namenskonvention.
Für eine Cloudumgebung würde sich beispielsweise die folgende Konvention anbieten:
Beachten Sie bitte die Punkte 4 und 5, um die Sicherheit der Administrationskonten zu erhöhen.
3 - Aktivieren der Sicherheitsstandards in Azure AD
Um die Sicherheit Ihrer Onlineumgebung zu erhöhen und damit die Kompromittierung zu reduzieren, stellt Microsoft die Azure AD Sicherheitsstandards bereit. Diese sind kostenlos für alle Pläne des Azure AD und ermöglichen eine Basisschutzebene.
Die Sicherheitsstandards sind für Organisationen angedacht, welche schnell und ohne viel Aufwand ihre Account-Sicherheit erhöhen wollen. Dies gilt vor allem für Testumgebungen und für solche, wo schlichtweg die Ressourcen oder das Knowhow fehlt, sich intensiv mit den Sicherheitsaspekten zu beschäftigen.
Mit den Sicherheitsstandards werden laut Microsoft ca. 99% der Angriffsversuche gestoppt. Dies gelingt dadurch, dass alle Benutzer sich für die Multi Faktor Authentifizierung registrieren müssen und die Legacy-Authentifizierung abgeschaltet wird.
Administratoren müssen sich immer mittels MFA authentifizieren, Benutzer nur bei Bedarf. Auf diese Weise werden Benutzer nach einem weiteren Faktor gefragt, wenn sie ein neues Gerät nutzen oder von untypischen Orten aus versuchen sich anzumelden.
Wollen Sie den vordefinierten Policies nicht vertrauen oder stellen Sie höhere Sicherheitsansprüche, dann können sie den nächsten Schritt machen und Ihre eigenen dedizierten Conditional-Access-Policies erstellen. Diese sind in den beiden Azure AD Premium Plänen enthalten. Eigene Regeln erfordern jedoch aus Kompatibilitätsgründen die Abschaltung der Sicherheitsstandards.
Damit Sie jedoch genau so schnell Ihre eigenen Regeln bauen können, bietet Microsoft Vorlagen zur passgenauen Modifikation an.
4 - Passen Sie die Multi Faktor Authentifizierung auf Ihre Anforderungen an
Wie im vorherigen Punkt angerissen, können Sie auch eigene Policies erstellen. Diese sind immer dann zu verwenden, wenn die Standardpolicy nicht mehr ausreicht. Sie können von Grund auf eigene Richtlinien erstellen oder die Vorlagen als Basis verwenden.
Sie können diese Policies z.B. abhängig von der Anwendung, dem Gerät oder dem Benutzer gestalten. Auch die Abbildung eines White- sowie Blacklisting ist möglich. Darüberhinaus lassen sich auch bestimmte Faktoren bzw. Parameter erzwingen.
5 - Eigene Privileged Access Workstation(s) (PAW)
Zur Erreichung einer sicheren Aufsplittung zwischen dem Tagesgeschäft des Benutzers und der administrativen Tätigkeit, empfiehlt sich die Verwendung eines vollständig getrennten Rechners, der Privileged Access Workstation. Alle Benutzer und Betreiber profitieren von der Verwendung einer PAW. Ein Angreifer, der einen PC oder ein Gerät kompromittiert, kann die Identität annehmen oder Anmeldeinformationen/Token für alle Konten stehlen, die ihn verwenden, wodurch viele Sicherheitsgarantien untergraben werden.
Nur auf diese Weise erhält man eine maximale und sichere Trennung. Darüber hinaus kann die Privileged-Access-Workstation so eingeschränkt werden, dass diese ausschließlich auf die Cloud zugreifen kann. Dies ist mittels der integrierten Windows Firewall oder der des Unternehmens möglich.
Alternativ können sie auch verschiedene Browserprofile anlegen, jedoch besteht dann das Risiko, dass Sie der installierten Software ausgesetzt sind. So ist es für die Malware unerheblich, in welchem Profil sie gerade arbeiten, da sie das Gesamtsystem infiziert hat.
6 - Sicherheitskonzept schützt auf ganzer Linie
Die nachfolgende Abbildung demonstriert eine potenzielle Kill-Chain. Ein Sicherheitskonzept sollte Maßnahmen zur Eindämmung enlang dieser Kill-Chain beinhalten.
Sie müssen demzufolge Zugänge beschränken, den Anti-Malwareschutz aktivieren und ausweiten, sowie die Benutzer als auch Ihre Systeme voneinander trennen. Diese Punkte haben wir in den Abschnitten 2, 3 und 5 beleuchtet.
7 - verstärkter Informationsaustausch - für mehr Sicherheit in der Microsoft Cloud
Halten Sie sich immer auf dem Laufenden, indem Sie die IT-Sicherheitsmeldungen verfolgen. Sei es in Blogs, auf IT-News-Seiten oder direkt in Foren wie das CERT@VDE, der ersten Plattform zur Koordination von IT-Security-Problemen speziell für Unternehmen im Bereich Industrieautomation, oder im Portal von MITRE | ATT&CK.
Eine stärkere Zusammenarbeit zwischen öffentlichen und privaten Akteuren ist der Schlüssel zum Erfolg in dieser Hinsicht. In ähnlicher Weise besteht ein dringender Bedarf, die Lücke bei den Fähigkeiten im Bereich Cybersicherheit zu schließen. Das Global Forum on Cyber Expertise sowie Initiativen des Privatsektors können eine entscheidende Rolle dabei spielen, diese Bemühungen im In- und Ausland weiter voranzutreiben.
8 - Mehr Sicherheit durch weitere Security-Produkte
Kombinieren Sie die bereits enthaltenen Funktionalitäten mit weiteren Premium-Features, welche Ihre IT-Sicherheit weiter abrunden und tiefere Einblicke in die Systemsicherheit ermöglichen. Die vorhergehende Abbildung der Kill-Chain zeigte bereits die Bestandteile des Microsoft Defenders. Nachfolgende Tabelle enthält mehr Details zu den Produkten und ihren Komponenten:
9 - Sensibilisieren Sie Ihre Mitarbeitenden und schützen Sie diese vor Cyberangriffen
Etablieren Sie eine Kultur der Security-Awareness und Cyber-Resilienz in Ihrem Unternehmen. Schulen Sie Ihre Mitarbeiter regelmäßig bzgl. Sicherheit und Compliance. Beispielsweise könnten Sie mittels Microsoft Forms Umfragen erstellen, in welchen Themenfeldern Sie Ihre Mitarbeiter schulen oder prüfen können. Microsoft Forms ist in den Plänen A enthalten.
Setzen Sie gezielt Ihre Mitarbeitenden einem Phishing-Szenario in einem Angriffssimulationstraining aus mit dem Plan 2 des Defenders for Office aus. Wichtig ist, dass Sie Ihre Mitarbeiter sensibilisieren und die Konsequenzen für Sie selbst und Ihr Unternehmen aufzeigen.
Zusammenfassung
Wichtig ist, sich von Passwörtern und hochberechtigten Accounts zu verabschieden. Denn hier besteht das größte Risiko. Aktivieren Sie die Multi-Faktor-Authentifizierung und trennen Sie die Administratorenkonten von den Benutzerkonten. Zum Wechseln zwischen den Konten nutzen Sie die Browserprofile oder direkt dedizierte Systeme.
Erscheint Ihnen die Sicherheit in der Microsoft Cloud zu komplex, zögern Sie nicht damit, uns zu kontaktieren. Das Experten-Team von applied technologies über die Managed Security Dienstleistungen an Ihrer Seite. Wir bieten für jede Bedarfslage einen passenden Plan an. Mit unseren M365 Security Essentials schaffen wir schnell eine grundlegende Basis für die Erhöhung Ihrer Sicherheit in der Microsoft Cloud.