Avatar photo
Forfatter:
Owe Imerslund-Kvisler
Owe fremheves av bransjekolleger som en trivelig fyr med høy arbeidsmoral og sterk fagkompetanse. Han er rolig av natur og lar seg ikke stresse. Dette til tross for at han trives best utenfor komfortsonen. Han er nærmest lidenskapelig opptatt av at brukeropplevelsene skal være best mulig i IT-miljøene. Det innebærer at tjenester er enkle å bruke, at ting alltid er gjenkjennbare, og at sikkerheten er håndhevet på den mest fornuftige måten.

Identiteten vår er en av de siste barrierene i en verden hvor flere og flere flytter til skyen. Det er dermed viktigere enn noensinne å beskytte denne. Angrepene øker i omfang og angriperne finner stadig nye metoder for å lure deg. Vi har blitt noenlunde flinke til å oppdage tradisjonelle phishing-angrep, men nye metoder gjør at vi må gjøre flere tiltak enn tidligere. I denne artikkelen har jeg laget 7 tips til å beskytte identitetene våre i Microsoft Azure AD.

Tips 1

MFA spamming eller MFA utmattelse er et økende problem. Benytt funksjonene under for å beskytte deg mot dette. 

  1. Azure AD number matching (preview) 
  2. Show additional context in notifications (preview) 

Tips 2

Adversary-in-the-middle (AiTH) eller MFA–phishing  angrep øker. Figuren under (fra Microsoft) viser et slik angrep.

Beskytt deg ved å: 

  1. Bruk MFA-metoder som er phishing-resistente som for eksempel FIDO2, Windows Hello for Business eller sertifikater. 
  2. Beskytt deg mot angrep med Conditional Access policyer. Særlig viktig er grant kontrollene «Require device to be marked as compliant» og «Require Hybrid Azure AD joined device». 
  3. Overvåk innlogginger med MFA fra ulike lokasjoner.

Tips 3

OAuth consent phishing-forsøk øker også, men hva er consent phishing?
Beskytt deg ved å: 

  • I Azure AD: Skru av «user consent» og bruk consent workflows. 
  • Gå gjennom eksisterende apper og tillatelser i Microsoft Defender for Cloud Apps. 
  • Skru på varsler for OAuth apper i Microsoft Defender for Cloud Apps. 
  • Bruk Azure AD Identity Protection 

Tips 4

Bruk Privileged Identity Management (PIM), bruk minste privilegium og verifiser alltid. Ikke stol 100% på PIM. PIM beskyter IKKE mot AiTH-angrep. 

Tips 5

Alle Microsofts sikkerhetsprodukter genererer varsler. Følgende varsler er viktige for å avdekke AiTH angrep. 

Microsoft 365 Defender

  • Stolen session cookie was used

Defender for Cloud Apps 

  • Suspicious inbox manipulation rule 
  • Impossible travel activity 
  • Activity from infrequent country

Azure AD Identity Protection 

  • Anomalous Token 
  • Unfamiliar sign-on properties 
  • Unfamiliar sign-in properties for session cookies 
  • Anonymous IP-address

Defender for Office 365 

  • Email messages containing malicious file removed after delivery 
  • Email messages from a campaign removed after delivery 
  • Creation of forwarding/redirect rule

Defender for Endpoint 

  • Potential Phishing website

Tips 6

Noen generelle tips som jeg håper du allerede, har konfigurert: 

  • Konfigurer MFA for ALLE brukere og administratorer 
  • Blokker legacy autentisering (ja, Microsoft gjør dette, men IKKE VENT) 
  • Konfigurer Continuous Access Evaluation 
  • Bruk Conditional Access basert på risiko signaler 

Tips 7

Samle logger fra Azure AD i Microsoft Sentinel eller Log Analytics