Detta ska du ha koll på för att klara en attack på Microsoft 365
Idag omsätter den organiserade cyberbrottsligheten mer än den globala droghandeln. Att hacka företag är en enormt lukrativ affärsverksamhet. Med sina dryga 300 miljoner användare är Microsoft 365 ett av de mest attraktiva systemen att hacka. Cirka 80 procent av alla 365-konton har någon gång utsatts för attacker och cirka 70 procent av alla konton har fått ett eller flera konton kapade. Vi har tipsen för hur du bäst skyddar dig när attacken är ett faktum.
När alla började arbeta remote under pandemin 2020 exploderade användandet av Microsoft 365. Men i och med att all företagsdata gjordes tillgänglig online så öppnade det också upp en mängd nya attackytor när det gäller dataintrång. Med andra ord - en gyllene era för ljusskygga organisationer.
Vi behandlar ofta inte vår data med respekt
Vi påstår att datan är det nya guldet - men frågan är om vi verkligen hanterar den affärskritiska datan i våra företag som om det vore guld. Några som verkligen har insett värdet i allt det som vi numera har lagt i Microsoft 365 är de cyberkriminella. De var tidigt ute med att lista ut hur jobbigt det blir för företag om de över en natt förlorar åtkomst till all sin data. Kostnaden att förlora all den information som man har samlat på sig och byggt upp kan vara praktiskt taget hur hög som helst.
För några år sedan var en vanlig lösensumma cirka 10 miljoner dollar. Idag ligger det på 150 miljoner dollar. Och uppåt. För företag som betalar lösensumman (vilket är förvånansvärt många) finns inga garantier att de inte fortsätter att stänga ner företaget igen. Sannolikheten att du drabbas igen om du betalar lösensumma är faktiskt högre, eftersom de då vet att du betalar.
Om det finns något positivt med detta är så det ju att hackerattacker under de senaste åren också blir alltmer uppmärksammat, vilket har gjort att många fler företag lägger ner mycket mer resurser idag på att skydda sig. Ingen vill vara företaget som har blivit hackat för att man inte investerat i säkerhet.
Innehåll:
Hur ser hotlandskapet ut idag?
De vanligaste misstagen företag gör när det gäller Microsoft 365
Viktiga nyckeltal att ha koll på när det gäller backup och recovery
Detta kan du göra för att skydda dig - konkreta tips och åtgärder för Microsoft 365
Hur ser dagens hotlandskap ut?
Just nu, när du läser detta, sitter incidentgrupper och arbetar med att ta tillbaka människors liv och företag. Mycket på grund av att majoriteten av företag och organisationer har flyttat sina affärskritiska system till molnet. Detta gör att hotlandskapet ser helt annorlunda ut idag än vad det gjorde för några år sedan. IT-säkerheten har förändrats i grunden och är så otroligt mycket mer komplex än tidigare. Varje minut så drabbas företag av intrång runt om i världen, och attackytorna blir fler och fler. De kriminella ligger idag tyvärr ett steg före. Det är inte längre en fråga om OM du blir attackerad utan NÄR.
Stort fokus på säkerheten i Microsoft 365
På grund av sina många användare är Microsoft 365 extremt utsatt för attacker. Säkerheten i Microsoft 365 har därför blivit avgörande och kritisk för företags och organisationers verksamhet. Kanske framför allt inom den offentliga sektorn, såsom stat, landsting och kommun. Då handlar det inte längre bara om företagsdata, utan om mycket känslig information om svenska medborgare. I och med detta är du som 365-användare direkt exponerad för attacker av olika slag.
Orsakerna till att Microsoft 365 attackeras extra mycket
- Microsoft 365 är ett av världens största system för företagsdata. Många företag och organisationer har extremt känslig information i 365.
- Fler och fler företag migrerar kritisk data och viktiga funktioner till Microsoft 365 eftersom det innebär smidigare integration och högre användarvänlighet.
- Tredje parts molnapplikationer ger angriparna alternativa attackytor som kan vara mycket svåra att upptäcka.
- En del användare har inte aktiverat tvåfaktorsautentisering, vilket gör att de attackeras 10 gånger oftare än de som har det.
- Maskininlärning tillåter hackare att ladda ner data i massor vilket gör att de kan upptäcka till synes mycket små sårbarheter.
De vanligaste misstagen företag gör när det gäller Microsoft 365
Att ha koll på ett företags ekonomi i detalj är en självklarhet. Nu är det dags att ta IT på lika stort allvar - eftersom konsekvenserna av att inte ha koll kan få ödesdigra konsekvenser. Här är de vanligaste misstagen och missförstånden när det gäller företags och organisationers hantering av 365.
1. Du inser inte att backup och recovery är allt!
Du kanske kommer från en onprem-miljö där du har fått ansvara för all data själv och tänker att när det gäller managerade tjänster som 365 så är det såklart att det finns en backup från Microsoft. Även om företag har blivit mer och mer införstådda om att backup är avgörande är det fortfarande ett område där många företag och organisationer brister. Backup och recovery är företagets försäkring. Utan en riktigt bra backup kan det vara det sista ni gör som företag när attacken väl är ett faktum.
2. Du tror att Microsoft ansvarar för backup.
Även om medvetenheten har ökat att det är användarna som äger sin information i Microsoft 365 - och ansvarar för att den lagras tryggt - så är det många som fortfarande lever i tron om att det är Microsoft som hostar all data om allt skulle gå åt pipan. Men så är det inte. Det är användarna och kunderna som ansvarar för all backup och recovery av förlorad data. Microsoft har en extremt tydlig förvaltningsmodell med tydlig ansvarsfördelning. Detta är tyvärr ett av de absolut största misstagen företag och organisationer gör - att de litar på att aktörer tillhandahåller backup bara för att de är stora. Men i praktiken blir det samma sak som om du skulle köpa en ny bil och sedan skylla på bilhandlaren när bensinen tar slut. Alltså - all data som du producerar måste du själv ansvara för - precis som du själv måste ansvara för att fylla din bil med drivmedel. Att många företag lever i tron att Microsoft ansvarar för backup och recovery kan vara ett farligt och mycket dyrt missförstånd.
3. Du tänker att papperskorgen och “litigation hold” fungerar perfekt som backup
Den backup eller restore-funktion som erbjuds av Microsoft är papperskorgen med ett par månaders backup eller "litigation hold" där du kan du återläsa ett dokument från papperskorgen under en begränsad tid. Detta kan du även göra i Sharepoint, upp till cirka tre månader, men då behöver du lämna en ticket till microsoft och du kan bara återläsa hela containern - det vill säga att du inte kan återläsa ett specifikt dokument eller version av ett dokument. Det är med andra ord extremt begränsat och inte heller avsett för att ha som backup och recovery.
4. Du har aldrig testat backup och recovery av din data - du vet alltså inte om det fungerar i praktiken
Många företag som gör backups slarvar tyvärr med att prova restore-funktionen, alltså de gör inga återläsningstester. Man vet inte hur en återläsning av data fungerar i praktiken, eller ens om det fungerar överhuvudtaget. Att göra kontinuerliga återläsningstester är en hygienfaktor.
5. Du har inga (eller bristfälliga) strukturer, processer och rutiner
Att köpa bra backup räcker tyvärr inte. Förutom en teknisk plattform behöver man bygga upp strukturer för rutiner, flöden och processer. Att inte ha detta på plats är som att köpa livbåtar men aldrig testa om de flyter. När det gäller IT-säkerhet är det tyvärr vanligt att många sitter och "tror" saker - utan att testa det i praktiken. Till exempel som en så enkel sak som att separera sin data och lägga den olika regioner. Det har ingenting med teknik att göra, utan måste byggas in i processer.
Viktiga nyckeltal att ha koll på när det gäller backup och recovery
Dessa nyckeltal handlar om att säkerställa att ni är uppe och rullar så fort som möjligt efter en eventuell dataförlust. Det betyder att även om ni har köp backup - så krävs det mycket mer än bara en "backup" för att ni ska återläsa allt data bra och framför allt - göra det så effektivt och snabbt som möjligt. Många företag "köper en backup" och anser sig sedan vara klara - det är ungefär samma sak som att köpa en kanot på Clas Ohlsson och sedan checka av att man har köpt livbåt till sin stora yacht för 50 personer.
Business Impact Analys (BIA)
Det här handlar om mycket företaget påverkas vid en dataförlust? Vad får det för konsekvenser när hälften av personalen står stilla och inte kan jobba på grund av att ni har förlorat affärskritisk data? Här handlar det om att göra en analys över vilken data ni har i era system och var den ligger och hur en förlust av den skulle påverka företaget? Helt plötsligt kostar varje minut väldigt mycket pengar. Det vill säga hur mycket pengar kan ni blöda innan det blir riktigt kritiskt?
Point of Impact (POI)
När du har drabbats av ett dataintrång är tiden inte din vän. Här är det extremt viktigt att veta exakt när det skedde - och var det skedde. Det kommer att ge er värdefull information om var och hur ni ska göra för att säkra upp. Viktigt nyckeltal att ha koll på!
Recovery Time Objective (RTO)
Hur lång tid tar det att komma tillbaka efter en eventuell dataförlust? Vilken typ av backup och vilken typ av recovery i vilka typer av dataförluster kan bli aktuellt? Här gäller det att räkna på så många olika scenarier som möjligt för att skaffa er en realistisk uppfattning. Detta blir också en bra måttstock på summan som det är rimligt att lägga på ett bra cyberförsvar varje år. Det vill säga att direkt ställa det mot kostnaden som det tar att återställa all data vid en eventuellt attack.
Recovery Point Objective (RPO)
Detta handlar om den maximala mängden data – mätt i tid – som kan gå förlorad efter ett intrång.
Recovery Level Objective (RLO)
Hur granulärt och på vilka nivåer ska det vara möjligt att göra återläsningar? Ska ni kunna återläsa versioner av specifika filer eller vill ni ta alla system och alla filer från ett visst datum. Eller bara vissa applikationer från ett visst datum. Detta är viktigt att ha en tydligt uppfattning av.
Detta kan du göra för att skydda dig - konkreta tips och åtgärder för Microsoft 365
Det finns en rad konkreta åtgärder som du som företag kan göra för att skydda dig från attacker. Det absolut viktigaste och första steget är att ha en solid IT-säkerhetsstrategi där det är klart och tydligt med backup och recovery - så att det finns en tydlighet i var och hur lång tid det kommer att ta att återläsa kritisk data vid en eventuellt förlust. Nästa steg är att se över alla användare - interna och externa, vilka adminrättigheter som finns. Och det tredje steget är att jobba mycket med användarna, alltså den mänskliga faktorn. Att lära medarbetare och konsulter att inte klicka på alla länkar, vara på sin vakt och att rapportera vid misstanke, samt att alltid använda 2-faktors autentisering.
1. Bygg och anpassa er IT-säkerhetsstrategi
Det absolut viktigaste och mest grundläggande är att bygga och anpassa sin egen IT-säkerhetsstrategi. Detta blir själva ramen för hela ert arbete - allt ifrån processer för backup till vad som förväntas av medarbetarna. Den här strategin bör täcka allt som är IT-relaterat - även den datan som ni inte anser vara affärskritisk. När det kommer till att bygga en strategi för IT-säkerhet så är det många organisationer och företag som lutar sig emot NIS-direktivet, vilket är bra. Men. Det är viktigt att påpeka att varje företag och organisation är unik, vilket gör att den här typen av direktiv ofta i praktiken blir alldeles för trubbiga. Därför är det viktigt att anpassa dem efter företagets unika behov. Som företag eller organisation måste man hela tiden tänka på hur det fungerar för oss.
2. Minimera global admin-konton
Att ha många Global Admin-konton uppsatta i er 365 miljö är ett allvarligt hot mot er säkerhet. Detta är nästan aldrig medvetet gjort, utan har skett över tid när man har delat ut fullständiga rättigheter till olika medarbetare och konsulter allt eftersom. Men det är tyvärr så det ser ut för många företag idag, och det kan sluta riktigt illa. I vissa fall kan servicekonton förvandlas till Global Admin-konton vilket gör att en eventuell angripare i värsta fall har full kontroll. Ofta är det via en phishing-attack som det upptäcks att angriparen har full access via ett Global Admin-konto. Detta är tyvärr ett stort problem idag och en extremt stor sårbarhet som många har i sina Microsoft 365-konton. Ett väldigt effektivt sätt att försvåra för angriparen är gammal hederlig tvåfaktors autentisering - men som många struntar i att göra på grund av att det är "jobbigt" att plocka upp telefonen varje gång de loggar in. Jämför gärna detta med hur jobbigt det är att bli hackad. Ett lätt val!
3. Minimera den mänskliga faktorn
Den största utmaningen när det gäller IT-säkerhet är faktiskt människorna. Slarv bakom spakarna står för 80 procent av alla intrång, och det är faktiskt svårare än vad man tror att göra något åt. Men det går! I teorin är det enkelt men i praktiken svårt. Men det som det handlar om är främst två saker.
2/multi-faktorsatuentifiering.
Se till alla alla era användare har någon typ av två- eller multifaktors autentisering. Det är helt avgörande när väl attacken är ett faktum. Om man till exempel använder sitt telefonnummer som autentisering så måste de cyberkriminella också ha access till telefonnumret, vilket såklart försvårar intrånget. Det är också enkelt att märka med en gång om någon försöker att logga in på ditt konto.
Phishing-utbildning.
E-post är den absolut största attackvektorn när det gäller hackerattacker. För att användarna ska bli mer observanta för suspekta meddelandeförfrågningar och mail så måste de utbildas. Ert företag är tyvärr inte starkare än medarbetaren med lägst IT-kunskap, vilket gör att det bara krävs att en enda person från er klickar på fel mail och uppge sitt lösenord för att ni ska hamna i en riktigt kritisk situation. Det finns en rad leverantörer på marknaden som erbjuder den här typen av tjänster.
4. Ha koll på vad som händer i världen!
För företag som sköter säkerhetsarbetet själva är det extremt viktigt att hela tiden vara proaktiva i sin övervakning. Du måste hela tiden vara uppdaterad när hotlandskapet förändrar sig. Ni får aldrig bli reaktiva i er övervakning.
5. Ta hjälp av tredje part.
Även om ni vill och har en önskan om att det är bäst att sköta allt själv så blir det alltför ofta övermäktigt. Att låta resursbrist påverka ert säkerhetsarbete negativt kan vara en mycket dyr affär. Ta istället hjälp av de experter som finns på marknaden. Vi på Cristie erbjuder till exempel allt från fullt managerade tjänster, licenshantering, on- och offboarding till att sköta kontinuerliga tester av backup och recovery.