In zijn blogpost Microsoft Teams: de basis staat, maar hoe nu verder? licht mijn collega Dave van Lier toe wat de volgende stappen zijn na de succesvolle uitrol van Microsoft Teams binnen jouw organisatie. De app uitrollen is een, maar het gebruiken en alles uit deze applicatie halen is twee. Het eerste belangrijke punt dat hij benoemt is zorgen dat er binnen en met Microsoft Teams veilig gewerkt wordt. Dave geeft hiervoor een drietal praktische onderwerpen waarmee je gelijk aan de slag kunt, namelijk Multi Factor Authenticatie, volledige Identity inrichting en Identity governance. Ook heeft onze Security expert een blog geschreven over het belang van security tijdens de corona crisis. Er zijn belangrijke stappen om een veilige werkomgeving binnen Microsoft Teams in te richten. Naast inrichting en monitoring, is de opvolging van security meldingen van essentieel belang. Hier wil ik in mijn blog dieper op ingaan.
Waarom je moet nadenken over cloud security
Microsoft Teams is een fantastische applicatie om medewerkers efficiënter te laten samenwerken en communiceren. Deze medewerkers zullen echter wel overal en altijd toegang willen tot Teams en de data die daarin leeft, aangezien op kantoor werken met zijn allen op dit moment geen optie is. De data afschermen van de buitenwereld is dus niet langer mogelijk, waardoor de focus komt te liggen op het veilig inrichten, 24/7 monitoren en opvolgen van meldingen op de IT-omgeving. Het NIST cybersecurity framework duidt deze onderdelen aan met de termen Protect, Detect en Respond.
Een veelgemaakte fout is te denken dat de cloud provider, bijvoorbeeld Microsoft, de volledige beveiliging van je cloud omgeving verzorgt. Dit is een misvatting! Cloud security is een gedeelde verantwoordelijkheid, waarbij de cloud provider zorgt voor de technologie waarmee je je cloud veilig kan houden, maar de verantwoordelijkheid voor de configuratie en het juiste gebruik hiervan ligt bij de gebruiker.
Identiteiten & data, de basis voor adequate beveiliging in Microsoft Teams
De twee belangrijkste pijlers voor adequate beveiliging binnen Microsoft Teams zijn identiteiten en data. Identiteiten hebben betrekking op de gebruikers die in Teams inloggen en waarbij het van groot belang is, je ervan te verzekeren dat je de juiste gebruiker voor je hebt (zonder dat deze daar hinder van ondervindt). Identiteit wordt ook wel de nieuwe security perimeter genoemd in de cloud wereld, wat het belang van deze pijler onderstreept. Monitoring is essentieel om verdachte gedragingen van gebruikers te signaleren. Indien deze plaatsvinden, dan is in de meeste gevallen directe actie vereist. Voorbeelden van verdacht gedrag zijn inlogpogingen vanaf onbekende locaties of apparaten en het veelvuldig invoeren van foutieve wachtwoorden. Een ander voorbeeld is ‘impossible time travel’, wat inhoudt dat er door één gebruiker wordt ingelogd vanaf 2 geografisch afwijkende locaties, waarbij de afstand tussen deze locaties onmogelijk binnen de gegeven tijd kan zijn afgelegd.
Een belangrijke functionaliteit binnen Microsoft Teams is de mogelijkheid om bestanden te delen en daarin samen te werken. Deze bestanden bevatten bedrijfsinformatie en vandaar dat databescherming de tweede pijler is van de bescherming van Microsoft Teams. Een voorbeeld van databeveiliging is het signaleren wanneer grote hoeveelheden bestanden worden verwijderd of gekopieerd. Dit kan een indicatie zijn van een hack of een medewerker die naar een concurrent overstapt en gevoelige bedrijfsgegevens probeert mee te nemen.
Microsoft Teams Protection Pack
Als de kennis van adequate beveiliging voor Microsoft Teams niet aanwezig is binnen jouw organisatie, of de capaciteit om hier invulling aan te geven ontbreekt, dan kan InSpark dit voor je regelen. In verband met de enorme toename in het gebruik van Microsoft Teams, heeft InSpark een specifiek Protection Pack ontwikkeld binnen het Cloud Security Center. Het Cloud Security Center is InSpark’s moderne cloud-native security dienst met 24/7 dienstverlening vanuit het Security Operations Center (SOC).
De basis voor het Microsoft Teams Protection Pack is de bescherming van de identiteiten van de gebruikers en data binnen Teams. Zoals eerder aangegeven is identiteit de nieuwe security perimeter in de cloud. Het is dus van belang de identiteit van alle gebruikers te beschermen. Het Cloud Security Center opereert op basis van de Microsoft E5 licentie, waarmee optimale beveiliging geboden wordt. In de praktijk beschikken echter niet alle gebruikers over deze licentie (bijvoorbeeld first line workers) en om hierop in te spelen biedt InSpark een basisbescherming voor deze gebruikers op basis van de Microsoft E3 licentie. Daarbovenop wordt Azure Sentinel ingezet om Teams specifieke use-cases te monitoren. Denk hierbij aan een melding wanneer een nieuwe applicatie wordt toegevoegd of een notificatie als een gebruiker meerdere Teams verwijdert.
Conclusie
Wil jij meer weten over het Microsoft Teams Protection Pack? En wil jij gebruikers en data binnen Microsoft Teams beschermen, maar heb je hier zelf niet de kennis of capaciteit voor in huis? Wij helpen je graag verder. We richten de juiste security baseline voor je in en vanuit ons SOC monitoren we vervolgens de activiteiten die binnen Microsoft Teams plaatsvinden. Neem contact op onder aan dit blog.
