Redactie - 26 november 2021

CoreView: Beveilig Microsoft 365 maar houd het ook bruikbaar

CoreView: Beveilig Microsoft 365 maar houd het ook bruikbaar image

Microsoft 365 brengt productiviteit voor veel organisaties naar een hoger niveau, omdat medewerkers overal en altijd kunnen samenwerken. Maar het gebruik van Microsoft 365 brengt ook beveiligingsrisico’s met zich mee. ‘Het is een balans tussen beveiliging en bruikbaarheid’, vertelt Matt Smith, Senior Solutions Architect bij CoreView. Overigens ligt de verantwoordelijkheid daarvoor maar deels bij Microsoft. U bent ook aan zet.

Bedrijven die Microsoft 365 gebruiken, kunnen sneller, slimmer en veiliger werken als ze de data die de applicaties produceren weten te interpreteren en in te zetten. Om bedrijven daarmee te helpen, levert CoreView een management-, communicatie- en automatiseringsmachine. Maar niet alleen weten ze hoe bedrijven efficiënter kunnen werken, ze weten ook waar bedrijven gaten laten vallen in hun beveiliging.

Een vergroot aanvalsoppervlakte
Matt Smith: ‘Microsoft 365 brengt voordelen in overvloed, maar de applicaties brengen ook een verhoogd risico met zich mee als het gaat om cybersecurity. De applicaties zijn namelijk altijd en overal te benaderen, waardoor de aanvalsoppervlakte steeds groter wordt. Daarbij zien we dat het aantal aanvallen natuurlijk is geëxplodeerd. Er zijn criminele organisaties opgezet die zich focussen op richten op verschillende industrieën waaronder, overheid, zorg en ook de financiële instellingen.’

Doordat Microsoft 365 in de cloud staat, hebben bedrijven alleen niet meer volledige controle over het platform. Daar staat tegenover dat Microsoft alleen ook niet de beveiliging van een 365-omgeving kan garanderen. ‘Het is een gedeelde verantwoordelijkheid over security, oftewel het Shared Security Model. Microsoft is verantwoordelijk voor de server, back-up en monitoring. Jij bent verantwoordelijk voor identiteiten, apparaten en data.’

Prijs platinum securityoplossing Microsoft omhoog met 25 procent
Gedeelde verantwoordelijkheid betekent wat Smith betreft niet dat je het duurste beveiligingsprogramma koopt. ‘Maart 2022 gaat de prijs van de platinum beveiligingsoplossing van Microsoft omhoog met 25 procent. Dat iedereen die aanschaft, is niet de oplossing. Probeer het securitylandschap te begrijpen, zodat je weet welke prioriteiten je moet stellen en hoe je kan voldoen aan bijvoorbeeld compliance.’

Security heeft, volgens Smith, te maken met hoe je waarborgt dat je altijd kunt blijven werken en voldoet aan compliance. Daarnaast word je door klanten afgerekend op hoe goed je security is. ‘Neem als voorbeeld het Amerikaanse Ministerie van Justitie. Zij zeggen: als je zaken met ons wilt doen, dan accepteren wij alleen een houding ten aanzien van security die onze reputatie niet beschadigd en onze missie niet in de weg staat.’

Hoe blijft je veilig én wendbaar?
Daar komt bij dat we moeten investeren in de mogelijkheid om wendbaar te zijn: hoe kunnen we veranderingen doorvoeren in ons bedrijf zonder onze beveiliging te ondermijnen? Aldus Smith. Plus: kunnen we ook afwegingen maken tussen beveiliging en waarde toevoegen aan ons bedrijf? Bijvoorbeeld samenwerken kan veel waarde brengen, maar het moet ook veilig zijn.

Dus wat kunnen bedrijven concreet doen om hun Microsoft 365-omgeving veilig te houden? ‘Het CIS, Center of Internet Security, heeft een checklijst ontwikkeld om Microsoft 365 veilig te houden[AvdB1] . Deze checklist wordt ook aangeraden door Microsoft zelf en draait om zorgvuldigheid en voorzichtigheid. Het is een framework met 83 instellingen en rapportages die je zou moeten instellen om beveiliging naar een hoger niveau te tillen.’

Slechts één of twee procent heeft het
Hoeveel bedrijven hebben dit advies al overgenomen? ‘Eén, misschien twee procent? Ik weet niet waarom, het zijn geen geavanceerde settings, maar het is de basis. Maar vrijwel niemand van de overheidsinstanties, multinationals en Fortune 200 die ik spreek hebben dat advies geïmplementeerd. Dat schokt me. Ik moedig al mijn klanten om die checklist op te volgen, net als Microsoft. Alleen dan ben je voorzichtig en zorgvuldig in je security.’

Als een bedrijf de checklist van het CIS heeft geïmplementeerd, adviseert Smith om ook de checklist van het CMMC (Cybersecurity Maturity Model Certification) op te volgen. Het zijn 286 aanbevelingen vanuit de Amerikaanse Ministerie van Defensie. ‘De aanbevelingen richten zich niet op een specifieke applicatie, maar op bediening, reportages, automatiseringen en acties. We helpen onze klanten om deze regels te implementeren.’

Zero Trust-framework van Microsoft
Als laatste raadt Smith aan om het Zero Trust-framework van Microsoft te volgen. ‘De basis van Zero Trust is dat we elke verbinding met het 365-platform gaan controleren en verifiëren op basis van de minst geprivilegieerde toegang. Het gaat om minimale toegang, maar genoeg om je werk te kunnen doen. Met Zero Trust gaan we uit van een succesvolle aanval, maar we minimaliseren de impact op ons platform.

Overigens, zegt Smith, als je naar de website van Microsoft gaat om het Zero Trust framework te bekijken, raak dan niet overweldigd. ‘Het is een reis van meerdere jaren. Het is bijna een productfunctionaliteitenlijst tot en met de hoogste security suites, waarbij alle functionaliteiten zijn geïmplementeerd. Alsof je door alles te installeren je op magische wijze ineens veilig bent. Natuurlijk, de functionaliteiten zijn waardevol: maar waar begin je?

De meest gebruikte security-functionaliteiten
Om het framework toegankelijker te maken heeft Microsoft zijn klanten ondervraagd om binnen zeven thema’s te bepalen welke drie oplossingen het meest gebruikt worden. ‘Het begint met identiteiten en daarbij wordt niet alleen gekeken naar wachtwoorden en multifactor authorisatie, maar vooral naar: hoe ga je 200 events van je 1.000 medewerkers elke dag bekijken en daarop acteren als het nodig is?’

‘Het volgende thema is data: het gaat over je databeleid, maar ook versleuteling en het voorkomen dat data wordt gedeeld buiten de organisaties.’ Als laatste noemt Smith endpoints, zoals smartphones, laptops en IoT. Automatisering is in alle gevallen een belangrijk onderdeel, zeker voor de grote organisatie die CoreView bedient. ‘Je hebt te veel signalen, apparaten en applicaties om persoonlijk te bekijken, dus automatisering is belangrijk.’

Geniet, maar met mate
Hoeveel je ook implementeert en werkt aan beveiliging, het blijft een balans tussen bruikbaarheid en security, vertelt Smith. Plus: ‘Het is ook geen eenmalige actie. Het omarmen van de cloud brengt veel voordelen met zich mee, maar je moet je bewust zijn van de gevaren en je verantwoordelijkheid in voorzichtigheid en zorgvuldigheid in het toepassen van security. Geniet van de functionaliteiten, maar doe het verantwoordelijk.’

Auteur: Anne van den Berg

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024