Microsoft 365 Security platform explained – part 2 – the solutions

If you landed here, there’s the high probability that you’ve already read my previous blog post about the strategy behind the Microsoft 365 Security platform, (if this is not the case I strongly recommend to read it before going on) where I shared the layered approach of the Microsoft 365 security and compliance solutions to address the end-to-end stack from the device to the applications, with a very high level overview of suites and licensing levels inside Microsoft 365

Now it’s time to reveal the full solution set with a more detailed level, the one that would be appreciated by a CISO who is wondering if Microsoft could be able to address most of her/his needs to secure the modern workplace.

First I have to tell you a couple of confidences about me: I’m quite obsessed by taxonomies (I like to give an order to the chaos in the universe :-), maybe because I’m an engineer?? ;-)) and in Microsoft I’ve always fought for the principle of mastering end-to-end security (again testified by my 2nd post in the far January 2007) regardless any silos, job roles, business divisions, and company incentives.

Security must be applied and so learned end-to-end, in light of the defense in-depth principle, otherwise there isn’t any Security!

These explain why I started in the middle of 2016, well before the arrival of Microsoft 365 (see its announcement on July 2017), to build and share with colleagues and customers the idea of a Microsoft security platform, to highlight the value of several security features and solutions across Microsoft products and their increasing ability to integrate with each other to define a coordinated line of defense.

Additionally, I set the personal goal to use only a single PowerPoint slide to describe it, and this was the first prototype (ver. 0.1), dated in July 2016:


(If you are curious about later versions of this single slide you may find some examples in a previous blog post, when I celebrated 10 years of this blog).

Now you may understand my personal satisfaction when we later announced Microsoft 365 (see its announcement on July 2017): someway I was really looking forward our security strategy !

After almost 3 years of huge Microsoft investments in Security, with direct product development and several acquisitions (mainly looking for innovative Israeli cybersecurity companies…), the “single slide” personal goal I set in 2016 has become a daunting challenge !!

Here is a snapshot of one of the latest efforts, specifically the October 2018 version v.5.0 (which it is not the latest, see below!) just built after the Ignite 2018 announcements:


I have to say (with a bit of deep pride :-)) that out of dozens of PowerPoint slides I may use to pitch the value of our new Microsoft 365 Security platform, this is the single one slide that everyone want to take-away as soon as possible, preferably right at the end of meeting!

Last month I updated it at the February 2019 version v.6.1 and you can now download it from the downloads page of this blog: this version has been enhanced with short description screentips and hyperlinks to the technical documentation by simply hovering and clicking with your mouse pointer over the single solution when viewing the slide in presentation mode.

I hope you can find it useful to map how Microsoft 365 can cover almost any end-to-end security and compliance needs to secure the Modern Workplace!

Of course you can expect I will build something similar for other Microsoft Security technologies , so stay tuned!

Ciao!

Feliciano

Microsoft 365 Security platform explained – part 1 – the strategy

In the latest blog post I’ve just shared my view on the real Cloud Security and Compliance model, and I made it in a totally vendor-agnostic way.

Let’s decline it in the Microsoft world of solutions, and specifically starting from the first realm that we call “Modern Workplace”, the IT environment where the digital transformation journey of an organization typically starts.

These solutions help employees to use the best collaboration tools that enable them to securely access applications (inside and outside the company) and to process data (with colleagues and external partners) without sacrificing the mandatory need of the Security and Compliance teams to have this productivity environment, without any tangible perimeter, still under total control of the company.

In this Microsoft realm, the Cloud Security and Compliance model can be declined with the following diagram:


When the Microsoft Office 365 suite is at the center of your risk assessment evaluations, you should understand how the several security and compliance controls are layered over the stack from the endpoint to the cloud applications inside Office 365.

The key infrastructure security solutions in the middle of this stack at layer 3 are represented by the Microsoft Enterprise Mobility and Security (EMS) solutions: a fundamental note is these are able to secure even non-Microsoft applications (3rd party web applications in the cloud and on-premises) and to protect data processed by non-Microsoft devices (iOS and Android devices as well), as I’ll show you better in a future blog post of this series where I’ll go deep in the several solutions layers (Identity, Information and Threat Protection).

Where we consider the Windows PC as the main device to enable this secure productivity environment, you may note from the green square box in the picture how Microsoft has been able to build a commercial bundle to help customers to acquire the full set of licenses and related security and compliance features to secure the full end-to-end stack from the device to the cloud productivity suite: Microsoft 365 !

The following picture adds just a bit of licensing detail: every product suite inside Microsoft 365 Enterprise is offered in two flavors, the Enterprise E3 or E5, and the size of the relative boxes is there to suggest how they broaden the spectrum of coverage over the main Identity, Information and Threat Protection solutions areas.


Hoping these diagrams are quite clear, I can now use them to make an example to demonstrate the Microsoft strategy behind the Microsoft 365 Security platform to offer a layered incremental feature set depending on the component and the licensing level of choice.

Example: Multi-Factor Authentication (MFA) capabilities.

Just to catch even the interest of novice readers not so expert about security, let me remind that MFA is the technology solution that adds a second authentication factor to prove the real identity of the user after the less secure first one (the password), as maybe everyone experiments when making disposition actions in their internet banking web application.


As you can see from the light green boxes from the Office 365 E3, to the EMS E3 layer and ending on the EMS E5 layer, there are 3 incremental solutions that offer MFA capabilities over the platform:

  • The MFA features inside Office 365 E3 are not so granular: think about them as a big power supply handle to switch on/off MFA for all Office 365 applications (and only for them!) and for all user/group without any ability to selectively choose which application/user/group should benefit from it.
  • Azure MFA inside Azure AD Premium P1 plan is the complete MFA feature set to gain granularity to specify which application (even a not Microsoft one!) and which user/group should benefit from it. The only “limitation” with regards to the following solution is related to the static setting nature of these capabilities.
  • The best of breed MFA capabilities offered in the Microsoft 365 security platform are represented by the ability of Azure AD Identity Protection to offer MFA as one of the dynamic and automatic remediation actions where the Azure AD solution, powered by machine learning and artificial intelligence analysis of the authentication logs at sign-in, may rate at high risk a specific user/session combination. This is the most powerful and with the best user experience way to harden the access to Azure AD protected applications (Microsoft and not).

This incremental progression I’ve just shared represents the Microsoft strategy behind the different types of security and compliance solution in the platform: the more you need security feature richness, 3rd party application protection, automation of protection, and the empowering by machine learning and artificial intelligence, the more you need to move towards EMS and specifically to the best M365 E5 plan.

Now at this point I hope you may be eager to know which are the specific security and compliance solutions included in this Microsoft 365 Security platform…

…I’ll be glad to give you this view in the next blog post, stay tuned!

Ciao

Feliciano

Understanding the real Cloud Security and Compliance model

Near 10 months later my blog post about the ability of Microsoft Cloud to accelerate the GDPR compliance – part 2 where I launched it, and after several customers meetings that helped me to optimize it, now I believe it’s time to share again my view of the real Cloud Security and Compliance model.

What is it, and why did I build it?

Simply to tell, I realized the urgent need to help customers to understand how to manage end-to-end Security (and Compliance) in a new IT world that is rapidly shifting from classic on-premise solutions towards the adoption of Cloud computing. Customers are disoriented and they don’t have really clear where some Security controls are in charge of the Cloud Service Provider (CSP), where they still own these controls, and where the boundary is in this shared responsibility model. The business stakeholders realize the huge value of cloud computing and its benefits to accelerate the digital transformation in their organizations, but the Security and Compliance teams are worried by the lack of control that the Cloud paradigm seems to bring along those benefits.

This is why I started by adapting the well known NIST framework to highlight my first consideration, see the image below:

The IT service operations shift from on-premise to the different cloud delivery models (IaaS, PaaS, SaaS) can be interpreted as the 1st cloud security level, where the responsibility shift towards the CSP is also about Security & Compliance duties.


This first consideration can help to understand one of the reasons behind the statement you may have heard (especially from me :-), if you had this chance ;-)) of “Cloud as an accelerator of the customer’s security and compliance efforts”: the choice of cloud solutions, and more of the SaaS ones, can be a sort of “insurance” that shifts part of the responsibilities over the CSP. Moreover the layers in charge of the CSP’s responsibilities must also be covered by a contractual commitment, as required by the GDPR, when these solutions can process personal data.

In light of the GDPR requirement the Cloud must be compliant! (since it represents an external data processing)

Please note the bold text above: the end-to-end security and compliance requirements don’t end here, this is only the 1st level where you need and have to consider security controls (also in front of the GDPR law when it applies, of in front of any compliance requirements).

In order to give you the complete Cloud Security and Compliance model I’ve built the following diagram over time:


In addition to the 1st level, now you can see I added 3 more levels to understand how many layers you need to put security controls on, if you really need to secure the end-to-end interaction from a generic endpoint (a PC, tablet, smartphone, even an IoT endpoint) to a generic cloud application and to protect the data exchanged between them.

You need to apply security controls at every layer if you want to exercise the always valid principle of Defense In-Depth (as I’m sharing with you since the start of this blog in the late 2007)!!

As suggested by the color of those boxes, you can’t deem your CSP as totally responsible of the security & compliance requisites when you choose to use a cloud application, because there are 3 layers of controls that are still on your duty and responsibility to evaluate, adopt and manage!

Please note that while I mention Microsoft in the above diagram, this model is totally vendor-agnostic and it should be proposed by every (honest ;-)) CSP.

What’s the difference between the Microsoft Cloud and the rest of the market?

All the several CSPs in the market today, choose the name you want (Amazon, Google, Salesforce, and so on), must give you assurance of their commitments related to the 1st layer of this model, but they are unable to give you help with a cohesive and integrated set of security and compliance solutions at the remaining layers 2, 3 and 4: it’s up to you to find the best way to fill these layers with several 3rd party solutions from different vendors that leave gaps and expose this non-connected surface to possible attacks. As already recognized in the Security market and by forward-looking CISOs, this plethora of not homogeneous solutions are really impossible to manage and not effective in detecting advanced threats.

As of today, only Microsoft is powered with the ability to offer you a cohesive and integrated set of security and compliance solutions at all the 4 layers described above, and I’ll show you how… in the next blog posts , stay tuned!

Ciao

Feliciano

Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 2a parte

[This blog post has been republished as-is on February 2019]

Nello scorso blog post vi avevo lasciato con una domanda che qui riprendo:

dal momento che il contratto cloud di Microsoft include già le tutele contrattuali necessarie, posso dire quindi di aver già soddisfatto tutti i requisiti di conformità GDPR nell’utilizzo di tali servizi ?

Per comprendere in quale misura le tutele contrattuali siano in grado di coprire i requisiti di conformità GDPR nel caso di servizi cloud è necessario rifarsi allo schema classico del NIST che descrive le varie tipologie di cloud pubblico possibili:


In questo schema, valorizzato in alto nel contesto delle soluzioni Microsoft, si potrà riconoscere come varia il livello di corresponsabilità operativa quando ci si sposta da uno scenario puro on-premise a sinistra (dove tutto è gestito dal cliente), via via verso modelli di cloud che fanno aumentare l’ambito operativo in carico al Cloud Service Provider (CSP), dove il modello di tipo Software as a Service (SaaS) a destra è quello più estremo in cui potrà apparire che sia quasi tutto in carico al CSP, e quindi Microsoft.

Se ci riflettete, questo modello di corresponsabilità operativa che varia in base al tipo di servizio cloud, si può leggere anche per chiarire come variano le tutele contrattuali che un CSP è in grado di fornire: maggiore è la responsabilità operativa, maggiore la responsabilità anche ai fini compliance (vedi riquadro rosso nella figura che segue):


Ma è bene aver chiaro che (attenzione, questo è il punto cruciale di questa spiegazione!) questo ambito di cui stiamo parlando è solo il primo dei possibili livelli su cui è necessario introdurre dei controlli di sicurezza per garantire una adeguata protezione del dato quando si considera l’utilizzo di servizi in cloud (come ricorda la nota “(1)-Cloud Security Level” che ho riportato in basso a destra nell’immagine che ho appena riportato).

Quali sono gli altri livelli? Ecco, schematizzando una interazione tra un endpoint (un PC, un tablet, uno smartphone, un dispositivo IoT, etc..) ed un servizio applicativo in cloud, questo di seguito potrebbe essere un modello che vi fa apprezzare quanti altri livelli di sicurezza vanno considerati:


Il primo livello di cui detto è solo quello relativo all’infrastruttura cloud realizzata per offrire l’applicazione considerata: per questo livello vale quanto già detto, ossia più il tipo di cloud è verso il SaaS, maggiore è la responsabilità operativa (e di compliance) in carico al CSP.

E’ però fondamentale riconoscere che esiste un ambito intermedio che permette l’interazione tra l’endpoint e l’applicazione cloud che va considerato come ulteriore anello da mettere in sicurezza.

Nel contesto delle soluzioni Microsoft ho ritenuto utile distinguere questo ambito intermedio in due livelli:

  • Livello 2: sono le funzionalità di sicurezza native della stessa applicazione cloud di interesse. Disponibili come parte della stessa applicazione, ma con attivazione e gestione ancora a carico del cliente.
  • Livello 3: sono soluzioni di sicurezza di infrastruttura, offerte come soluzioni aggiuntive che sta al cliente valutare, ed eventualmente acquisire ed attivare.

Ultimo, ma non meno importante, bisogna ricordare che non si può tralasciare di rafforzare la sicurezza dell’endpoint.

Facciamo un esempio pratico per farvi ritrovare con applicazioni e soluzioni reali: supponiamo che la “Cloud Application” sia Exchange Online come parte della suite Microsoft Office 365.

Il Livello 1 è l’infrastruttura cloud Microsoft per offrirvi la soluzione di posta in cloud, su cui – in quanto SaaS – la quasi totalità della gestione operativa e quindi delle tutele compliance è di Microsoft. Sta a Microsoft documentare quanto bene si operi la gestione di tale livello per garantire un trattamento a norma.

Il Livello 2 è rappresentato dalle funzionalità di sicurezza (Identity Protection, Information Protection, Threat Protection, etc) incluse nativamente in Office 365/Exchange Online. In ambito clienti medio-grandi, queste variano in base ai piani di licenza Enterprise: maggiore il livello di licenza/piano Enterprise, maggiori le funzionalità incluse.

Prendiamo in esame la funzionalità di autenticazione per accedere alla casella di posta: normalmente i clienti realizzano una federazione di identità per riutilizzare l’identità e le credenziali on-premise di Active Directory per accedere in Single Sign-On (SSO) alla casella ospitata sul cloud.

In questo caso la robustezza dell’accesso alla casella di posta è legata a quanto sia protetta l’identità on-premise e quanto sia robusta la relativa password: il governo di questo anello della catena di sicurezza è ancora in carico al cliente nonostante la casella sia ospitata sul cloud Microsoft!!

Continuando con l’esempio, se il cliente disponesse di piani di licenza Office 365 E3, avrebbe a disposizione delle funzionalità di Multi-Factor Authentication (MFA) per rendere più robusto l’accesso alla posta (tramite l’uso di un cellulare che può ricevere il secondo fattore di autenticazione, come quando accediamo al conto corrente bancario online): decidere se usare questa funzionalità ed attivarla, è ancora una prerogativa in carico al cliente! (quindi ancora una sua responsabilità in ottica compliance/GDPR)

Le funzionalità MFA incluse in Office 365 E3 permettono di essere applicate come singolo interruttore ON/OFF per tutti gli utenti e per tutte le applicazioni della suite (Exchange, Sharepoint, Onedrive for Business, Skype for Business, etc…) senza possibilità granulare di attivazione per singolo utente/gruppo o per singola applicazione: è solo con l’utilizzo di una soluzione di livello 3, Azure MFA (acquisibile singolarmente o come parte della suite di soluzioni di sicurezza denominata Enterprise Mobility & Security (EMS)), che è possibile guadagnare la massima capacità funzionale e in particolare la granularità di poter abilitare l’MFA solo per alcuni utenti/gruppi o solo per alcune applicazioni.

Decidere se adottare tale soluzione per rispondere al meglio ad alcuni requisiti compliance/GDPR è ancora una prerogativa del cliente!!

Come lo è anche decidere le soluzioni di sicurezza da implementare a livello di endpoint: cosa dite, ai fini compliance/GDPR è la stessa cosa decidere di mantenere i client su Windows XP (ormai non più supportato e quindi non più protetto dagli aggiornamenti di sicurezza), o evolvere verso il recente e quindi più robusto/aggiornato Windows 10??

Se quindi applicassimo il modello di sicurezza che vi ho appena proposto (in presenza di una applicazione cloud) allo scenario di esempio della produttività personale con soluzioni Microsoft, questo sarebbe il risultato corrispondente:


La suite di soluzioni Microsoft 365 (che racchiude licenze e relative funzionalità di Windows, EMS ed Office 365) è in grado quindi di offrire sia le tutele contrattuali dovute in quanto soluzioni cloud (livello 1) sia di offrire le soluzioni tecnologiche necessarie per mettere in sicurezza il trattamento del dato sugli ulteriori livelli (Livello 2, livello 3, livello Endpoint) che serve comunque indirizzare per un adeguata gestione del rischio.

Vi lascio con una considerazione per permettervi di fare un confronto con le altre soluzioni cloud sul mercato: tutti i Cloud Service Provider dovranno offrirvi (entro il 25 maggio) le tutele contrattuali GDPR per il livello 1, ma quanti sono in grado di offrirvi anche un insieme di soluzioni di sicurezza che si integrino tra di loro nel modo migliore possibile e verso le soluzioni on-premise per mettere in sicurezza gli altri livelli??

E per il confronto con le soluzioni totalmente on-premise? Nel caso di scenario puro on-premise tutta la catena di controlli e quindi di tutele tecnico-organizzative è solo in carico al cliente con tutto quello che ne consegue in termini di costi e tempi… mentre le soluzioni cloud, che – ripeto – devono essere contrattualmente conformi alla GDPR, permettono sia di “trasferire” una parte della gestione e quindi del rischio e di realizzare soluzioni di protezione in modo significativamente più rapido ed efficace di quanto si possa fare on-premise.

Ecco perché il Cloud, e solo quello Microsoft (per la capacità distintiva di offrirvi anche soluzioni di sicurezza di infrastruttura integrate tra loro), è a tutti gli effetti considerabile quale acceleratore della compliance (sia in generale che quella GDPR, nello specifico di questo momento storico), e questa a sua volta in grado di poter agire da acceleratore per la trasformazione digitale tanto necessaria e finora spesso frenata proprio dalle perplessità sul cloud nei confronti della conformità normativa.

Ai prossimi post il compito di illustrarvi questo insieme davvero ricco di funzionalità di sicurezza incluse in Microsoft 365.

P.S. ricordo il post che agirà da sommario di tutti i miei post a tema GDPR:

A presto!

 Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)


@NonSoloSecurity
(English only – technical only)


 

Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 1a parte

[This blog post has been republished as-is on February 2019]

E’ trascorso un anno da quando ho iniziato ad incontrare i clienti italiani per condividere l’impegno di Microsoft a supporto della compliance alla GDPR, quale uno degli impegni del mio ruolo di specialista dei temi CyberSecurity, Privacy e Compliance in Microsoft Italia. Credo di aver incontrato più di 50 clienti Enterprise medio-grandi in modalità 1to1, e tanti di più approfittando di alcuni eventi pubblici in cui sono intervenuto come speaker/panelist, quale il CLUSIT Security Summit 2017 a Roma o l’ultimo TIG CyberSecurity Summit – Roma 2018 dello scorso 21 marzo.

In tutte queste occasioni il tema centrale del mio contributo è sempre stato quello che vi riporto quale titolo di questo blog post, ossia far apprezzare quanto il paradigma del cloud, ed in particolare di quello che è in grado di essere proposto da Microsoft, possa rappresentare un vero e proprio acceleratore a supporto delle attività che ogni cliente deve attuare in ambito IT per soddisfare i requisiti del nuovo regolamento.

Sì lo so, per tanti di voi questa mia affermazione appare alquanto controversa (e a giudicare da alcune provocazioni sollevate durante il recente #TIGcybersec, per alcuni addirittura difficilmente concepibile …): è proprio per argomentare meglio le mie considerazioni a supporto di tale tesi che ho deciso di scrivere questo post.

E’ vero che finora il cloud ha particolarmente sofferto nella capacità di dimostrare in modo semplice ed incontrovertibile di poter essere giudicato “compliant” rispetto ai diversi requisiti normativi, in particolare in ambito Data Protection/Privacy, ma spero di riuscire a convincervi di quanto ora l’impianto normativo della GDPR crei i presupposti per ribaltare questa dinamica e tramutare la compliance da ostacolo verso l’adozione del cloud, a vero e proprio facilitatore della stessa adozione.

Questi i passaggi logici di quanto vado a condividervi:

  • La nuova diretta corresponsabilità a cui è chiamato il Responsabile del Trattamento
  • Tutele contrattuali a cui è chiamato il Cloud Service Provider
  • Il vero modello logico sulla Cloud Security
  • Il ruolo e valore della nuova Microsoft Security platform

La nuova diretta corresponsabilità a cui è chiamato il Responsabile del Trattamento (Data Processor)

E’ probabilmente una delle novità GDPR meno evidenti e sottolineate, ma è di fondamentale importanza per comprendere il ruolo del Cloud nella compliance GDPR: nella nuova normativa, il “peso” delle responsabilità alla conformità in ambito Data Protection/Privacy non è solo sulle spalle del Titolare del Trattamento (Data Controller) ma è più correttamente bilanciato su entrambe le parti che concorrono, pur con ruoli diversi, a tale trattamento.

Nell’attuale normativa ancora per poco vigente, la Direttiva europea (la 95/46/CE) e la nostra locale declinazione (Legge Privacy italiana, il DL 196-2003), praticamente l’unico ruolo chiamato a rispondere di inadempienze e a cui spetta anche il compito di vigilare rispetto all’applicazione delle istruzioni operative impartite al Responsabile in merito alle modalità del trattamento è il Titolare del Trattamento (Data Controller).

Con la GDPR non è più esattamente così: come si potrà leggere dall’articolo 28, il Responsabile del Trattamento (Data Processor) deve essere vincolato da un contratto che lo lega alle proprie responsabilità di fornire le sufficienti garanzie di implementazione delle misure tecnico-organizzative appropriate per realizzare un trattamento conforme.

Tutele contrattuali a cui è chiamato il Cloud Service Provider

Una soluzione di tipo Cloud sicuramente rappresenta una esternalizzazione del trattamento che richiede al Cloud Service Provider di essere nominato quale Responsabile del Trattamento (Data Processor), e questo, alla luce della considerazione appena fatta sulla corresponsabilità che deve essere definita a livello contrattuale, implica che i contratti cloud DEVONO includere tali garanzie in chiave GDPR.

Non è mio compito dirvi se tutti i Cloud Service Provider siano già in grado di offrirvelo (vi inviterei a verificarlo ), ma posso confermarvi che

  1. sono diversi anni che il contratto alla base delle soluzioni cloud di Microsoft include tale definizione di ruoli privacy chiaramente definiti.
  2. Il contratto per i servizi cloud di Microsoft include già dallo scorso settembre 2017 gli impegni contrattuali di conformità GDPR che entreranno in vigore il 25 maggio 2018.

Quando mi riferisco al contratto alla base delle soluzioni cloud di Microsoft, sto di fatto facendo riferimento al documento centrale che racchiude tutti i termini di Sicurezza e Privacy relativi alle soluzioni online, denominato in italiano “Condizioni per l’Utilizzo dei Servizi Online” (e in inglese “Online Services Terms“, con l’acronimo OST che userò d’ora in avanti per citarlo), che è pubblicamente disponibile e scaricabile dal sito Microsoft di Volume Licensing: nell’OST troverete presenti l’Allegato 4 e l’Appendice 1 che rappresentano proprio i “commitment GDPR” che ogni cliente deve pretendere dai propri Cloud Service Provider.

Quindi a questo punto vi domanderete: dal momento che il contratto cloud di Microsoft include già le tutele contrattuali necessarie, posso dire quindi di aver già soddisfatto tutti i requisiti di conformità GDPR nell’utilizzo di tali servizi ?

Mi piacerebbe potervi rispondere di sì, ma la realtà ahimé non è così semplice…vi aspetto per la seconda parte di questo blog post per spiegarvelo!

P.S. ricordo il post che agirà da sommario di tutti i miei post a tema GDPR:

 

A presto!

 

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)

Ignite 2017: gli annunci a supporto della compliance GDPR

[This blog post has been republished as-is on February 2019]

L’avvio lunedì della nostra conferenza annuale dedicata ai clienti Enterprise e alla community degli IT Professional, il Microsoft Ignite 2017, mi fornisce l’occasione di ripartire con slancio nella condivisione dei temi CyberSecurity, Privacy e Compliance su piattaforma Microsoft, con l’impegno a fornirvi almeno un post a settimana (ora l’ho scritto e non posso più tirarmi indietro…).

Nonostante le numerose novità in ambito Security possano tutte essere considerate di supporto alla compliance GDPR, inizierò in questo post con la condivisione degli annunci specifici di risorse in questo ambito:

New Microsoft 365 features to accelerate GDPR compliance : ve ne sottolineo solo alcune…

  • Annuncio del “Compliance Manager“: questa è probabilmente la notizia più attesa di cui vi avevo dato già un’anticipazione nel mio post precedente. Abbiamo annunciato l’arrivo in novembre della preview gratuita della soluzione tipo GRC (Governance, Risk and Compliance) che permetterà di:
    • Realizzare risk assessment in tempo reale sui Microsoft cloud services
    • Acquisire informazioni utili sullo stato della configurazione di tali servizi online per poter intervenire per migliorare la protezione dei dati
    • Semplificare i processi di compliance tramite strumenti nativi di gestione dei controlli e strumenti di reporting che producano report pronti da condividere in caso di audit/ispezioni
    • Le normative/standard che saranno inizialmente oggetto di questa soluzione sono la GDPR, le principali ISO (ISO 27001 e ISO 27018) e le principali NIST (credo a partire dalla NIST 800-53).
    • Maggior dettagli al post Manage Your Compliance from One Place – Announcing Compliance Manager Preview Program
  • General Availability del servizio di “Customer Encryption“: è quello che indicavamo come Bring-Your-Own-Key (BYOK) per fornire al cliente il controllo delle chiavi di cifratura che i servizi Office 365 usano per l’encryption at-rest.
  • Microsoft’s Information Protection: annuncio dell’impegno in corso ad unificare le diverse soluzioni di Information Protection (CLP = Classification, Labeling & Protection) attraverso tutta la piattaforma Microsoft per abilitare una consistente ed integrata capacità di utilizzo della stessa modalità di CLP in tutti i prodotti Microsoft.
  • & a lot more su cui ritornerò nei miei post successivi…
  • Segnalo infine il nuovo whitepaper Accelerate your GDPR compliance journey with Microsoft 365

Windows resources to help support your GDPR compliance

Sono in particolare due nuovi whitepaper:

Infine ricordo il mio post che agirà da sommario di tutti i post a tema GDPR:

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)

L’impegno di Microsoft a supporto della compliance GDPR: nuova serie di blog post

[This blog post has been republished as-is on February 2019]

A partire da questo blog post parte una nuova serie di appuntamenti in cui conto di accompagnarvi nella comprensione delle numerose possibilità offerte dalle tecnologie/prodotti/soluzioni Microsoft di supportare i clienti nel loro percorso, mi auguro già avviato da tempo , di adeguamento alla nuova normativa Privacy, la ormai ben nota General Data Protection Regulation (GDPR) (permettete che usi d’ora in avanti l’acronimo inglese per la consistenza con la maggior parte delle risorse presenti sull’argomento) che, per quanto già in vigore, verrà applicata a decorrere dal prossimo 25 maggio 2018, stessa data in cui sarà di fatto abrogata l’attuale direttiva europea 95/46/CE.

Manca quindi poco meno di un anno a tale data, è tanto o è poco per riuscire ad arrivare preparati a tale scadenza che, stando alle dichiarazioni lette finora, sembra destinata a non subire rinvii?

La mia personale percezione sulla base delle interazioni avute finora con i clienti è che si sia già in generale ritardo… soprattutto in considerazione degli impatti organizzativi e di processo, la cui valutazione di fatto precede la declinazione tecnologica, le cui trasformazioni non saranno facilmente attuabili nel tempo che rimane.

Di certo la tecnologia necessaria per supportare il processo di conformità non è il primo aspetto da valutare, ma in questa serie di blog post vorrei riuscire nell’intento di dimostrarvi quanto possa supportare e semplificare anche le trasformazioni organizzative e di processo: è quella che oggi chiamiamo “digital transformation“, e la GDPR ci offre un’ottima occasione di applicarla per innovare l’infrastruttura IT in modo da ottenere non solo delle tutele da rischi di non conformità (e quindi per evitare le sanzioni che sappiamo essere molto salate) ma anche per rendere l’azienda più snella e agile, più capace di reagire velocemente ai cambiamenti del mercato e quindi più in grado di accelerare lo sviluppo del proprio business.

Faccio un esempio pratico: le soluzioni di Data Loss Prevention (DLP), che avranno un ruolo primario nelle tecnologie a supporto della compliance GDPR, hanno fatto fatica a decollare finora per il significativo impatto su processi, organizzazioni ed esperienza utente che ne hanno scoraggiato l’adozione di massa da parte dei clienti ed estesa a tutto l’ambito aziendale. E se riuscissi a farvi apprezzare quanto le soluzioni di Information Protection & Data Management di Microsoft si stiano evolvendo per offrirvi una esperienza di classificazione, labeling e protezione attraverso tutto il ciclo di vita del dato e integrata sia negli strumenti d’uso quotidiani di produttività personale che nelle soluzioni aziendali di trattamento del dato stesso? Quanto questo potrebbe finalmente sbloccare la “democratizzazione” del DLP come funzionalità nativa dell’infrastruttura digitale dell’azienda (permettendo anche di indirizzare i principi di “privacy by design” e “privacy by default” finalmente indicati come requisiti dal nuovo regolamento)?

Punto di partenza nella condivisione di questo impegno di Microsoft a supporto del vostro processo di adeguamento alla GDPR è quello di aiutarvi a comprendere i tre ruoli che Microsoft può ricoprire in tale percorso, come condivisi dal nostro stesso Chief Privacy Officer, Brendon Lynch, nel suo blog post “Get GDPR compliant with the Microsoft Cloud“:

  1. in quanto fornitore di soluzioni cloud, che determinano ai fini dei ruoli privacy il ruolo di Microsoft quale responsabile del trattamento (data processor), Microsoft è chiamata direttamente a dare prova nei suoi contratti della conformità alla GDPR, intesa nella capacità di fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento, a partire dalla data di applicazione del 25 maggio 2018. A dimostrazione dell’impegno di voler primeggiare su questo fronte, Microsoft è stato il primo tra i maggiori cloud service provider a rendere disponibile una specifica estensione contrattuale che dichiara l’impegno verso tale obiettivo, come trovate pubblicamente documentato in questo blog post dello scorso 17 aprile 2017 “Earning your trust with contractual commitments to the GDPR“.
  2. Fornitore di tecnologia abilitante: l’intero insieme delle tecnologie/prodotti/soluzioni Microsoft, fornite tramite soluzioni cloud, ibride o tradizionali on-premise, può essere di supporto alle varie fasi tipiche del percorso di adeguamento alla GDPR che Microsoft individua nelle seguenti, come da blog post di Julia White “Accelerate your GDPR compliance with the Microsoft Cloud“:
    Come potrete immaginare, sarà questo l’ambito che mi permetterà di fare una serie potenzialmente molto numerosa di blog post di dettaglio, partendo dalla condivisione delle potenzialità della nuova Microsoft Security platform (di cui vi accennavo nel mio post di inizio anno “NonSoloSecurity reloaded“), ma non limitandomi solo a quelle, come potrete cogliere dalla lunga lista di tecnologie abilitanti elencate nel portale GDPR. L’aspetto particolarmente interessante sarà quello di documentarvi la rapida evoluzione delle soluzioni Microsoft per indirizzare al meglio le attività richieste dall’adeguamento alla GDPR: un esempio? Fate caso allo snapshot che ha mostrato Julia White nel suo post e che rappresenta la prossima dashboard in arrivo in questo anno, immagino sarà disponibile nel portale di amministrazione di tutti i tenant cloud di Microsoft, personalmente la considero una vera chicca!

  3. Microsoft stessa, in quanto azienda con i suoi dipendenti (<100.000) e come fornitore di beni e servizi a cittadini dell’Unione Europea (+200 servizi online), e quindi nel ruolo di titolare del trattamento (data controller) verso queste stesse tipologie di interessati (data subject) è chiamata alla compliance GDPR: proprio per tale complessità, il percorso che Microsoft stessa percorrerà, con le priorità e le criticità, potrà essere un utile strumento di aiuto se condiviso con i clienti, immagino nella forma di risorse (whitepaper e video) di best practice e How Microsoft does IT (IT Showcase).

In questa mia prima puntata non mi resta che lasciarvi con il riferimento principe da appuntare quale portale di accesso a tutte le risorse che d’ora in avanti Microsoft vi condividerà:

Il semplice e facile da ricordare http://www.microsoft.com/GDPR che reindirizza alla specifica sezione del Microsoft Trust Center, il portale che documenta tutte le risorse a vostra disposizione strutturati secondo i 4 principi del “Trusted Cloud”: security, privacy, transparency e compliance.

In questo portale troverete i link a tutte le risorse di dettaglio già citate, e molte altre tra cui vi segnalo in particolare il webinar GDPR che è stato trasmesso lo scorso 24 maggio 2017.

Sperando che queste serie “Microsoft & GDPR” possa trovare il vostro interesse, userò questo post come indice delle diverse prossime puntate in modo che possiate appuntarlo nei vostri link preferiti :

27-09-2017 Ignite 2017: gli annunci a supporto della compliance GDPR

03-04-2018 Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 1a parte

30-04-2018 Il Cloud (Microsoft) quale acceleratore della compliance GDPR – 2a parte

 A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)


@NonSoloSecurity
(English only – technical only)


  

Attacco ransomware #WannaCry : risorse utili e chiarimenti

[This blog post has been republished as-is on February 2019]

[ Blog post aggiornato lunedì 22/05/2017 10:00 con nuovi link, chiarimenti e FAQ su #Adylkuzz , #Athena , #WanaKiwi ]

Come è ormai tradizione di questo blog, specialmente in occasione di attacchi di alto impatto come quello che stiamo osservando da venerdì scorso, denominato #WannaCry (anche detto #WannaCrypt #WannaCryptor #Wcry …), sento l’opportunità di potervi aiutare ad orientarvi rispetto alle risorse più significative di approfondimento, e parallelamente la necessità di aiutare a fare chiarezza su potenziali rischi di disinformazione.

Principali risorse di approfondimento pubblicate da Microsoft:

Il blog del Microsoft Security Response Center (MSRC) è la risorsa principale:

che rimanda alle varie altre fonti di approfondimento, che vi riassumo di seguito per comodità:

Alcune mie personali risposte a domande frequenti (FAQ) che spero aiutino a fare chiarezza:

  • (FAQ1) Perché questa campagna ransomware ha avuto questo impatto globale? In che cosa è diversa dalle precedenti?
    • La pericolosità di questa minaccia risiede nell’aver combinato in un solo attacco 2 tipologie di malware: un codice di tipo ransomware encryption che agisce in modo classico nel cifrare i file del PC della vittima e chiedere il riscatto relativo, ed un codice di tipo worm che ha la capacità di propagarsi automaticamente all’interno di una rete (tipicamente aziendale) permettendo al primo codice di essere copiato e quindi infettare tutti i PC che riesce a contattare se vulnerabili rispetto alla vulnerabilità di rete utilizzata (nel caso specifico è la già citata “EternalBlueCVE-2017-0145 ). Un modo ingegnoso di amplificare l’infezione da ransomware che fino ad ora dipendeva solamente dall’adescamento degli utenti tramite email di phishing con allegati o link pericolosi. In virtù di tale meccanismo combinato è bastato che un solo dipendente sia rimasto vittima dell’apertura di allegato infetto, per scatenare la propagazione all’interno della propria azienda, con impatto tanto più elevato quanti più sistemi accesi e vulnerabili (=non aggiornati rispetto alle patch MS17-010 rese disponibili lo scorso marzo, o non aggiornabili perché così obsoleti da essere fuori supporto) fossero raggiungibili dal meccanismo casuale di replicazione del worm.
  • (FAQ2) Qual è stato il vettore di attacco primario?
    • Credo sia molto probabile che sia stata la modalità tradizionale di email di phishing inviate a pioggia in tutto il mondo, con allegato PDF infetto da ransomware, anche se non è stata ancora data evidenza di quale siano state le email utilizzate per adescare i primi utenti. Di fatto qualsiasi modalità tradizionale di attacco in grado di indurre l’utente ad entrare in contatto con un contenuto pericoloso (social engineering), apertura di file da allegati email, allegati/video condivisi tramite social network, file su chiavette USB,… è un possibile vettore di attacco primario. [Aggiornamento] Dalla mancata evidenza di tali email di phishing e dalle analisi di cui leggo si sta sempre di più accreditando l’ipotesi che il vettore di attacco primario possa essere stato un altro: le più probabili a questo punto sono l’infezione via rete di sistemi che espongono direttamente le porte SMB su Internet (vedi FAQ4) e la compromissione di sistemi gestibili sempre tramite Internet via protocollo RDP se dotati di password deboli di accesso e quindi vulnerabili ad attacchi di tipo Brute Force (sintesi per i non tecnici=la possibilità di indovinare le password per tentativi), entrambe very bad practice sui fondamentali di sicurezza…
  • (FAQ3) Si può immaginare un attacco internazionale organizzato e mirato verso le aziende che sono state maggiormente colpite?
    • Anche se lo chiariranno le indagini che si stanno attivando a tale scopo, personalmente non lo credo, o almeno non in prima battuta per la prima ondata di attacchi partiti venerdì 12: appare solo un meccanismo ingegnoso per aumentare l’infezione da ransomware che ha potuto purtroppo avere un impatto significativo nelle realtà aziendali dotate di sistemi obsoleti e/o con processi non efficienti (o addirittura assenti) di aggiornamento dei sistemi. A supporto della mia personale percezione c’è la constatazione che la prima variante di WannaCry / WannaCrypt non è stata attrezzata con funzionalità in grado di carpire credenziali o loro derivati (hash) una volta infettato il sistema vittima, segno della non volontà di approfittare dell’infezione ransomware per predisporsi a realizzare un attacco persistente. Questo naturalmente vale per la prima variante e nulla esclude, anzi il rischio che questo accada d’ora in avanti è molto alto, che l’evidenza di efficacia di questo approccio (phishing>ransomware+worm) possa essere usato per realizzare la base per attacchi persistenti molto più pericolosi da rilevare.
  • (FAQ4) Sono più a rischio gli utenti finali o le aziende?
    • Gli utenti finali sono tipicamente solo esposti alla minaccia di essere adescati dalla email di phishing se decidono di aprire l’allegato pericoloso o seguono un link pericoloso (o se rimangono vittima di tutti gli attacchi di social engineering già elencati alla FAQ2), perché le connessioni da casa non dovrebbero permettere ai PC di essere contattati da Internet sui protocolli SMB usati per l’attacco di replica. Per le aziende vale invece quanto indicato alla FAQ1, con una situazione che le rende molto più esposte al rischio di essere compromesse in modo massivo, a causa della propagazione interna del worm dopo la prima infezione, sempre che vi siano sistemi vulnerabili accesi. Sono inoltre emerse notizie di sistemi aziendali che hanno esposto il protocollo SMB in modo che sia accedibile da Internet: questo è davvero una very bad practice
  • (FAQ5) E’ vero che Windows 10 è immune a questo attacco? Per quale motivo lo è?
    • Il codice utilizzato dalla parte worm della variante osservata in questi primi giorni prende di mira versioni di Windows precedenti perchè probabilmente sfrutta exploit già collaudati ed efficaci sulle versioni più datate di Windows, che è anche più probabile non siano state adeguatamente aggiornate, come si è dimostrato vero. Inoltre Windows 10 è strutturalmente più robusto e ha trasformato la modalità di aggiornamento verso gli utenti finali rendendo obbligatoria l’installazione delle patch di sicurezza quando rilasciate il secondo martedì di ogni mese. Alla luce di quanto avvenuto credo si riesca a capire meglio il senso del modello di Windows as a Service come approccio che possa contribure a migliorare il livello generale di sicurezza dell’ecosistema globale: le patch di sicurezza vanno installate non appena disponibili e solo l’innovazione costante può garantire un efficace contrasto all’altrettando rapida evoluzione delle minacce.
  • (FAQ6) L’attacco è ancora in corso? In che senso si parla di attacco bloccato dal ricercatore MalwareTech?
    • Personalmente la presenza di questa funzionalità del malware che è stata usata come “kill switch” è l’aspetto che mi ha sorpreso di più: vi segnalo l’articolo che credo abbia colto il senso esatto di quanto sia successo, una probabilmente casuale ma tanto provvidenziale registrazione del finto dominio usato per evadere i tentativi di analisi ha di fatto bloccato la propagazione della specifica variante lanciata in questi giorni. Il problema è che si ha già notizia che possano propagarsi varianti prive di tale meccanismo, quindi in ultima istanza ci si deve sempre affidare all’aggiornamento dei sistemi come metodo di protezione definitiva rispetto allo sfruttamento di questa specifica vulnerabilità. [Aggiornamento] Altre analisi, tra cui quella del MMPC che vi ho riportato in alto, chiariscono dettagli più esatti rispetto all’articolo che vi segnalato in questa FAQ.
  • (FAQ7) Il rischio di impatto in ambito aziendale ha dei fattori mitiganti? Esempio, il worm si propaga solo da e verso sistemi in dominio?
    • Purtroppo non vi sono fattori mitiganti perché la componente di codice worm non ha bisogno di conoscere credenziali, può infettare qualsiasi sistema vulnerabile sia raggiungibile sulla rete con una connessione anonima. Si può quindi anche ipotizzare uno scenario, preoccupante ma reale, di un consulente esterno dotato del proprio PC, e quindi non sottoposto alle protezioni aziendali di chi lo ospita, che possa infettare la rete intranet semplicemente per la connessione – anche wireless – che gli viene offerta per collaborare per accedere a share di rete SMB (quindi non nel caso di accessi documentali tipo SharePoint/SharePoint Online). Ancora una volta è l’aggiornamento dei sistemi client e server l’unica modalità di prevenzione e protezione efficace.
  • (FAQ8) Quali sono le raccomandazioni per un utente finale?
    • Quelle classiche,
      • 1) Se non già fatto, adottare il prima possibile la versione più aggiornata del software in uso, a partire dal sistema operativo (Windows 10 !!!) ma non tralasciando di aggiornare qualsiasi software sia in grado di maneggiare contenuti esterni (quindi praticamente tutto ).
      • 2) Tra le applicazioni da mantenere assolutamente aggiornate rientrano ovviamente le soluzioni antimalware/antispam (Windows 10 include nativamente Windows Defender).
      • 3) Non smanettare per aggirare (su Windows 10) o disabilitare (sulle versioni pre-Windows 10) l’impostazione di aggiornamento automatico che permette al sistema di essere sempre protetto con le ultime patch di sicurezza non appena rilasciate. Pensate come se Windows 10 fosse la vostra auto digitale: che senso avrebbe rifiutare la disponibilità del tagliando mensile gratuito in grado di mantenere l’auto sempre nello stato migliore possibile di manutenzione e sicurezza?
  • (FAQ9) Quali sono le raccomandazioni per le aziende?
    • In aggiunta alle prime 2 già fornite per l’utente finale che valgono altrettanto per le aziende, le altrettando classiche:
      • 1) Rendere efficiente e snello il processo di aggiornamento dei sistemi, per poter installare il prima possibile e in modo completo le patch di sicurezza, nello specifico l’aggiornamento MS17-010. Ricordo che già da sabato Microsoft ha reso disponibile gli aggiornamenti anche per le versioni dei sistemi operativi non più supportati, anche nella versione localizzata in italiano, trovate i link in fondo al post MSRC.
      • 2) Sui sistemi su cui non sia comunque possibile intervenire con aggiornamenti, provvedere a disabilitare il protocollo SMBv1 (ricordo che Microsoft ha sconsigliato l’utilizzo di SMBv1, laddove possibile).
      • 3) Adottare soluzioni di sicurezza con approccio defense-in-depth per aggiungere livelli di protezione rispetto alle dinamiche di attacco 0-day / APT (vedi paragrafo che segue su soluzioni di sicurezza Microsoft in tale ambito).
  • (FAQ10) Si sente parlare di una nuova versione/variante di malware denominata #Adylkuzz , in che modo è legata a WannaCry?
    • Da quanto leggo, esempio qui, si tratta di un malware che, pur con obiettivi diversi (sfruttare di nascosto la risorse di calcolo del sistema vittima – che ne soffrirà in termini di prestazioni – per coniare la cryptovaluta Monero), sfrutta le stesse vulnerabilità di WannaCry per propagarsi/infettare >> quindi le raccomandazioni fornite per WannaCry sono altrettanto valide.
  • (FAQ11) Una rivelazione di Wikileaks ha segnalato l’esistenza di un nuovo malware denominato #Athena . Windows 10 è vulnerabile a questo malware come si legge?
    • Da tutti gli articoli e i tweet che ho letto fino al momento di questo aggiornamento [venerdì 19/05/2017 19:00] non emerge alcun dettaglio tecnico che faccia pensare che questo malware sfrutti una vulnerabilità non nota a Microsoft per “infettare” Windows 10. Leggo, ad esempio qui, di capacità di nascondersi alla detection, di catturare il traffico di rete, etc, ma appaiono tutte attività che il malware esegue dopo che si è installato sul sistema. Sino a quando non sarà chiarita quale sia la modalità con cui possa eventualmente “infettare” un sistema, l’informazione che Windows 10 sia attaccabile o vulnerabile è priva di fondamento, e quindi, al momento, è da considerarsi almeno disinformazione, se non proprio FUD. [aggiornamento lunedì 22/05/2017 10:00] Rilancio un’ agenzia ANSA che ha confermato i miei timori di possibile disinformazione: “I nostri team della sicurezza – scrive in una nota la Microsoft – hanno esaminato Athena e hanno accertato che questo software non sfrutta vulnerabilità dei prodotti Microsoft. Athena funziona solo in un sistema operativo che è stato già compromesso con un attacco portato in un altro modo“.
  • (FAQ11) Si legge di diversi tool utili per la decifratura dei file colpiti da #WannaCry tra cui #WannaKey e #WanaKiwi . Sono davvero efficaci ed affidabili?
    • Rimandandovi all’articolo di Luca Scarcella (La Stampa) per aiutarvi a saperne di più e per recuperare il link del blog di Matt Suiche da cui è possibile scaricare il tool citato, mi sento solo in dovere di allertarvi sul fatto che d’ora in avanti sulla scia di WanaKiwi potranno proliferare i tool che dichiareranno di riuscire nell’intento di aiutarci a recuperare i file cifrati da ransomware, ma dovremo porre estrema attenzione alla fonte di chi ce li proporrà poiché non potremo sapere se il tool che poi scaricheremo non contenga altro codice malware …

Quali soluzioni sono disponibili per fronteggiare attacchi di questo tipo?

Vi riporto considerazioni valide in generale, ma spero non vi scandalizzi se le declino segnalandovi quelle che sono parte della nostra Microsoft Security Platform come condivisa nel mio post di inizio anno:

  • Alla luce di quanto indicato al punto 5, ribadisco l’importanza di aggiornare i sistemi con urgenza e di adottare appena possibile le versioni più recenti del software in uso, che per l’ambito sistemi operativi Microsoft si traduce nell’auspicata adozione di Windows 10 per i client e Windows Server 2016 per i server.
  • Considerando le email di phishing con allegati infetti e link pericolosi come vettore di attacco primario, la soluzione principe è quella che si propone di proteggere e rilevare attacchi 0-day che giungono proprio attraverso le email: Office 365 Advanced Threat Protection.
  • Le soluzioni antimalware più tradizionali si sono ovviamente mosse a valle dell’analisi e relativa produzione di firme in grado di rilevare la minaccia una volta nota, per l’ambito Microsoft questo è stato indirizzato da Windows Defender già venerdì 12.
  • L’attività anomala del codice worm che tenta l’automatica propagazione tramite la rete è una tipica attività rilevabile dalle moderne soluzioni di endpoint protection di tipo anti-APT: per l’ambito Microsoft questo si traduce nella soluzione di Windows Defender Advanced Threat Protection.
  • Le caratteristiche delle soluzioni di archiviazione documentale basate sul cloud computing possono essere d’aiuto nella possibilità di mantenere lo storico delle versioni dei file e quindi di poter recuperare la versione originale del file prima che venga cifrato dal ransomware: per Microsoft questo si traduce in OneDrive for Business come parte di Office 365.
  • L’adozione di Virtual Machine ospitate dalla piattaforma Azure nella modalità IaaS garantisce che le stesse siano fornite perfettamente aggiornate con le necessarie patch di sicurezza, di cui trovate documentazione a questo link: Azure GuestOS MSRC updates.
  • Le soluzioni di tipo Cloud Access Security Broker, come la nostra Microsoft Cloud App Security, possono implementare policy di blocco nel caso si osservino upload verso le soluzioni di cloud storage (esempio, OneDrive for Business) di file con una determinata estensione tipica di un ransomware (esempio *.WNCRY nel caso di WannaCry).

Nel mentre mi accingo a completare la prima versione di questo post (che conto di aggiornare nei prossimi giorni con ulteriori risorse se necessario), vengo a conoscenza della pubblicazione del blog post del nostro Brad Smith, President & Chief Legal Officer, che vi rilancio prontamente:

The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack

A giudicare dai suoi contenuti avremo presto da discuterne…

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)

Operazione “Eye Pyramid” : contromisure possibili con la nuova Microsoft Security platform

[This blog post has been republished as-is on February 2019]

[English readers: you can find English [EN] links in this post for your convenience]

Dopo avervi condiviso ieri una personale riflessione sull’operazione in oggetto (che alla luce delle ultime news potrebbe rivelare una compromissione effettiva molto più limitata di quanto prospettata inizialmente), credo sia più utile approfittare di questo ennesimo caso di cyber cronaca per potervi mostrare che non si è disarmati di fronte a queste tipologie di attacchi e che esistono soluzioni di sicurezza avanzate in grado di contrastarli, anche per chiarire la notevole mole di disinformazione che sta serpeggiando sui media in questi giorni, in particolare quando le analisi finiscono con il dichiarare l’impossibilità di difesa e l’ineluttabilità di essere compromessi: non è assolutamente così, ci sono contromisure possibili !!

Andiamo dritti al cuore del problema: l’attacco #EyePyramid ha potuto essere efficace per lo sfruttamento di 2 debolezze critiche

  1. L’attacco rivolto all’anello debole, cioè alla persona, indotta in modo convincente ad aprire una email perché proveniente da un indirizzo degno di fiducia (un ufficio legale o di professionisti con cui si hanno regolarmente contatti di lavoro – a parte l’anomalia della email ricevuta dall’ ENAV da parte di contatti inusuali che ha appunto fatto insospettire il responsabile di sicurezza e permesso di far partire l’indagine) e ad aprire il relativo allegato (si parla di un file PDF)
  2. L’attacco portato con una variante malware
    sconosciuta ai sistemi antivirus in grado di infettare e prendere il pieno controllo del PC ad insaputa dell’utente stesso.

Due veloci considerazioni su ciascuna debolezza.

In passato si diceva che in virtù della debolezza intrinseca degli utenti un’azione fondamentale fosse il miglioramento della cultura di base sulla sicurezza, la loro sensibilizzazione sui rischi cyber. Se la cosiddetta security awareness continua a rimanere un pilastro fondamentale per migliorare i livelli di protezione, è indubbio che non ci si può affidare solo ad essa: come dimostra il caso in oggetto, chi attacca si attrezza appunto per usare le tecniche di social engineering per carpire la buona fede anche dei più tecnicamente preparati.

Sul tema antimalware è ormai pienamente assodato che queste soluzioni da sole non riescono più a stare al passo della facile possibilità da parte di chi attacca di realizzare varianti in grado di non essere rilevate dal meccanismo signature-based (=scopro un nuovo malware, creo la firma che permette di riconoscerlo e la distribuisco >> c’è evidentemente un gap temporale che può essere usato per non essere rilevati con una variante nuova).

L’evoluzione delle soluzioni di sicurezza ha dovuto necessariamente trovare contromisure ad entrambe le debolezze citate per riuscire a proteggere gli utenti anche se incauti o abilmente ingannati e per contrastare malware cosiddetto 0-day, ossia non ancora catalogato come tale e quindi non incluso in firme di rilevamento.

Nell’ambito della nuova Microsoft Security platform che vi ho velocemente mostrato in slide nel mio recente post-manifesto di rilancio del blog NonSoloSecurity, esiste una specifica soluzione pensata a questo scopo rispetto a minacce 0-day che possano giungere come allegati di email o come link pericolosi all’interno delle stesse:

Office 365 Advanced Threat Protection (ATP)
[EN version]: avrò modo di tornare in un prossimo post per darvi maggiori dettagli sulle sue funzionalità, ma per l’applicabilità al caso in oggetto serve sapere che tale soluzione (che Microsoft ha rilasciato nell’estate 2015 [EN]) avrebbe sottoposto il PDF allegato ad un meccanismo di detonation, di verifica della sua reale pericolosità su un sistema virtuale isolato (sandbox), prima di di cestinarlo (se pericoloso) o di veicolarlo nella casella di posta dell’utente (se sicuro).

Una volta installatosi nel PC delle vittime questo malware si è attrezzato per modificare in più parti la configurazione del sistema operativo e delle applicazioni presenti per poter effettuare indisturbato una serie di azioni pericolose (recuperare i documenti e i file più disparati, spedire i più piccoli come allegati via email, salvare i più grandi su servizi di storage cloud, rubare credenziali eventualmente memorizzate sul sistema, carpire i tasti digitati sulla tastiera, sottrarre i preferiti e le history di search & navigazione sul web, …).

Possibile che tutto questo gran da fare possa essere fatto in modo da non essere rilevato? Le moderne soluzioni di sicurezza a livello di PC/endpoint intendono proprio agire per tenere sotto stretto controllo tutto quanto avvenga sul sistema per riconoscere pattern di azioni pericolose sintomo di un attacco / compromissione non ancora catalogate come malware:

La nuovissima soluzione di Windows Defender Advanced Threat Protection (WD-ATP) [EN version], rilasciata nell’ultima major release di Windows 10 del luglio 2016 (l’Anniversary Update – build 1607), svolge proprio il ruolo di soluzione di post-breach detection per individuare nel modo più rapido possibile ogni indicatore di attacco/compromissione (IoA/IoC) grazie all’uso della potente granularità della telemetria in Windows 10, in modo che non serva installare alcun agent ma solo abilitare funzionalità native del sistema operativo.

Un passo ulteriore di possibile contromisura per una efficace detection multi-livello: vi ho segnalato che l’attacco ha attrezzato il malware a trafugare dati (exfiltration) utilizzando servizi di cloud storage americani per i file di grosse dimensioni: esistono soluzioni di tipo Cloud Access Security Broker (CASB)

La soluzione Microsoft in questo ambito si chiama Cloud App Security [EN version], disponibile dall’aprile del 2016 [EN] è parte della nuova suite di soluzioni di Enterprise Mobility + Security (EMS) [EN version], e pemette la supervisione del traffico in uscita verso il cloud per poter rilevare anomalie di traffico dati, violazioni di policy aziendali, condivisione non autorizzata di documenti sensibili.

Ultimo passaggio: anche se non si ha al momento evidenza che chi abbia perpetrato questo attacco abbia agito con delle azioni di cosiddetto lateral movement per tentare di compromettere sistemi aziendali a cui il PC compromesso potrebbe essere stato connesso in qualche momento, si ha evidenza che il malware ha permesso di “esfiltrare” anche credenziali di rete/aziendali … e in ogni caso su PC appartenenti a domini aziendali questa compromissione crea le condizioni per usare tale sistema come testa di ponte per l’escalation di attacco verso risorse aziendali che potrebbero esporre ulteriori dati ed identità altamente sensibili. Di fronte a questo scenario pericolosissimo, ma ahimè altamente riscontrato nelle azioni di contrasto che come Microsoft effettuiamo ogni giorno a supporto dei nostri clienti, è opportuno sappiate della disponibilità di una innovativa soluzione della tipologia che Gartner ha chiamato UEBA “User and Entity Behavior Analytics

Microsoft Advanced Threat Analytics (ATA) [EN version] è la soluzione (disponibile dall’agosto 2015 [EN], ora giunta alla versione 1.7 [EN]) che si propone di essere leader in questo segmento UEBA grazie alla possibilità di combinare l’approccio di Behavioral Analytics (che i clienti più avveduti staranno sicuramente già valutando) con una esclusiva capacità di detection deterministica di ogni fase di cui sono composti i più recenti e sofisticati attacchi rivolti alla compromissione delle identità gestite da Active Directory (per citare i più temuti: Pass-the-Hash (PtH), Pass-the-Ticket (PtT), Overpass-the-Hass, Skeleton key malware, Golden ticket…)

Se avessi voluto cercare un caso reale per iniziare a raccontarvi l’efficacia concreta offerta dalle soluzioni di Threat Detection e Protection incluse nella nuova Microsoft Security platform



… non avrei potuto trovare nulla di meglio dell’evento #EyePyramid

P.S. vi segnalo alcune utili risorse per approfondire i dettagli dell’attacco

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)


 

Operazione “Eye Pyramid”: riflessioni sullo stato del sistema Italia a livello Cybersecurity…

[This blog post has been republished as-is on February 2019]

Rispetto alla notizia del giorno sull’operazione “Eye Pyramid” ci si sta ponendo diverse, legittime, domande sul livello di protezione di identità, dati e dispositivi di personaggi così eccellenti da considerare minacciata la sicurezza nazionale e su come sia stato possibile effettuare tali attività di spionaggio per così tanto tempo (mi pare si parli di 4-5 anni…) senza che il “sistema” si sia accorto di tali attacchi, sistematici e su tale scala – censite circa 18.327 identità (username), di cui circa 1.793 complete delle relative credenziali (password).

Come giudicare lo stato di salute del sistema Paese rispetto ai rischi Cyber in base a quanto accaduto?

Utilizzando per un attimo uno dei modelli attuali di possibile approccio alla sicurezza, “Protect/Detect/Respond“, possiamo dire che abbiamo 2 notizie cattive ed 1 buona… 2 a 1 per le notizie cattive…, mi sa che non c’è tanto da essere ottimisti…

Ma io sono ottimista di natura e quindi inizio dalla buona notizia: la capacità di investigazione dimostrata dalla Polizia Postale e dal CNAIPIC (plauso a loro!) sono un brillante esempio di capacità reattiva (“Respond“) rispetto alla segnalazione iniziale della mail anomala notata dal responsabile di sicurezza dell’ENAV e della lunga, non facile, attvità di indagine (tradizionale+Cyber) che ne è seguita. Notevole anche aver appreso della costante collaborazione con la Cyber Division dell’FBI per una rapida azione di intervento di sequestro oltreoceano ed evitare la distruzione dei dati salvati sui provider statunitensi.

Cosa dire invece delle capacità di “Protect” & “Detect” ? Ahia, temo si debba ammettere l’incapacità del “sistema” di sicurezza (ammesso che ve ne sia uno organico e strutturato… ) di 1) proteggere identità/dati/dispositivi, per quanto possibile preventivamente, da questo tipo di rischi e 2), in ogni caso, di rilevare in modo tempestivo i possibili attacchi in corso.

E’ il solito approccio all’italiana, vedi l’esempio del terremoto, come parallelo quasi perfettamente calzante: nessuna prevenzione nelle costruzioni antisismiche per minimizzare gli impatti da eventi ineluttabili, ma nella capacità di reazione e solidarietà a disastro avvenuto non ci batte nessuno al mondo…

Idem per la Cybersecurity nazionale e quanto dimostra l’evento in oggetto: investire a priori per adottare soluzioni di protection & detection ? … Devo dedurre che non sia stato fatto, o non in modo adeguato rispetto alla criticità delle identità/dati di tali personaggi istituzionali… Per fortuna c’è una capacità di reazione con i contro-fiocchi (…tralasciando il tema della mancata catena di informazione che a quanto pare ha scatenato la rimozione del direttore della Polizia Postale titolare dell’indagine…).

Non mi resta che sperare che questo evento faccia riflettere chi di dovere e riesca ad incidere su come si debba investire a livello di sistema Paese sul tema Cybersecurity.

Non voglio però limitarmi a questa riflessione, purtroppo amara, e vorrei riuscire a spiegarvi in modo semplice come possano esserci delle soluzioni in grado di offrire un livello adeguato di contromisure di sicurezza rispetto a questo moderno contesto di rischio: arrivederci al prossimo post!

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)